Nessus Agentによる脆弱性スキャン(診断対象:CentOS又はRedHat OS)

※本サイトはアフィリエイト広告を利用しています。
広告

本記事の概要

Nessus AgentとTenable.ioを用いて、脆弱性スキャンを実施する手順を記載します。
評価版を使用して実施しますので、無償で試すことができます。
以下のイメージ図のように、任意の環境にある診断対象の機器にNessus Agentをインストールして、クラウド上のTenable.ioと連携します。
  NessusAgentを用いた診断の構成イメージ

本記事では、以下の流れで手順を記載します。
  (1) Tenable.ioのLinking Keyの取得
  (2) Tenable.io上にグループ追加
  (3) CentOS又はRedHat上にNessus Agentのインストール
  (4) Tenable.ioとの連携確認
  (5) Tenable.ioとNessus Agentを用いた脆弱性スキャン

また、事前にTenable.ioの管理画面にログインできることを想定していますので、「Tenable.ioの評価版(無償)を導入してみた」の手順に従って事前に評価版の契約及びログインをしてください。

Nessusとは

Nessus(ネサス)とは、Tenable Network Security社が開発した脆弱性診断ツールです。
非商用(個人使用)の場合は無償で使用できますが、基本的には有償のソフトウェアを購入して使用します。
脆弱性診断のプロの人も使用している脆弱性診断ツールのため、有益な診断ツールの一つです。

Tenable Network Security社が開発した脆弱性統合管理システムであるTenable.ioと連携することで脆弱性を管理しやすくなります。

Tenable.ioとは

Tenable.io(テナブル アイオー)とは、Tenable Network Security社が開発した脆弱性統合管理システムです。
Tenable.ioは脆弱性を収集、残存する脆弱性の発見、リスクの評価を自動化することができるため、脆弱性対応の作業負荷を軽減できます。
適切なリスク評価が自動的に実施できるため、緊急度が高い脆弱性から対応するなど優先順位決めをする際のサポートをしてくれます。

Tenable.ioの公式ドキュメント(https://docs.tenable.com/Tenableio.htm)をご確認ください。

Tenable.ioのLinking Keyの取得

Tenable.ioとNessus Agentを連携する際に、Linking Keyの文字列を取得する必要があります。
Tenable.ioのLinking Keyを取得する手順を記載します。

(1) ブラウザを起動して、Tenable.ioの管理画面のログイン(https://cloud.tenable.com/tio/app.html#/login)にアクセスします。その後ログインします。

(2) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
NessusAgentによる脆弱性スキャン(1)


(3) [Scanning]-[Sensors]をクリックします。
NessusAgentによる脆弱性スキャン(2)

(4) 左部の「Agents」をクリックして、「Linked Agents」をクリックします。その後、「Add Agent」をクリックします。
NessusAgentによる脆弱性スキャン(3)

(5) 「Copy」をクリックして、メモ帳などに保存します。Linking KeyはNessus Agentインストール中に使用しますので、保存してください。
NessusAgentによる脆弱性スキャン(4)

Tenable.io上にグループ追加

本手順では、Tenable.ioとNessus Agentをインストールした診断対象が連携する際に、対象機器が所属するグループを作成します。
本操作は、Tenable.ioの管理画面で実施します。

(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
NessusAgentによる脆弱性スキャン(1)

(2) [Scanning]-[Sensors]をクリックします。
NessusAgentによる脆弱性スキャン(2)

(3) [Agent Group]をクリックして、「Add Agent Group」をクリックします。
NessusAgentによる脆弱性スキャン(16)

(4) 任意のグループ名を入力して、「Save」をクリックします。
NessusAgentによる脆弱性スキャン(17)

(5) 作成したグループ名が表示されていることを確認します。
NessusAgentによる脆弱性スキャン(18)

CentOS又はRedHat上にNessus Agentのインストール

診断対象のサーバ(CentOS又はRedHat)上にNessus Agentをインストールして、Tenable.ioと連携します。
本手順は公式サイト(https://docs.tenable.com/nessusagent/10_0/Content/InstallNessusAgentLinux.htm)の手順を参考にして作成しています。

(1) ブラウザを起動して、Nessus Agentのダウンロードサイト(https://www.tenable.com/downloads/nessus-agents)にアクセスします。

(2) 「Nessus Agents」をクリックして、診断対象のOSに応じて以下のインストーラをダウンロードします。

診断対象のOSインストーラのファイル名
Red Hat 6、またはCentOS 6の32bit版NessusAgent-XX.X.X-es6.i386.rpm
Red Hat 6、またはCentOS 6の64bit版NessusAgent-XX.X.X-es6.x86_64.rpm
Red Hat 7、またはCentOS 7の64bit版NessusAgent-XX.X.X-es7.x86_64.rpm
Red Hat 8、またはCentOS 8の64bit版NessusAgent-XX.X.X-es8.x86_64.rpm
             ※XX.X.XはNessus Agentのバージョンです。

NessusAgentによる脆弱性スキャン_CentOS(1)

(3) ダウンロードしたインストーラを診断対象のサーバに格納します。

(4) rootユーザで以下のコマンドを実行して、Nessus AgentのRPMをインストールします。

# rpm -ivh NessusAgent-【NessusAgentのバージョン】-es【OSのバージョン】.【OSのbit数】.rpm
  →例 : rpm -ivh NessusAgent-10.0.1-es7.x86_64.rpm


(5) 以下のコマンドを実行して、Tenable.ioと連携します。

# /opt/nessus_agent/sbin/nessuscli agent link --key=【Linked Key】--name=【任意の名前】 --groups="【グループ名】" --host=cloud.tenable.com --port=443
  →例 : /opt/nessus_agent/sbin/nessuscli agent link --key=92179a16b616b892b4fff87c4682ebc56277073c5ad6652e722d8a0c529e2e5d --name=CentOSAgent --groups="Group1" --host=sensor.cloud.tenable.com --port=443


Tenable.ioとの連携確認

本手順では、Tenable.ioとNessus Agentをインストールした診断対象が連携できていることを確認します。
本操作は、Tenable.ioの管理画面で実施します。

(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(2)

(2) [Scanning]-[Sensors]をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(3)

(3) [Agents]-[Linked Agents]をクリックして、診断対象の機器の情報が表示されていることを確認します。
NessusAgentによる脆弱性スキャン_CentOS(4)

Tenable.ioとNessus Agentを用いた脆弱性スキャン

Nessus AgentをインストールしたCent OS又はRed Hatを脆弱性スキャンする手順を記載します。
本操作は、Tenable.ioの管理画面で実施します。

(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(5)

(2) 右上にある「Create Scan」をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(6)

(3) 「Agent」をクリックして、「Advanced Agent Scan」をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(7)

(4) 「Basic」をクリックして、以下の内容を設定します。その後、「Save & Lanch」をクリックします。
    ・General : 【任意の名前】
    ・AGENT GROUPS : 【診断対象のグループ】
NessusAgentによる脆弱性スキャン_CentOS(8)

(5) 設定した脆弱性スキャンの設定が表示されていることを確認します。
NessusAgentによる脆弱性スキャン_CentOS(9)

(6) 脆弱性スキャンが終わるまでしばらく待って、STATUSが「Completed」になっていることを確認します。その後、クリックします。
NessusAgentによる脆弱性スキャン_CentOS(10)

(7) 脆弱性の一覧が表示されます。詳細を確認したい場合、脆弱性をクリックします。
NessusAgentによる脆弱性スキャン_CentOS(11)

(8) 脆弱性の詳細を確認します。
NessusAgentによる脆弱性スキャン_CentOS(12)


Tenable.ioとNessusに関する記事

Tenable.ioとNessusについての関連記事は以下の通りです。
必要に応じて、ご確認ください。

Noタイトル記事の概要
1Tenable.ioとNessusを用いた
脆弱性スキャンの構成
Tenable.ioとNessusを用いて
脆弱性スキャンする際の構成をご紹介します。
2Nessusの評価版(無償)のインストールと
プラットフォーム診断の方法
Tenable.ioと連携せずに、
Nessusを用いて脆弱性スキャンする手順を記載します。
3Nessus Scannerによる脆弱性スキャン
(Tenable.ioとの連携)
Tenable.ioと連携した状態で
Nessusを用いて脆弱性スキャンする手順を記載します。
4Tenable.ioによる脆弱性スキャンTenable.ioを用いた脆弱性スキャンする手順を記載します。
5Nessus Agentによる脆弱性スキャン
(診断対象:Windows OS)
診断対象にNessus Agentをインストールして、
脆弱性スキャンする手順を記載します。
対象はWindows OSであることを想定しています。
6Nessus Agentによる脆弱性スキャン
(診断対象:CentOS又はRedHat OS)
診断対象にNessus Agentをインストールして、
脆弱性スキャンする手順を記載します。
対象はCentOS又はRedHat OSであることを
想定しています。