コンプライアンススキャンを開始する度に、コンプライアンススキャン設定が行われているオプションプロファイルを選択します。プロファイルには、使用する設定が定義されています。
|
|
プロファイルをグローバルにします。マネージャにより作成されるグローバルプロファイルは、サブスクリプション内のすべてのユーザが使用できます。ユニットマネージャにより作成されるグローバルプロファイルは、そのビジネスユニット内のすべてのユーザが使用できます。ユーザにオプションプロファイルを作成するパーミッションがある場合、このユーザには、マネージャが発行したグローバルプロファイルの個人用コピーを保存して、新しいオプションプロファイルの基準値として使用するパーミッションもあります。
プロファイルを作成したユーザは、プロファイルの初期所有者として設定されます。マネージャとユニットマネージャは、所有者を変更するためにプロファイルを編集できます。「Owner」メニューにリストされている可能な割り当て先は、プロファイルのグローバルステータス、変更を行うマネージャのロール、および現在の所有者のロールやビジネスユニットによって異なります。プロファイルの所有者になれるのは、コンプライアンス管理のパーミッションが付与されているユーザに限ります。
グローバルオプションプロファイルグローバルオプションプロファイル
グローバルオプションプロファイルの所有者には、マネージャおよびユニットマネージャを指定することができます。
|
処理を行うユーザ |
現在の所有者 |
割り当て可能な新しい所有者 |
|
マネージャ |
「Unassigned」ビジネスユニットのマネージャ |
「Unassigned」ビジネスユニットのマネージャ |
|
マネージャ |
カスタムビジネスユニットのユニットマネージャ |
「Unassigned」ビジネスユニットのマネージャ |
|
ユニットマネージャ |
カスタムビジネスユニットのユニットマネージャ |
現在の所有者と同じビジネスユニットのユニットマネージャ |
非グローバルオプションプロファイル非グローバルオプションプロファイル
非グローバルオプションプロファイルの所有者には、マネージャ、ユニットマネージャおよびスキャナを指定することができます。
|
処理を行うユーザ |
現在の所有者 |
割り当て可能な新しい所有者 |
|
マネージャ |
「Unassigned」ビジネスユニットのマネージャまたはスキャナ |
「Unassigned」ビジネスユニットのマネージャまたはスキャナ |
|
マネージャ |
カスタムビジネスユニットのユニットマネージャまたはスキャナ |
「Unassigned」ビジネスユニットのマネージャ |
|
ユニットマネージャ |
カスタムビジネスユニットのユニットマネージャまたはスキャナ |
現在の所有者と同じビジネスユニットのユニットマネージャまたはスキャナ |
オプションプロファイルの所有者を変更すると、スケジュールタスクとの競合が発生することがあります。競合は、オプションプロファイルを選択したスケジュールタスクの所有者が、オプションプロファイルを使用できない状態になると発生します。
新しい所有者でオプションプロファイルを保存すると、スケジュールタスクとの競合を解決するメッセージを示した、確認ページが表示されます。「View Report」ボタンをクリックすると、変更によって影響を受けるスケジュールタスクのリストを表示することができます。続いて、各スケジュールタスクを編集して、オプションプロファイルの選択を変更します。次のスケジュール実行時までに、有効なオプションプロファイルがない状態ででスケジュールタスクを残しておくと、スケジュールタスクは自動的に無効となり、タスク所有者に E メールで通知されます。
ヒント: 所有者をマネージャまたはユニットマネージャに変更する場合、この変更を確定する前に、オプションプロファイルをグローバルに設定できます。これにより、競合を回避し、ユーザがプロファイルの使用を継続できるようになります。
デフォルトでは対象を絞ったスキャンが実行されます。つまり、標準のポートリストよりも狭い範囲でポートのスキャンが行われます。これは推奨される設定であり、新規のコンプライアンスプロファイルの初期設定です。
対象を絞ったスキャンに含まれるポート対象を絞ったスキャンに含まれるポート
Unix ホストの場合、well-known ポートである次のポートがスキャンされます: 22(ssh)、23(telnet)、513(rlogin)。これらのサービスはいずれも認証に使用できます。スキャン対象のホストのこれらの well-known ポートでサービス(ssh、telnet、rlogin)が実行されていない場合、このオプションを選択し、Unix 認証レコードでカスタムポートリストを定義してください。注記: 実際にスキャンされるポートは、Unix 認証レコードの「Ports」の設定によっても異なります。
Windows ホストの場合、必要とされる一連の固定 Windows ポート(サービスによって定義された内部リスト)がスキャンされます。
標準スキャンには、well-known ポートである次のポートが含まれます: 22(ssh)、23(telnet)、513(rlogin)。Unix ホストの場合、Unix 認証レコードに指定されているカスタムポートもスキャンされます。
この設定が適用されるテクノロジこの設定が適用されるテクノロジ
「Ports」設定は、Unix スキャンと Windows スキャンのみに適用されます。Oracle、MS SQL、SNMP に対しては、この設定は適用されません。Oracle と MS SQL については、対応する認証レコードに定義されたポートが常にスキャンされます。
ホストの検出中に送信されるプローブとスキャンされるポートを選択するには、「Additional」項に移動します。サービスが ICMP を使用して、すべての対象ホストの TCP プローブと UDP プローブの応答確認を行い、応答パケットを分析して、どのホストが“ 稼動中 ”かを判断します。デフォルト設定を変更すると、稼動中のすべてのホストが検出されなくなり、検出されなかったホストで脆弱性をスキャンできなくなる可能性があります。これらの設定は、特別な場合にのみカスタマイズする必要があります。例えば、「Standard」ポートリストに含まれないポートを追加するには、ファイアウォール/IDS をトリガするプローブを削除するか、ICMP ping に応答する稼動ホストのみを検出します。
コンプライアンススキャンを実行すると、「Control Types」項にリストされた特殊なコントロールタイプ(これらは明示的に選択する必要があります)を除いて、コントロールリストにあるすべてのコントロールがスキャンされます。「Scan by Policy」オプションを使用すると、スキャン対象を選択したポリシーに含まれるコントロールに制限できます。最大で 20 個のポリシーを選択できます(一度に 1 つずつ選択します)。ポリシーを選択すると、選択したポリシーに含まれる特殊なコントロールタイプも含めて、すべてのコントロールがスキャンされます。このスキャンは、プロファイルの「Control Types」の設定に関係なく行われます。
ポリシーにさらにコントロールを追加した場合ポリシーにさらにコントロールを追加した場合
「Scan by Policy」の設定を行った場合は、選択したポリシーに新しいコントロールを追加した後で、もう一度スキャンを開始する必要があります。これは、新しいコントロールも含めて、ポリシーにあるすべてのコントロールについてのスキャンデータを収集する必要があるからです。
注記: SCA のみが有効なサブスクリプションのコンプライアンスプロファイルには、「System Authentication」項は表示されません。この機能を使用するには、サブスクリプションの「PC」および「PC Agent」が有効になっている必要があります。
実行中のインスタンスで検出されたスキャンデータを使用して、認証レコードを自動的に作成することをシステムに許可します。次に、システム作成の認証レコードをスキャンに含めるかどうかを選択します。インスタンス検出とシステム認証レコードについて
「Use scan data as expected value」オプションを有効にして「File Integrity Check」コントロールを作成した場合、プロファイルで「Auto Update expected value」を選択できます。これにより、有効なファイル変更が行われると、コントロール値が自動で更新されるようになります。プロファイルの「Control Types」で「File Integrity Monitoring controls enabled」も選択する必要があります。詳細
特殊なコントロールタイプについては、設定時に追加の手順が必要になります。例えば、ファイルの整合性を監視するには、追跡するファイルを指定するユーザ定義コントロールを追加する必要があります。
スキャン対象に含める各コントロールタイプを次の中から選択します。
File Integrity MonitoringFile Integrity Monitoring
ユーザ定義のファイルの整合性チェックに基づいてファイルの整合性を監視する場合に選択します。ファイルの整合性チェックは、特定のファイルに対する変更をチェックするためのユーザ定義コントロールです。「File Integrity Check (Windows)」および「File Integrity Check (Unix)」を参照してください。
Custom WMI Query ChecksCustom WMI Query Checks
Windows WMI クエリチェックを実行する場合に選択します。これを有効にすると、ユーザ定義の「WMI Query Checks」コントロールで WMI クエリチェックが実行されます。詳細
「Scan by Policy」を使用している場合のチェックの動作「Scan by Policy」を使用している場合のチェックの動作
「Scan by Policy」の設定を行った上で、さらにここで説明した特殊なコントロールタイプがポリシーに含まれている場合は、これらが自動的にスキャンされます。Dissolvable Agent が必要なコントロールタイプの場合、スキャンが行われるためにはサブスクリプションで Dissolvable Agent が選択されている必要があります。
Dissolvable Agent(エージェント)は、特定のスキャン機能(パスワード監査、Windows 共有の列挙、Windows Directory Search など)で必要になります。エージェントは、サブスクリプションで承認されている必要があります。マネージャは、「Scans」->「Setup」->「Dissolvable Agent」を選択することで、エージェントを承認できます。マネージャによって承認されると、スキャンのパーミッションを持つすべてのユーザは、オプションプロファイルの編集で「Enable the Dissolvable Agent」を選択するだけで、各自のスキャンで Dissolvable Agent を有効にできます。仕組み: スキャン時に、データ収集のためのエージェントが Windows デバイスにインストールされます。スキャンが完了すると、エージェントは対象システムから完全に削除されます。
パスワード監査は、サービスに用意されているパスワード監査コントロール(CID 3893、3894、および 3895)によるチェックを行う場合に使用します。これらのコントロールを使用すると、1)空のパスワードを持つユーザアカウント、2)ユーザ名と同一のパスワードを持つユーザアカウント、および 3)ユーザ定義のパスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定できます。詳細
すべてのユーザから読み取りが可能な Windows 共有を見つけて、各ホストで共有されているファイルの数(CID 4528)やファイルが書き込み可能であるかどうかなどの詳細をレポートするには、Windows 共有の列挙を使用します。これは、より厳格なアクセス制御が必要だと考えられるファイルのグループを識別するのに便利です。スキャンを行うホストで Windows 認証レコードが定義されていることを確認してください。詳細
Windows の「Directory Search」コントロールを設定して、スキャンに含めたい場合は、このオプションを選択します。このカスタムコントロールを使用すると、ファイル名やユーザアクセスパーミッションなど、さまざまな条件によってファイルやディレクトリを検索できます。詳細
パフォーマンスレベルとして最初に「Normal」が選択されています。これはほとんどの場合に推奨される設定です。個別の設定を変更する、または異なるパフォーマンスレベルを選択するには、「Configure」をクリックします。設定をカスタマイズするには、「Custom」レベルを選択します。個別の設定の詳細については、詳細
特定のパケットを無視するには、「Additional」項で次のパケットオプションを有効にします。
Ignore RST packetsIgnore RST packets
ファイアウォールなどのフィルタリングデバイスの中には、ホストの IP アドレスを使用して TCP Reset パケットを送信することで、稼動していないホストであっても“ 稼動中 ”であるかのように表示してしまうものもあります。有効になると、すべての TCP Reset パケットはスキャンタスクで無視され、フィルタリングデバイスによって生成された TCP Reset パケットはマップタスクで無視されます。つまり、ホストからの唯一の応答が、フィルタリングデバイスから送られたと思われる TCP Reset パケットである場合は、ホストは“ 稼動中 ”であるとして検出されないということです。
Ignore firewall-generated SYN-ACK packetsIgnore firewall-generated SYN-ACK packets
ファイアウォールなどのフィルタリングデバイスの中には、ホストの IP アドレスを使用して TCP SYN-ACK パケットを送信することで、稼動していないホストであっても「稼動中」であるかのように表示してしまうものもあります。このオプションが有効になると、TCP SYN-ACK パケットがフィルタリングデバイスによって生成されたかどうかが判断され、これらのデバイスから送信されたと思われるすべての SYN-ACK パケットは無視されます。
ファイアウォールの中には、out-of-state の TCP パケットが受信されるとイベントをログするよう設定されているものもあります。out-of-state TCP パケットは非 SYN パケットであり、既存の TCP セッションには属しません。お使いのファイアウォールがこのように設定されており、イベントをログしたくない場合は、このオプションを有効にし、マップおよびスキャンタスクのホスト検出時に、サービスが out-of-state ACK および SYN-ACK パケットを送信しないようにします。このオプションを有効にし、またプロファイルの「Scan」項にある「Perform 3-way handshake」オプションも有効にした場合は、「Perform 3-way handshake」オプションが優先され、このオプションは無視されます。
スキャンにより、お使いの IDS がトリガされた場合は、ファイアウォールで保護されていると思われるため、このネットワークでの脆弱性の検索を続行できなくなります。そのため、どの IP が保護されており、どのポートがブロックされているかを把握する必要があります。「Blocked Resources」項に移動して、お使いのファイアウォール/IDS によってブロックされているポートと保護されている IP アドレスを選択します。
1)スキャンを行わないホストを「Scans」->「Setup」->「Excluded Hosts」にあるグローバル除外ホストリストに追加します。
2)スキャナの IP アドレスをお使いのファイアウォール/IDS の設定の許可リストまたは例外リストに追加します。クラウドの外部スキャナの IP アドレスの現在のリストは、「About」ページ(「Help」->「About」)で表示することができます。例外リストの設定方法については、お使いのファイアウォール/IDF のマニュアルを参照してください。
3)Watchguard を使用している場合は、スキャナの IP アドレスを「Blocked Sites Exception」リストに追加します。このリストは、WatchGuard Firebox Vclass シリーズでは System Configuration で設定され、WatchGuard Firebox System シリーズでは Policy Manager で設定されます。注記: 「WatchGuard default blocked ports」オプションは、WatchGuard Firebox System シリーズでのみ適用可能です。スキャナの IP アドレスを WatchGuard の例外リストに追加した場合は、このオプションを設定する必要はありません。
ユーザ定義データベースコントロールに対して、スキャンごとに返される行数の制限を設定できます。デフォルト値は、MS SQL Database Check では 256 行、Oracle Database Check では 5000 行です。
(このオプションを利用できるのは PC エージェントのみです。)データ処理を向上させるため、アカウントに適用するポリシーを処理するために必要なクラウドエージェントスキャンによって収集された情報のみを保存するよう設定できます。PC アプリケーションから、「Users」->「Setup」->「Optimized CA Data Processing」に移動し「Optimize Agent Data Processing for Policies」オプションを有効にします。本機能が有効になると、サブスクリプションのポリシーに関するコントロールについて収集された情報のみが考慮されます。新しいコントロールをポリシーに追加した場合、データを即座に利用することはできません。これらのコントロールのデータの収集および処理は、次のエージェントスキャンの実行まで待つ必要があります。このオプションを有効化/無効化できるのはマネージャのみです。
「Instance Data Collection」タブでは、それぞれのテクノロジに対して認証レコードを作成せずにデータ収集を有効にできるデータベーステクノロジに加えて、OS ベースの他のアプリケーションおよびテクノロジも選択できます。選択したテクノロジに対するデータ収集は、基盤となる OS 認証レコードを使用して、ホストで行われます。
データベーステクノロジの場合、データの収集と評価には OS 依存のデータベースコントロールのみが使用されます。使用可能な OS 依存のデータベースコントロールのリストを表示するには、「Policies」->「Controls」->「Search」を選択して、「Search」ダイアログボックスで「DB OS CIDs」の「Instance Data Collection」ボックスを選択します。検索から返されるのは、システム定義のコントロールのみになります。
データベーステクノロジを選択するには、「Databases」ボックスをあらかじめ選択しておきます。現在この機能では、次のデータベースがサポートされています。
- IBM DB2
- InformixDB
- MongoDB
- Microsoft SQL Server(MSSQL)
- MySQL
- Oracle
- Pivotal Greenplum
- PostgreSQL
- Sybase/ SAP ASE
IBM DB2 インスタンスでのデータ収集については、ホストのオペレーティングシステムに応じて、UNIX 認証レコード(ルート権限委譲として Sudo を使用)、または Windows 認証レコードを使用できます。
IBM Informix、MongoDB、MySQL、Oracle、Pivotal Greenplum、PostgreSQL、Sybase/ SAP ASE インスタンスのデータ収集については、UNIX 認証レコード(ルート権限委譲として Sudo を使用)が必要になります。
MSSQL インスタンスでのデータ収集については、Windows 認証レコードが必要になります。
注記: コンプライアンススキャン用にデータベース認証レコードを既に使用している場合は、このオプションを有効にしないことをお勧めします。これは、このオプションを有効にすると、コンプライアンスレポートにデータベース認証レコードを使用した結果と、OS ベースの認証レコードを使用した結果が重複して表示されるためです。この機能は、ホストのオペレーティングシステムのコンプライアンス評価を担当するチームが、データベース認証レコードへのアクセス権がないというシナリオでは役に立ちます。この場合、チームがホストアセット上で実行されているデータベースインスタンスをスキャンする必要がある場合、OS ベースの認証レコードを使用することで処理を続行することができます。
OS ベースのアプリケーションと他のテクノロジを選択するには、「Applications and Other Technologies」ボックスをあらかじめ選択しておきます。
現在この機能では、次のアプリケーションおよびテクノロジがサポートされています。
- Oracle JRE
- IBM WebSphere Liberty
Oracle JRE インスタンスでのデータ収集については、ホストのオペレーティングシステムに応じて、UNIX 認証レコード(ルート権限委譲として Sudo を使用)、または Windows 認証レコードが必要になります。
IBM WebSphere Liberty インスタンスでのデータ収集については、Unix 認証レコード(ルート権限委譲として Sudo を使用)が必要になります。
サポートされているデータベースと OS ベースのアプリケーションと他テクノロジのバージョンについては、「認証テクノロジのマトリックス」を参照してください。
これらのテクノロジの一部は、Policy Compliance(PC)の Cloud Agent によって自動検出されます。Cloud Agent が自動検出するミドルウェアテクノロジの最新リストについては、次の記事を参照してください。PC の Cloud Agent によるミドルウェアテクノロジの自動検出