|
新しいホストを追加する場合 |
既にホストがある場合 |
|
|
クラウドエージェントがインストールされている場合、エージェントホストの詳細についてはこちらをクリックしてください。
ホストアセットは、アカウント内の IP アドレスです。スキャン、マップ、レポートの対象として使用できます。アカウントのホストを表示するには、「Assets」–>「Host Assets」を選択します。次に、「New」メニューを使用して新しいホストを追加します。スキャニング、マッピング、レポーティングなどのアクションは、アカウントのホストでのみ実行できます。
「Assets」->「Host Assets」を選択します。「New」メニューから、「IP Tracked Hosts」、「DNS Tracked Hosts」、または「NetBIOS Tracked Hosts」を選択します。選択した追跡方法は、追加対象のすべてのホストに割り当てられます。追加できるホストの数を確認し、新しい IP/範囲を入力して「Add」をクリックします。
マネージャには必ず、IP を追加するパーミッションが付与されています。マネージャが IP を追加すると、他のマネージャが表示をしたりアクションを実行したりできるサブスクリプションレベルで IP が自動的に追加されます。
ユニットマネージャは、ユーザアカウント設定で「Add assets」パーミッションが付与されている場合に IP を追加できます。
スキャナに「Add assets」パーミッションを付与し、IP アドレスを追加することができるようサブスクリプションを設定することができます。Consultant サブスクリプションのスキャナには、このパーミッションが付与されている場合があります。
VM と PC で異なる IP を管理する方法VM と PC で異なる IP を管理する方法
VM と PC では、完全に独立した IP アドレスのセットを管理できます。VM ライセンスの IP アドレスを管理するには、VM アプリケーションに移動します。PC ライセンスの IP アドレスを管理するには、PC アプリケーションに移動します。PC に追加されたホストは、このアプリケーションがサブスクリプションでも有効である場合、SCAP タスクを含めたすべてのコンプライアンスタスクで使用可能です。
アセットグループは、アプリケーション間で共有されます。タスクに含まれるのは、適切な IP に限られます。例えば、アセットグループで脆弱性スキャンを開始した場合、このグループ内で VM ライセンスに含まれている IP アドレスのみがスキャンされます。これは、PC についても同様です。例えば、あるアセットグループでポリシーコンプライアンスレポートを実行するとします。このときレポートに含まれるのは、このグループの中で PC ライセンスにも含まれている IP アドレスのみになります。
VM と PC に同時に IP を追加する方法VM と PC に同時に IP を追加する方法
サブスクリプションで VM と PC の両方が有効であり、ユーザがこの両方のモジュールにアクセスできる場合は、両方のモジュールを 1 回でホストに追加するショートカットが表示されます。VM モジュールから新しいホストを追加する場合に、このホストを PC にも追加するには、「Add to Policy Compliance Module」オプションを選択します。PC モジュールから新しいホストを追加する場合に、このホストを VM にも追加するには、「Add to VM Module」オプションを選択します。
追加 IP/ライセンスの購入方法追加 IP/ライセンスの購入方法
追加の IP/ライセンスを購入するには、テクニカルアカウントマネージャまでご連絡ください。
VMDR OT アプリケーションの別の設定で IP を追加する場合も同じ手順を使用できます。「Add to VMDR OT Module」オプションを選択します。このオプションを選択すると、IP は VMDR OT 用に確保され、他のモジュールとは共有されません。追加できるホストの数を確認し、新しい IP/範囲を入力して「Add」をクリックします。
追跡方法によって、スキャンレポートでのホストの表示方法が決まります(スキャン結果は、常に IP アドレスでソートされます)。追跡方法として IP アドレスが指定されているホストは、IP アドレスの数字順にリストされます。追跡方法として DNS または NetBIOS が指定されているホストは、ホスト名のアルファベット順にリストされます。詳細
IP は、次のいずれかの形式で入力可能です。
|
形式 |
例 |
追加される IP アドレス数 |
|
単独 IP のリスト |
17.16.20.5, 17.16.20.21 |
2 |
|
IP 範囲 |
167.216.205.1-167.216.205.254 |
254 |
|
CIDR |
192.168.0.87/24 この範囲は自動的に変換され、次のように保存されます。 192.168.0.0-192.168.0.255 |
256(クラス C ネットワーク) |
所有者は、ホストに対して責任を持つと見なされます。改善ポリシーと手動チケットを作成する際、ユーザは所有者にチケットを自動的に割り当てることもできます。
追跡方法や所有者などのホスト属性を割り当てることができます。定義する属性を選択し、フィールドに値を入力するか、または使用可能なドロップダウンメニューから選択します。選択した内容は、アクションの対象となるすべてのホストに適用されます(重要: ユニットマネージャの場合は、追加するホストがサブスクリプションにある可能性があります。この段階でホスト属性を定義すると、その値は、設定済みの値をすべて上書きします)。
追跡方法と所有者以外に、3 つの属性フィールドがあります。初期設定では、「Location」、「Function」、「Asset Tag」ですが、これらのラベルは、サブスクリプションでカスタマイズされている可能性もあります。マネージャは、「Assets」->「Setup」->「Host Attributes」を選択して、属性名を変更できます。
ビジネスユニットを設定する場合、必ず、ホストアセットを持つアセットグループを 1 つ以上割り当ててください。空のアセットグループのみを割り当てると、ビジネスユニットにアセットが割り当てられないため、ビジネスユニット内のユーザは、アセットのスキャンおよびレポートができません。詳細
ユニットマネージャとしてホストを追加する場合、次の点に注意してください。
1)ホストを追加するパーミッション: 「Add assets」パーミッションが必要です。ホストの追加先の各アプリケーションに対するパーミッションも必要です(VM や PC)。
2)アセットグループへのホストの追加: ビジネスユニットに割り当てられたアセットグループに新しい IP を追加する必要があります。左側の「Add To」を選択して、「Assigned Groups」メニューからアセットグループを選択します。追加されると、新しい IP がビジネスユニットで使用可能になります。マネージャは、新しい IP を他のビジネスユニットおよびアセットグループに追加できます。
3)ホスト属性の上書き: 追加するホストが既にサブスクリプション内にある場合があります(ビジネスユニット内に表示されない場合もあります)。ホスト属性を定義すると、指定した値によって、ホストに設定されていた値が上書きされます。
(マネージャのみ)「Assets」->「Host Assets」->「Actions」->「Remove IPs」を選択して、IP を削除するウィザードを使用します。どのアプリケーションから IP を削除するかを選択できます。このオプションは、Cloud Agent(CA)が有効になっていないサブスクリプションでのみ使用できます。
IP を削除した場合
- 削除した IP をスキャンやレポートに使用することはできなくなります。
- ホストベースのスキャンデータは完全に削除され、元に戻すことはできません。
Cloud Agent(CA)アプリケーションに移動して、削除するホストに関連付けられているエージェントをアンインストールします。ホストがパージされ、VM、SCA、PC から削除されます。サブスクリプションで Cloud Agent(CA)が有効な場合は、VM アプリケーション、SCA アプリケーションまたは PC アプリケーションのみからホストを削除する方法はありません。
「Assets」->「Host Assets」->「Remove IPs from VMDR OT」を選択します。
注記: IP はいったん削除されると、スキャンおよびレポートで使用できなくなります。
ホストをパージすると、保存されたセキュリティデータ(脆弱性データ、コンプライアンスデータなど)とスキャン履歴が完全に削除されます。ホストのパージは、ホストが使用されなくなった場合や、新しいオペレーティングシステム/アプリケーション/目的などのまったく新しいロールで使用されるようになった場合に実行することがベストプラクティスです。これにより、ホストの前回のスキャンで収集されたセキュリティデータが、以降に行うレポート作成に影響しないようにできます。サービスでは、ホストが使用されなくなったり、ファイアウォールで保護されていたり、一時的に稼動していなかったり、再度割り当てられたりした場合などに、スキャンホストからそのような状態を推論することはできません。そのため、内部の情報が必要となります。
1 つのホストをパージする方法1 つのホストをパージする方法
「Assets」->「Host Assets」に移動して、パージするホストの 
を選択します。「Host Information」ページの「Purge」ボタンをクリックし、画面の指示に従って確認します。確認すると、ホストはパージ中としてマークされます。パージ処理が完了するまで、セキュリティデータはアカウントに残っています。
「Purge」ボタンは、選択された IP が現在のモジュールにあり、スキャン済みである場合にのみ表示されます。例えば、IP が PC にはあるが、VM/VMDR にはない場合、「Purge」ボタンは、PC から「Host Information」を表示したときには表示されますが、VM/VMDR から「Host Information」を表示したときには表示されません。同様に、IP が VM/VMDR にのみにあって PC にはない場合、「Purge」ボタンは、VM/VMDR には表示されますが、PC には表示されません。IP が PC と VM/VMDR の両方にあっても、スキャンされていない場合は、PC と VM/VMDR のどちらにも「Purge」ボタンは表示されません。
複数のホストを一度にパージする方法複数のホストを一度にパージする方法
マップレポート、アセット検索レポート、リスク分析レポートなど、各種のレポートからパージするホストを選択できます。例えば、「Assets」->「Asset Search」を選択してアセット検索レポートを実行します。検索対象を設定して、ホスト属性を選択し、「Search」をクリックします。レポートの「Results」項でパージするホストを選択します。次にレポートの先頭に戻り、「Actions」メニューから「Purge」を選択して「Apply」をクリックします。
「Purge Host Information」ページが表示されます。これには、ホストをいったん削除すると、このアクションを取り消すことはできないという警告が表示されています。パージされるホストのリストと、サブスクリプションから削除されるホストデータのタイプを注意深く確認します。続行するには、「Purge」をクリックしますアクションの実行を確認するメッセージが再度表示されます。これを確認すると、ホストはパージ中としてマークされます。パージ処理が完了するまで、ホスト情報はアカウントに残っています。
パージする情報のタイプについてパージする情報のタイプについて
ホストをパージしても、スキャン結果は削除されません。スキャンベースの検出結果を含むスキャンレポートを実行することで、スキャン結果をレポートできます。
パージでは、スキャンで収集された脆弱性データとコンプライアンスデータが削除されます。このため、ホストのパージ後は、一部の脆弱性レポートとすべてのコンプライアンスレポートには、これらのホストのセキュリティ情報が表示されません。
ホスト名や OS、脆弱性履歴、ホストの改善チケット、ホストに追加されたコメントといった、ホストで収集された情報です。
削除されるコンプライアンスデータ削除されるコンプライアンスデータ
ホストの認証ステータス、ホスト上のコントロールの合格/不合格ステータス、すべての例外(「Approved」、「Rejected」、「Pending」)と例外履歴およびコメントです。SCAP アプリケーションが有効な場合は、SCAP コンプライアンスデータ(ホストの認証ステータスおよびホストにおけるルールの合格/不合格ステータス)も削除されます。
単一のアセットには、複数のテクノロジインスタンスを含むことができます。アクティブではなくなったインスタンのコンプライアンスデータのみをパージして、アクティブなインスタンスのコンプライアンスデータは保持したい場合があります。マネージャは「Inactive Instance Purge」オプション(「PC」->「Scans」->「Setup」->「Inactive Instance Purge」)を有効にして、指定した期間内にインスタンスが評価されなかった場合に、インスタンスが自動的にパージされる期間を設定することができます。この方法により、アクティブではなくなったインスタンスのデータがレポートに表示されることがなくなります。これは、「Scan by Policy」を使用している場合に特に便利です。「Scan by Policy」では、アセットに既に存在しなくなっている場合も含めて、以前に検出されたすべてのインスタンスのインスタンスデータが保持されています(インスタンスがパージされるのは、指定された期間内に同じタイプのテクノロジのインスタンスが少なくとも 1 つ評価された場合に限られます)。
エクスポートするには、「Assets」->「Host Assets」を選択します。「New」メニューから「Export All」を選択します。CSV(Comma Separated Value)形式が自動的に選択されます。「Download」をクリックします。CSV ファイルを開くか、またはディスクに保存するよう求めるプロンプトが表示されます。ファイルは、IP_<ログイン ID>_<日付>.csv というファイル名で保存されます。
ファイルの前半にはアカウント内のすべてのホストが書き込まれ、ファイルの後半にはすべてのアクティブなホストが書き込まれます。その後、このデータは Excel などのサードパーティアプリケーションにインポートできます。CSV データは UTF-8 形式でエンコードされます。
日本語やフランス語などで使用される特殊な文字を正しく表示するには、エンコード方式を UTF-8 に設定したうえで、CSV データをデータベースまたはスプレッドシートにインポートする必要があります。例えば、Microsoft Excel の場合は、「データ」->「外部データの取り込み」->「データの取り込み」を選択し、ダウンロードされた CSV ファイルを選択して「開く」をクリックします。Unicode(UTF-8)ファイルを選択し、プロンプトに従ってインポート処理を完了します。CSV データのインポートに関する詳細については、サードパーティのマニュアルを参照してください。
他の形式でリストをダウンロードする方法他の形式でリストをダウンロードする方法
ホストアセットのリストには、ダウンロードオプションがあります。すべてのデータリストに、使用可能なダウンロードオプションがあります。「New」->「Download」を選択して、ファイル形式を選択します。オプションは CSV、HTML、MHT、XML です。
サブスクリプションにある特定のスキャンまたはすべてのスキャン対象のホストを除外できます。除外されたホストには、ICMP、TCP、および UDP プローブを含むスキャニングトラフィックは送信されません。
ホストをスキャンごとに除外する方法ホストをスキャンごとに除外する方法
スキャンを開始またはスケジュールするときに、「Target Hosts」項にスキャン対象を入力してから、「Exclude IPs/Ranges」フィールドに除外する IP アドレス/範囲を入力します。この機能は、脆弱性スキャン、コンプライアンススキャン、SCAP スキャンなど、IP ベースのすべてのスキャンでサポートされています。
すべてのスキャンからホストを一括して除外する方法すべてのスキャンからホストを一括して除外する方法
サブスクリプションに対し、一括して除外されたホストのリストが 1 つあります。このリストに含まれている IP は、マップまたはスキャン対象の一部として指定されていても、マップもスキャンもされません。一括して除外されたホストのリストを表示または編集するには、「Scans」->「Setup」->「Excluded Hosts」に移動します。詳細
除外したホストがマップ結果に表示される理由除外したホストがマップ結果に表示される理由
除外ホストを DNS 方式で検出した場合、マップ結果に表示されることがあるので注意が必要です。DNS サーバに属する IP が除外ホストリストに含まれており、このサーバがマップ対象のホストの DNS 名の解決に使用されている場合、サービスは引き続き DNS サーバに通常の要求を送信し続けます。ただし、サーバに対する脆弱性のスキャンは行われません。
アセットグループは、ユーザが定義したホストアセット(IP アドレス)のグループです。ホストは、重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でグループ化することができます。アセットグループをスキャンすると、そのグループに含まれるホストだけがスキャンされます。これにより、スキャンを行う範囲を特定のホストのグループやネットワーク内の小区分に限定できるようになり、スキャン結果や改善タスクの管理が容易になります。詳細
アセットタグは、アカウントにあるアセットの整理と追跡を行うためのもう一つの方法です。ホストアセットにはタグを割り当てることができます。タグを割り当てることで、スキャンを開始するときに、スキャンするホストに関連付けられたタグを選択できます。この動的なアプローチは、ネットワークがホストの追加と削除によって常に変化している場合であっても、特定の条件に一致するすべてのホストを含めるための優れた方法です。例えば、すべての Windows XP ホスト、またはポート 80 が開いているすべてのホストをスキャンします。タグを作成するには複数の方法があります。例えば、アセット検索(「Assets」->「Asset Search」を選択)からタグを作成することができます。また AssetView アプリケーションを使用して作成することもできます。詳細