エージェント相関 ID を使用すると、スキャンした IP インタフェースおよび Cloud Agent アセットのエージェント VM スキャンの未認証の脆弱性スキャン結果と認証済みの脆弱性スキャン結果とをマージすることができます。エージェント相関 ID は VM でのみサポートされており、QID 48143“ Qualys 相関 ID 検出 ”によって検出されます。
未認証のスキャン結果とスキャンエージェントのスキャン結果のマージの詳細については、ブログおよびビデオを参照してください。
注記: Qualys では、外部と面するインタフェースのあるすべてのホストについて、この機能を有効化しないことをお勧めします。
エージェント相関 ID 機能が、Qualys クラウドプラットフォームで使用できるようにする必要があります。
- 使用する Cloud Agent の最小バージョンが次を満たしている必要があります。Windows Agent バージョン 4.2 以上 | Linux Agent バージョン 3.1 以上
- エージェントの設定プロファイルで「Agent Scan Merge」オプションが有効化されている必要があります。このオプションを Cloud Agent UI で有効化する方法については、下記の手順を参照してください。
- デフォルトでは、次の TCP ポートをブロックしてはいけません: 10001、10002、10003、10004、10005。Cloud Agent の設定プロファイルのポートのリストをカスタマイズできます。リスト内のこれらのポートは、エージェント相関 ID オプションが承認されると、自動的に脆弱性スキャンに含まれます。これらのポートは、スキャン対象ポートリストに追加されます。
- 脆弱性スキャンに、収集情報 QID 48143 “ Qualys 相関 ID 検出 ”が含まれている必要があります。この QID は、脆弱性の完全スキャンにはデフォルトで含まれています。検索リストを使用するカスタムスキャンを実行する場合は、この QID が含まれていることを確認する必要があります。この QID を追加した検索リストを「Vulnerability Detection: Custom」にあるスキャンオプションプロファイルに追加します。
- エージェントで agentid-service が実行されており、ポートでリスニング中であることを確認します。
エージェント相関 ID の使用を開始するには、以下の手順に従います。
1)設定プロファイルにある「Enable Agent Scan Merge for this profile」オプションを「ON」にします。アプリケーションピッカーで「Cloud Agent」を選択し、「Agent Management」->「Configuration Profiles」を選択します。新しいプロファイルを作成するか、既存のプロファイルを編集して、このオプションを選択します。
「Bind All」を「ON」に切り替えると、サービスにより、リスト表示されたすべてのポートへの接続が試行されます。他のサービスでは、指定されたポートの中の最も低いフリーポートへの接続が試行されます。Window のエージェントバージョン 4.6 未満の場合、WiFi、Token Ring、Ethernet、Optical LAN などのすべてのネットワークインタフェース上でこれらのポートが開かれます。Windows エージェント 4.6 以降の場合、承認されたネットワークに接続するインタフェースにバインドするよう Windows エージェントを設定できます。
2)一次連絡先となるマネージャで、「Assets」->「Setup」->「Asset Tracking & Data Merging」を選択します。「Unique Asset Identifiers」タブで、「Agent Correlation Identifier」まで下にスクロールし、「Accept Agent Correlation Identifier」オプションを選択します。
3)「Scans 」->「Option Profiles」を選択します。新しいオプションプロファイルを作成するか、または既存のプロファイルを編集して、スキャンが完全スキャン、または QID 48143 が追加されているカスタムスキャンであることを確認します。
4)新しい脆弱性スキャンを実行して、QID 48143 のデータ収集を開始します。
トラブルシューティングについては、下記のリンクを参照してください。
権限のないマージのトラブルシューティング(Windows)権限のないマージのトラブルシューティング(Windows)
ログのある場所: C:\ProgramData\Qualys\QualysAgent\Correlation\Resources\logs\agentid.txt
例: agentid-2021-01-07T06-31-17.992.log.gz
実行中のプロセスの確認: タスクマネージャで‘ agentid-service.exe ’プロセスを検索します。
プロセス: agentid-service
ログが 10MB のしきい値を超えると、ログはロールオーバーされ、圧縮され、ログ名に現在の UTC 時刻を付けてアーカイブされます。このプロセスが 5 ローテーション継続します。
アーティファクトのある場所: C:\ProgramData\Qualys\QualysAgent\Correlation
- Windows XP
- Windows Server 2003
権限のないマージのトラブルシューティング(Linux)権限のないマージのトラブルシューティング(Linux)
ログのある場所: /var/log/qualys/agentid.log
ユーザがログディレクトリの場所を変更していた場合は、agentid.log もその場所に保存されます。
例: agentid-2021-01-07T06-31-17.992.log.gz
実行中のプロセスの確認: ‘ ps -aux | grep agentid-service ’コマンドを実行します。
プロセス: agentid-service
ログが 10MB のしきい値を超えると、ログはロールオーバーされ、圧縮され、ログ名に現在の UTC 時刻を付けてアーカイブされます。このプロセスが 5 ローテーション継続します。
アーティファクトのある場所: /usr/local/qualys/cloud-agent/correlation/manifests
- CentOS 5.x
- Red Hat 5.x
- SUSE 10.x
- MacOS
- AIX