本記事の概要
Nessus AgentとTenable.ioを用いて、脆弱性スキャンを実施する手順を記載します。
評価版を使用して実施しますので、無償で試すことができます。
以下のイメージ図のように、任意の環境にある診断対象の機器にNessus Agentをインストールして、クラウド上のTenable.ioと連携します。
本記事では、以下の流れで手順を記載します。
(1) Tenable.ioのLinking Keyの取得
(2) Tenable.io上にグループ追加
(3) CentOS又はRedHat上にNessus Agentのインストール
(4) Tenable.ioとの連携確認
(5) Tenable.ioとNessus Agentを用いた脆弱性スキャン
また、事前にTenable.ioの管理画面にログインできることを想定していますので、「Tenable.ioの評価版(無償)を導入してみた」の手順に従って事前に評価版の契約及びログインをしてください。
Nessusとは
Nessus(ネサス)とは、Tenable Network Security社が開発した脆弱性診断ツールです。
非商用(個人使用)の場合は無償で使用できますが、基本的には有償のソフトウェアを購入して使用します。
脆弱性診断のプロの人も使用している脆弱性診断ツールのため、有益な診断ツールの一つです。
Tenable Network Security社が開発した脆弱性統合管理システムであるTenable.ioと連携することで脆弱性を管理しやすくなります。
Tenable.ioとは
Tenable.io(テナブル アイオー)とは、Tenable Network Security社が開発した脆弱性統合管理システムです。
Tenable.ioは脆弱性を収集、残存する脆弱性の発見、リスクの評価を自動化することができるため、脆弱性対応の作業負荷を軽減できます。
適切なリスク評価が自動的に実施できるため、緊急度が高い脆弱性から対応するなど優先順位決めをする際のサポートをしてくれます。
Tenable.ioの公式ドキュメント(https://docs.tenable.com/Tenableio.htm)をご確認ください。
Tenable.ioのLinking Keyの取得
Tenable.ioとNessus Agentを連携する際に、Linking Keyの文字列を取得する必要があります。
Tenable.ioのLinking Keyを取得する手順を記載します。
(1) ブラウザを起動して、Tenable.ioの管理画面のログイン(https://cloud.tenable.com/tio/app.html#/login)にアクセスします。その後ログインします。
(2) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(3) [Scanning]-[Sensors]をクリックします。
(4) 左部の「Agents」をクリックして、「Linked Agents」をクリックします。その後、「Add Agent」をクリックします。
(5) 「Copy」をクリックして、メモ帳などに保存します。Linking KeyはNessus Agentインストール中に使用しますので、保存してください。
Tenable.io上にグループ追加
本手順では、Tenable.ioとNessus Agentをインストールした診断対象が連携する際に、対象機器が所属するグループを作成します。
本操作は、Tenable.ioの管理画面で実施します。
(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(2) [Scanning]-[Sensors]をクリックします。
(3) [Agent Group]をクリックして、「Add Agent Group」をクリックします。
(4) 任意のグループ名を入力して、「Save」をクリックします。
(5) 作成したグループ名が表示されていることを確認します。
CentOS又はRedHat上にNessus Agentのインストール
診断対象のサーバ(CentOS又はRedHat)上にNessus Agentをインストールして、Tenable.ioと連携します。
本手順は公式サイト(https://docs.tenable.com/nessusagent/10_0/Content/InstallNessusAgentLinux.htm)の手順を参考にして作成しています。
(1) ブラウザを起動して、Nessus Agentのダウンロードサイト(https://www.tenable.com/downloads/nessus-agents)にアクセスします。
(2) 「Nessus Agents」をクリックして、診断対象のOSに応じて以下のインストーラをダウンロードします。
診断対象のOS | インストーラのファイル名 |
---|---|
Red Hat 6、またはCentOS 6の32bit版 | NessusAgent-XX.X.X-es6.i386.rpm |
Red Hat 6、またはCentOS 6の64bit版 | NessusAgent-XX.X.X-es6.x86_64.rpm |
Red Hat 7、またはCentOS 7の64bit版 | NessusAgent-XX.X.X-es7.x86_64.rpm |
Red Hat 8、またはCentOS 8の64bit版 | NessusAgent-XX.X.X-es8.x86_64.rpm |
(3) ダウンロードしたインストーラを診断対象のサーバに格納します。
(4) rootユーザで以下のコマンドを実行して、Nessus AgentのRPMをインストールします。
# rpm -ivh NessusAgent-【NessusAgentのバージョン】-es【OSのバージョン】.【OSのbit数】.rpm
→例 : rpm -ivh NessusAgent-10.0.1-es7.x86_64.rpm
(5) 以下のコマンドを実行して、Tenable.ioと連携します。
# /opt/nessus_agent/sbin/nessuscli agent link --key=【Linked Key】--name=【任意の名前】 --groups="【グループ名】" --host=cloud.tenable.com --port=443
→例 : /opt/nessus_agent/sbin/nessuscli agent link --key=92179a16b616b892b4fff87c4682ebc56277073c5ad6652e722d8a0c529e2e5d --name=CentOSAgent --groups="Group1" --host=sensor.cloud.tenable.com --port=443
Tenable.ioとの連携確認
本手順では、Tenable.ioとNessus Agentをインストールした診断対象が連携できていることを確認します。
本操作は、Tenable.ioの管理画面で実施します。
(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(2) [Scanning]-[Sensors]をクリックします。
(3) [Agents]-[Linked Agents]をクリックして、診断対象の機器の情報が表示されていることを確認します。
Tenable.ioとNessus Agentを用いた脆弱性スキャン
Nessus AgentをインストールしたCent OS又はRed Hatを脆弱性スキャンする手順を記載します。
本操作は、Tenable.ioの管理画面で実施します。
(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(2) 右上にある「Create Scan」をクリックします。
(3) 「Agent」をクリックして、「Advanced Agent Scan」をクリックします。
(4) 「Basic」をクリックして、以下の内容を設定します。その後、「Save & Lanch」をクリックします。
・General : 【任意の名前】
・AGENT GROUPS : 【診断対象のグループ】
(5) 設定した脆弱性スキャンの設定が表示されていることを確認します。
(6) 脆弱性スキャンが終わるまでしばらく待って、STATUSが「Completed」になっていることを確認します。その後、クリックします。
(7) 脆弱性の一覧が表示されます。詳細を確認したい場合、脆弱性をクリックします。
(8) 脆弱性の詳細を確認します。
Tenable.ioとNessusに関する記事
Tenable.ioとNessusについての関連記事は以下の通りです。
必要に応じて、ご確認ください。
No | タイトル | 記事の概要 |
---|---|---|
1 | Tenable.ioとNessusを用いた 脆弱性スキャンの構成 | Tenable.ioとNessusを用いて 脆弱性スキャンする際の構成をご紹介します。 |
2 | Nessusの評価版(無償)のインストールと プラットフォーム診断の方法 | Tenable.ioと連携せずに、 Nessusを用いて脆弱性スキャンする手順を記載します。 |
3 | Nessus Scannerによる脆弱性スキャン (Tenable.ioとの連携) | Tenable.ioと連携した状態で Nessusを用いて脆弱性スキャンする手順を記載します。 |
4 | Tenable.ioによる脆弱性スキャン | Tenable.ioを用いた脆弱性スキャンする手順を記載します。 |
5 | Nessus Agentによる脆弱性スキャン (診断対象:Windows OS) | 診断対象にNessus Agentをインストールして、 脆弱性スキャンする手順を記載します。 対象はWindows OSであることを想定しています。 |
6 | Nessus Agentによる脆弱性スキャン (診断対象:CentOS又はRedHat OS) | 診断対象にNessus Agentをインストールして、 脆弱性スキャンする手順を記載します。 対象はCentOS又はRedHat OSであることを 想定しています。 |