認証レコードでのタグのサポート
このページの全文を参照するには、ここをクリックしてください

認証レコードでのタグのサポート

Windows および Unix 認証レコードでアセットタグがサポートされ、サブスクリプションでこの機能を有効にできるようになりました。

これをサポートするために、認証レコードに対象ホストを定義するときに、IP アドレス/範囲をレコードに追加する代わりに、アセットタグを使用するオプションがあります。認証レコードのアセットタグはスキャン時にアカウントの IP アドレスに解決され、レコードに定義されているログイン資格情報を使用してスキャンが行われます。タグの選択は、タグがサポートされている他の既存のワークフローに似ています。

前提条件

この機能を有効にするには、テクニカルアカウントマネージャまたは Qualys サポートにお問い合わせください。

- アセットタグ付けがサブスクリプションで有効になっている必要があります。

- 認証レコードでのタグのサポートがサブスクリプションで有効になっている必要があります。

初期リリースに関する考慮事項と制限

今回の初期リリースについては、次の点に注意してください。

- アセットタグがサポートされているのは、Unix および Windows の認証レコードに限られます。

- アセットタグはスキャンの開始時に解決されるので、これによりパフォーマンスが低下する場合があります。

- アセットタグによって認証レコードを検索することはできません。

- 「Actions」メニューの「Remove Hosts」ワークフローを使用して、タグが追加された認証レコードからホストを削除することはできません。

- 一部のアプリケーションおよびデータベースの認証レコードでは、同じ IP アドレスが定義された Windows レコードまたは Unix レコードが必要になります。この場合は、IP/範囲を使用して Windows/Unix レコードを作成する必要があります。タグの解決はスキャンの開始時まで行われないので、アプリケーション/データベースレコードにある IP アドレスと Windows/Unix レコードのアセットタグとを比較することはできません。  

- 同じタグが含まれる同じタイプのレコードで、複数のレコードを保存しないようにしてください。タグはスキャン時に IP アドレスに解決され、この IP アドレスをアカウントの複数のレコードと一致させることになります。これらのレコードに異なるログイン資格情報が定義されていた場合、スキャナが使用するレコードによっては認証が失敗することがあります。同じタイプの別のレコードで既に使用されている個別のタグをレコードに対して選択しないようにするような検証は認証レコードにはありません。

- API を使用してレコードにタグを選択する場合に検証されるのは、リクエストで指定されたタグが有効であるかどうかだけになります。アセットグループやビジネスユニットなど、システムのルートレベルのタグは除外されません。また、「IP Range in Tag Rule」のアセットタイプでレコードに選択されたタグが、このアセットタイプで有効かどうかもチェックされません。タグを選択する場合には留意してください。

Windows および Unix 認証レコードの設定

認証レコードでのタグのサポートがサブスクリプションで有効な場合、アセットタグを使用してホストを指定するための追加オプションが表示されます。アセットタイプを選択してから、レコードに IP またはタグを設定します。

Windows レコードについての注記 - ドメイン認証についてはドメインタイプが「NetBIOS, User-Selected IPs」の場合にのみアセットを追加できます。ドメインタイプが「NetBIOS, Service-Selected IPs」または「Active Directory」の場合、アセット選択は無効になります。  

アセットタイプ: IPs/Ranges

このオプションは、レコードに IP アドレス/範囲を追加する場合に使用します。表示されたフィールドに IP アドレス/範囲を入力します(これまでのリリースと同じです)。

「IPs and Ranges」アセットタイプ

アセットタイプ: IP Range in Tag Rule

このオプションは、タグルールで定義された IP アドレス範囲があるタグの追加に使用します。タグルールで定義されているすべての IP アドレスが、まだタグが割り当てられていない IP も含めて、レコードに関連付けされます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。タグセレクタに表示されるのは、動的なタグルール「IP Address in Range(s)」が設定されたタグに限られます。

「IP Range in Tag Rule」アセットタイプ

アセットタイプ: Asset Tags

このオプションは、レコードにアセットを含めるためにタグを追加するときに使用します。選択したタグに既に割り当てられている IP アドレスが、レコードに関連付けられます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。

「Asset Tags」アセットタイプ

タイプが同じ複数のレコードは同じ TagSet に保存できない

アセットタグが設定されたレコードが保存されるときには、アセットタイプ(「IP Range in Tag Rule」または「Asset Tags」)、対象になるタグおよび(「Any」/「All」の)タグスコープ、除外されるタグおよびタグスコープを含めたタグ設定の組み合わせが確認されます。これらの設定の組み合わせによって、バックエンドで単一の「TagSet」タグが作成されます。同じ「TagSet」に対して、同じタイプの別のレコードを作成しようとすると、エラーが表示されます。タグ設定(の組み合わせ)のどれか 1 つでも異なる場合は、新しい「TagSet」タグが作成され、レコードを保存することができます。