スキャンオプションプロファイルの設定(PC スキャン)

コンプライアンススキャンを開始する度に、コンプライアンススキャン設定が行われているオプションプロファイルを選択します。プロファイルには、使用する設定が定義されています。

他のユーザからも使用可能なプロファイルを作成する方法

パスワード監査

所有者を変更する方法

Windows 共有の列挙

スキャンするポートの選択

Windows Directory Search

スキャンするコントロールの選択(「Scan by Policy」)

パフォーマンスの設定について

システム認証レコード

特定のパケットの無視

ファイルの整合性監視

お使いの IDS がトリガされる場合

特殊なコントロールタイプのスキャン

データベースコントロールの設定について

ポリシー設定時のエージェントデータ処理の最適化について

OS ベースの認証レコードを使用したインスタンスデータの収集について

Dissolvable Agent について

 


他のユーザからも使用可能なプロファイルを作成する方法

プロファイルをグローバルにします。マネージャにより作成されるグローバルプロファイルは、サブスクリプション内のすべてのユーザが使用できます。ユニットマネージャにより作成されるグローバルプロファイルは、そのビジネスユニット内のすべてのユーザが使用できます。ユーザにオプションプロファイルを作成するパーミッションがある場合、このユーザには、マネージャが発行したグローバルプロファイルの個人用コピーを保存して、新しいオプションプロファイルの基準値として使用するパーミッションもあります。

所有者を変更する方法

プロファイルを作成したユーザは、プロファイルの初期所有者として設定されます。マネージャとユニットマネージャは、所有者を変更するためにプロファイルを編集できます。「Owner」メニューにリストされている可能な割り当て先は、プロファイルのグローバルステータス、変更を行うマネージャのロール、および現在の所有者のロールやビジネスユニットによって異なります。プロファイルの所有者になれるのは、コンプライアンス管理のパーミッションが付与されているユーザに限ります。

グローバルオプションプロファイル

非グローバルオプションプロファイル

スケジュールタスクとの競合

スキャンするポートの選択

デフォルトでは対象を絞ったスキャンが実行されます。つまり、標準のポートリストよりも狭い範囲でポートのスキャンが行われます。これは推奨される設定であり、新規のコンプライアンスプロファイルの初期設定です。

対象を絞ったスキャンに含まれるポート

標準スキャンに含まれるポート

の設定が適用されるテクノロジ

ホスト検出のためのポート選択

スキャンするコントロールの選択(「Scan by Policy」)

コンプライアンススキャンを実行すると、「Control Types」項にリストされた特殊なコントロールタイプ(これらは明示的に選択する必要があります)を除いて、コントロールリストにあるすべてのコントロールがスキャンされます。「Scan by Policy」オプションを使用すると、スキャン対象を選択したポリシーに含まれるコントロールに制限できます。最大で 20 個のポリシーを選択できます(一度に 1 つずつ選択します)。ポリシーを選択すると、選択したポリシーに含まれる特殊なコントロールタイプも含めて、すべてのコントロールがスキャンされます。このスキャンは、プロファイルの「Control Types」の設定に関係なく行われます。

ポリシーにさらにコントロールを追加した場合

システム認証レコード

注記: SCA のみが有効なサブスクリプションのコンプライアンスプロファイルには、「System Authentication」項は表示されません。この機能を使用するには、サブスクリプションの「PC」および「PC Agent」が有効になっている必要があります。

実行中のインスタンスで検出されたスキャンデータを使用して、認証レコードを自動的に作成することをシステムに許可します。次に、システム作成の認証レコードをスキャンに含めるかどうかを選択します。インスタンス検出とシステム認証レコードについて

ファイルの整合性監視

「Use scan data as expected value」オプションを有効にして「File Integrity Check」コントロールを作成した場合、プロファイルで「Auto Update expected value」を選択できます。これにより、有効なファイル変更が行われると、コントロール値が自動で更新されるようになります。プロファイルの「Control Types」で「File Integrity Monitoring controls enabled」も選択する必要があります。詳細

特殊なコントロールタイプのスキャン

特殊なコントロールタイプについては、設定時に追加の手順が必要になります。例えば、ファイルの整合性を監視するには、追跡するファイルを指定するユーザ定義コントロールを追加する必要があります。

スキャン対象に含める各コントロールタイプを次の中から選択します。

File Integrity Monitoring

Custom WMI Query Checks

「Scan by Policy」を使用している場合のチェックの動作

Dissolvable Agent について

Dissolvable Agent(エージェント)は、特定のスキャン機能(パスワード監査、Windows 共有の列挙、Windows Directory Search など)で必要になります。エージェントは、サブスクリプションで承認されている必要があります。マネージャは、「Scans」->「Setup」->「Dissolvable Agent」を選択することで、エージェントを承認できます。マネージャによって承認されると、スキャンのパーミッションを持つすべてのユーザは、オプションプロファイルの編集で「Enable the Dissolvable Agent」を選択するだけで、各自のスキャンで Dissolvable Agent を有効にできます。仕組み: スキャン時に、データ収集のためのエージェントが Windows デバイスにインストールされます。スキャンが完了すると、エージェントは対象システムから完全に削除されます。

パスワード監査

パスワード監査は、サービスに用意されているパスワード監査コントロール(CID 3893、3894、および 3895)によるチェックを行う場合に使用します。これらのコントロールを使用すると、1)空のパスワードを持つユーザアカウント、2)ユーザ名と同一のパスワードを持つユーザアカウント、および 3)ユーザ定義のパスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定できます。詳細

Windows 共有の列挙

すべてのユーザから読み取りが可能な Windows 共有を見つけて、各ホストで共有されているファイルの数(CID 4528)やファイルが書き込み可能であるかどうかなどの詳細をレポートするには、Windows 共有の列挙を使用します。これは、より厳格なアクセス制御が必要だと考えられるファイルのグループを識別するのに便利です。スキャンを行うホストで Windows 認証レコードが定義されていることを確認してください。詳細

Windows Directory Search

Windows の「Directory Search」コントロールを設定して、スキャンに含めたい場合は、このオプションを選択します。このカスタムコントロールを使用すると、ファイル名やユーザアクセスパーミッションなど、さまざまな条件によってファイルやディレクトリを検索できます。詳細

パフォーマンスの設定について

パフォーマンスレベルとして最初に「Normal」が選択されています。これはほとんどの場合に推奨される設定です。個別の設定を変更する、または異なるパフォーマンスレベルを選択するには、「Configure」をクリックします。設定をカスタマイズするには、「Custom」レベルを選択します。個別の設定の詳細については、詳細  

特定のパケットの無視

特定のパケットを無視するには、「Additional」項で次のパケットオプションを有効にします。

Ignore RST packets

Ignore firewall-generated SYN-ACK packets

Do not send ACK or SYN-ACK packets during host discovery

お使いの IDS がトリガされる場合

スキャンにより、お使いの IDS がトリガされた場合は、ファイアウォールで保護されていると思われるため、このネットワークでの脆弱性の検索を続行できなくなります。そのため、どの IP が保護されており、どのポートがブロックされているかを把握する必要があります。「Blocked Resources」項に移動して、お使いのファイアウォール/IDS によってブロックされているポートと保護されている IP アドレスを選択します。

考えられるその他のオプション

データベースコントロールの設定について

ユーザ定義データベースコントロールに対して、スキャンごとに返される行数の制限を設定できます。デフォルト値は、MS SQL Database Check では 256 行、Oracle Database Check では 5000 行です。

ポリシー設定時のエージェントデータ処理の最適化について

(このオプションを利用できるのは PC エージェントのみです。)データ処理を向上させるため、アカウントに適用するポリシーを処理するために必要なクラウドエージェントスキャンによって収集された情報のみを保存するよう設定できます。PC アプリケーションから、「Users」->「Setup」->「Optimized CA Data Processing」に移動し「Optimize Agent Data Processing for Policies」オプションを有効にします。本機能が有効になると、サブスクリプションのポリシーに関するコントロールについて収集された情報のみが考慮されます。新しいコントロールをポリシーに追加した場合、データを即座に利用することはできません。これらのコントロールのデータの収集および処理は、次のエージェントスキャンの実行まで待つ必要があります。このオプションを有効化/無効化できるのはマネージャのみです。

OS ベースの認証レコードを使用したインスタンスデータの収集について

Instance Data Collection」タブでは、それぞれのテクノロジに対して認証レコードを作成せずにデータ収集を有効にできるデータベーステクノロジに加えて、OS ベースの他のアプリケーションおよびテクノロジも選択できます。選択したテクノロジに対するデータ収集は、基盤となる OS 認証レコードを使用して、ホストで行われます。

データベーステクノロジの場合、データの収集と評価には OS 依存のデータベースコントロールのみが使用されます。使用可能な OS 依存のデータベースコントロールのリストを表示するには、「Policies」->「Controls」->「Search」を選択して、「Search」ダイアログボックスで「DB OS CIDs」の「Instance Data Collection」ボックスを選択します。検索から返されるのは、システム定義のコントロールのみになります。

データベーステクノロジを選択するには、「Databases」ボックスをあらかじめ選択しておきます。現在この機能では、次のデータベースがサポートされています。 

IBM DB2

- InformixDB

- MongoDB

- Microsoft SQL Server(MSSQL)

- MySQL

- Oracle

Pivotal Greenplum

PostgreSQL

- Sybase/ SAP ASE

IBM DB2 インスタンスでのデータ収集については、ホストのオペレーティングシステムに応じて、UNIX 認証レコード(ルート権限委譲として Sudo を使用)、または Windows 認証レコードを使用できます。

IBM Informix、MongoDB、MySQL、Oracle、Pivotal Greenplum、PostgreSQL、Sybase/ SAP ASE インスタンスのデータ収集については、UNIX 認証レコード(ルート権限委譲として Sudo を使用)が必要になります。

MSSQL インスタンスでのデータ収集については、Windows 認証レコードが必要になります。

注記: コンプライアンススキャン用にデータベース認証レコードを既に使用している場合は、このオプションを有効にしないことをお勧めします。これは、このオプションを有効にすると、コンプライアンスレポートにデータベース認証レコードを使用した結果と、OS ベースの認証レコードを使用した結果が重複して表示されるためです。この機能は、ホストのオペレーティングシステムのコンプライアンス評価を担当するチームが、データベース認証レコードへのアクセス権がないというシナリオでは役に立ちます。この場合、チームがホストアセット上で実行されているデータベースインスタンスをスキャンする必要がある場合、OS ベースの認証レコードを使用することで処理を続行することができます。

OS ベースのアプリケーションと他のテクノロジを選択するには、「Applications and Other Technologies」ボックスをあらかじめ選択しておきます。 

現在この機能では、次のアプリケーションおよびテクノロジがサポートされています。

- Oracle JRE

- IBM WebSphere Liberty

Oracle JRE インスタンスでのデータ収集については、ホストのオペレーティングシステムに応じて、UNIX 認証レコード(ルート権限委譲として Sudo を使用)、または Windows 認証レコードが必要になります。

IBM WebSphere Liberty インスタンスでのデータ収集については、Unix 認証レコード(ルート権限委譲として Sudo を使用)が必要になります。

サポートされているデータベースと OS ベースのアプリケーションと他テクノロジのバージョンについては、「認証テクノロジのマトリックス」を参照してください。

これらのテクノロジの一部は、Policy Compliance(PC)の Cloud Agent によって自動検出されます。Cloud Agent が自動検出するミドルウェアテクノロジの最新リストについては、次の記事を参照してください。PC の Cloud Agent によるミドルウェアテクノロジの自動検出