|
|
1 つか 2 つの IP など、少数から始めることをお勧めします。この結果を確認して、検出されたコンプライアンスの問題を修正し、修正した内容を検証するために同じ IP を再スキャンします。この手順を習得すると、より多数の IP のスキャンも実行しやすくなります。
スキャンできる対象は、簡単に言えば「組織のネットワークに接続されているもののほとんどすべて」です。 具体的には、すべてのルータ、スイッチ、ハブ、ファイアウォール、サーバ(あらゆる一般的なオペレーティングシステム)、ワークステーション、データベース、デスクトップコンピュータ、プリンタ、ワイヤレスアクセスデバイスなどが含まれます。
コンプライアンススキャンは頻繁に実行するのがベストプラクティスです。アプリケーションが追加されたり、オペレーティングシステムが更新されたりするたびに、システムのコンプライアンスを継続的に監視することになります。1 回のスキャンが終了すると引き続き別のスキャンが開始される継続的なスキャンを設定することもできます。詳細
各スキャンの完了時に E メールで通知を受け取るように設定することが可能です。E メールにより、結果のサマリと保存されたレポートへの安全なリンクが通知されます。ユーザ名の下にある「User Profile」を選択して、「Options」項で「Scan Complete Notification」を選択します。この他にも使用できる E メール通知があります。
コンプライアンスをスキャンできる IP を表示するには、「PC」->「Assets」->「Host Assets」を選択します。スキャンしたい IP がリストに表示されない場合は、その IP を追加します(またはマネージャが追加してからこのユーザに割り当てます)。
はい。「Exclude IP/Ranges」フィールドに除外する IP を入力するだけです。オプションとして、「Scans」->「Setup」->「Excluded Hosts」を選択すると、すべてのユーザによって開始されるすべてのスキャンから除外される IP のリストを作成できます。
CSV 形式でレポートをダウンロードできます。IPv6 スキャンを有効にする必要があります。サポートまたはテクニカルアカウントマネージャにお問い合わせください。IPv6 スキャンを開始するにはいくつかの設定手順を実行する必要があります。詳細
CSV 形式でレポートをダウンロードできます。コンプライアンススキャンを開始またはスケジュール設定する場合、対象ホストを定義するときに 1 つ以上の FQDN を入力します。FQDN は、アセットグループおよび IP/範囲と組み合わせて入力できますが、アセットタグとは組み合わせできません。スキャンが成功し、結果が表示されるには、スキャンされた FQDN が PC アカウントの IP アドレスに解決される必要があります。FQDN オプションが表示されない場合は、DNS Tracking が有効になっていることを確認してください。
注記: 現時点では、脆弱性スキャンおよびコンプライアンススキャンは、サブユーザ自身またはマネージャが FQDN でスキャンを実行した場合、サブユーザには表示されません。
当社のセキュリティサービスでは、対象ホストおよびネットワークに与える影響が最小限になることを保証しています。これは、次のような手法によって可能になっています。
- スキャン中に対象ホストまたはネットワークでパフォーマンスの低下が検出されると、これに動的に対応してスキャン速度が抑えられます。
- スキャン対象のマシンの種類に適した脆弱性チェックのみが実行されます(例えば、Windows オペレーティングシステム固有のテストが Linux マシンに対して行われることはありません)。
- スキャン対象のマシンにおけるさまざまな帯域負荷(低、中、高、カスタム)に対応しています。RTT(応答時間テスト)によって応答時間を監視し、設定に応じて負荷が調整されます。オプションプロファイルでは、スキャンパフォーマンスの設定を行うことができます。
アセットグループは、ユーザが定義したホストアセット(IP アドレス)のグループです。ホストは、重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でグループ化することができます。アセットグループをスキャンすると、そのグループに含まれるホストだけがスキャンされます。これにより、スキャンを行う範囲を特定のホストのグループやネットワーク内の小区分に限定できるようになり、スキャン結果や改善タスクの管理が容易になります。詳細
アセットタグは、アカウントにあるアセットの整理と追跡を行うためのもう一つの方法です。ホストアセットにはタグを割り当てることができます。タグを割り当てることで、スキャンを開始するときに、スキャンするホストに関連付けられたタグを選択できます。この動的なアプローチは、ネットワークがホストの追加と削除によって常に変化している場合であっても、特定の条件に一致するすべてのホストを含めるための優れた方法です。例えば、すべての Windows XP ホスト、またはポート 80 が開いているすべてのホストをスキャンします。タグを作成するには複数の方法があります。例えば、アセット検索(「Assets」->「Asset Search」を選択)からタグを作成することができます。また AssetView アプリケーションを使用して作成することもできます。詳細
スキャンの強度は、選択するオプションプロファイルによって定まります。どのオプションを使用すればよいのかが分からない場合は、デフォルトプロファイルを使用してください。初心者のための「Initial PC Options」が用意されています。このプロファイルには大半のニーズに合致する一般的な設定が行われています。
独自のプロファイルを作成すると、スキャンするポートなどの設定を微調整したり、特定のポリシーにスキャンを制限したりできます。実行するスキャンの各種のタイプに合わせて、オプションプロファルをいくつか作成してみることを検討してください。
オプションプロファイルでスキャン設定を変更することにより、スキャンをカスタマイズできます。特定のポリシーのコントロールにスキャンを制限したり、スキャンするポートを選択したりするなど、設定を微調整できます。実行するスキャンの各種のタイプに合わせて、オプションプロファルをいくつか作成してみることを検討してください。個別のニーズに合わせて、「File Integrity Monitoring」、「Password Auditing」、「Windows Share Enumeration」、パケットオプション、パフォーマンス設定などを調整できます。
コンプライアンススキャンでは認証が必要です。ホスト認証を使用すると、スキャン中に対象の各システムへのログインができるようになります。そのため、より詳細なセキュリティ評価を実行できるようになり、各システムのセキュリティ状態の可視化が向上します。認証スキャンを実行すると、誤検出が少なくなり、最も正確な結果を得ることができます。詳細
外部スキャンと内部スキャンとは、ネットワークペリミターにある IP をスキャンするか(外部スキャン)、それとも企業ネットワークの内側をスキャンするか(内部スキャン)ということです。
外部スキャンは、全世界にある当社のセキュアオペレーションセンター(SOC)で設定されているクラウドスキャナを使用することでいつでも使用できます。これを選択するには、「Scanner Appliance」メニューで「External」を選択します。
内部スキャンでは、ネットワークの内側に配備された Scanner Appliance が使用されます。使用する Scanner Appliance を名前で選択します。Scanner Appliance がない場合は、「Scans」->「Appliances」から Virtual Scanner をダウンロードできます。「Help」->「Online Help」を選択すると、詳細が表示されます。
アセットグループで内部スキャンを実行している場合、Scanner Appliance を名前、または次のオプションのいずれかによって選択することができます。
「Default」 -各アセットグループでデフォルトのスキャナを使用するには、このオプションを選択します。対象に複数のアセットグループが含まれる場合、サービスは、スキャンタスクをさまざまなスキャナ(Scanner Appliance および外部スキャナ)に分散し、それらのスキャン結果から 1 つのレポートを作成します。アセットグループを編集して、グループのデフォルトのスキャナを割り当てます。
「All Scanners in Asset Group」 -各アセットグループでスキャンタスクを Scanner Appliance のプールに分散するには、このオプションを選択します。スキャンタスクはグループに一覧表示された上位 5 つのアプライアンスに分散され、それらのスキャン結果から 1 つのレポートが作成されます。ヒント: この機能を使用する前のベストプラクティスとして、対象のアセットグループを表示してそのグループの上位 5 つのアプライアンスを確認し、必要な変更を行うことをお勧めします。詳細
スキャナはスキャン対象のホストに到達できる必要があります。「Help」->「About」を表示して、許可リストに追加する必要のある外部スキャナの IP アドレスを表示します。内部スキャンで Scanner Appliance が接続できる必要がある URL のリストも表示されます。
スキャントラフィックがファイアウォールを経由して内側から外側へルーティングされる場合、つまり Scanner Appliance が保護されているネットワーク領域内にあり、ファイアウォールの反対側にある対象をスキャンする場合、問題が生じることがあります。詳細
Scanner Appliance オプションが表示されるのは、アカウントに Scanner Appliance がある場合に限られます。このオプションが表示されない場合、スキャンでは自動的に外部スキャナが使用されます。
サポートまたはテクニカルアカウントマネージャに、1)出荷済みの物理 Scanner Appliance があること、または 2)サブスクリプションで「Virtual Scanner」オプションが有効にされていることをお伝えください。「Virtual Scanner」が有効な場合、Virtual Scanner イメージをダンロードして、簡単な手順でスキャナを設定することができます。