基本の静的サイトを設定する

サイトの基本コンポーネントとして、ターゲットアセットおよびスキャンテンプレートが挙げられます。

動的サイトとは異なり、静的サイトを作成するには手動でアセットを選択することが必要です。ある戦略に基づいて選択することも可能ですし、スキャンおよびレポートの質に影響を与えることも可能です。

静的サイトのグループ戦略を選択する

ネットワークアセットをサイトへと分ける方法は、多数あります。最も分かりやすいグループ分けの原則は、物理的ロケーションです。ある会社がフィラデルフィア、ホノルル、大阪、マドリードにアセットを持っている場合、各都市に1つとして4つのサイトを設定可能です。このような方法でアセットをグループ化することは、特に各物理的ロケーションが独自の専用スキャン・エンジンを有している場合、理に適っています。各サイトは特定のスキャン・エンジンに割り当てられていることに留意してください。

これに留意することで、シンプルにスキャン・エンジン配置に基本のサイトを作成することは実用的であると、気付かれるのではないでしょうか。スキャン・エンジンは、ネットワーク内の隔離エリアおよび接続エリアに配備される場合に、最も効果を発揮します。そこで、例えば、サブネットワークに基づいてサイトを作成可能です。

その他の有用なグループ化原則には、共通するアセットの設定または機能があります。すべてのワークステーションおよびデータベースサーバーについて個別のサイトを設けるのもよいでしょう。または、すべてのWindows 2008サーバーを1サイトにグループ化し、すべてのDebianマシンを別サイトにグループ化するのもよいでしょう。類似のアセットは類似の脆弱性を持つ可能性が高く、また同一のログオン上の問題を呈する傾向があります。

スキャンを実行してアセットがペイメントカード業界（PCI）または米国政府デスクトップ基準（あるいは連邦政府デスクトップ基準（FDCC））といった特定の規格/ポリシーに準拠しているかテストする場合、コンプライアンス監査対象のアセットのサイトを作成すると有用である場合があります。この方法は、コンプライアンス努力のスキャンリソースに焦点を当てています。また、これらのアセットのスキャン結果を追跡し、レポートやアセット・グループに含めることが容易になります。

サイトメンバーシップに柔軟に対応する

サイトのアセットの選択を柔軟に行うと、有益となる場合があります。アセットは、1つ以上のサイトに含めることができます。例えば、MicrosoftホットフィックススキャンテンプレートによりWindows Vistaワークステーションのスキャンを毎月実行して、これらのアセットに適したMicrosoftパッチがインストールされているかを検証することが可能です。しかしお客様の組織が医療機関である場合、「Windows Vista」サイトの一部のアセットは「患者サポート」サイトの一部でもある可能性があり、年に1回HIPAAコンプライアンス・テンプレートでスキャンを行わなければならないかもしれません。

もう1つ留意すべき点は、アセットをサイトへと組み入れてスキャンできますが、アセット・グループについては別のやり方でアレンジ可能であるということです。サイトの作成についての基準は、かなり広範なものとなっています。しかし一度スキャンを実行すると、異なるレポート・テンプレートを利用して、アセットデータを多数の異なる「ビュー」へと解析可能です。その後、異なるアセット・グループ・メンバーを割り当てて、これらのレポートをさまざまな目的用に読み込むことが可能です。

サイト作成を細かくし過ぎることは避けましょう。サイトが多いと、実行せざるを得ないスキャンが増えますので、時間と帯域幅のオーバーヘッドが膨大になります。

Example, Inc.のグループ化オプション

グループ化スキームをかなり広範に、またはより細密にすることが可能です。

以下の表には、実用的で高レベルなExample, Inc.のサイトグループ化が示されています。本スキームでは、スキャンについての非常に基本的な指針が示されており、ネットワーク・インフラストラクチャ全体を活用できます。

このグループ化の潜在的な問題は、膨大な量のスキャンデータの管理に時間がかかり困難であるということです。より良い設定としては、要素をより小さなスキャンサイトへとグループ化して、より精密なレポートとアセット所有者を生成します。

以下の設定では、Example, Inc.はアセットの機能をグループ化原則として導入しています。先の設定からのニューヨークのサイトは、セールス、IT、管理、プリンタ、およびDMZへと下位分類されます。マドリードもこれらの基準別に下位分類されます。より多くのサイトを追加すると、スキャン時間が削減されレポートはより集束化されます。

以下の表に見られる最適な設定には、物理的隔離の原則が組み込まれています。スキャン時間はさらに短くなり、レポートはより集束化されます。

静的サイト設定を開始する

サイトの設定を開始するには、以下のステップを行います：

1. ホームページの新規静的サイトボタンをクリックします。



ホームページ：静的サイトの新規開始

または

アセットタブをクリックします。アセットページで、サイトの横のビューをクリックします。サイトページで、新規サイトをクリックします。

2. サイト設定：一般ページで、サイトの名前を入力します。

フル監査、またはサービス妨害といった、サイトに対して実行するスキャンのタイプに関連した名前を付けるのもよいでしょう。

3. サイトの簡単な説明を入力します。
4. 希望する場合、ビジネス背景タグを追加します。サイトに追加したタグは、すべてのメンバーアセットに適用されます。詳細情報および指示については、タグでRealContextを適用するをご参照ください。
5. ドロップダウンリストから重要度レベルを選択します。

• 非常に低いに設定すると、リスクインデックスが初期値の1/3に削減されます。
• 低いに設定すると、リスクインデックスが初期値の2/3に削減されます。
• 高いおよび非常に高いに設定すると、リスクインデックスが順に初期値の2倍および3倍に増加します。
• ノーマルモードに設定すると、リスクのインデックスは変わりません。

重要度レベルは、各サイトのリスクインデックスの計算に利用されるリスク要因に対応します。

静的サイトでスキャンするアセットを指定する

注意: Amazon Web Services（AWS）インスタンスをスキャンするサイトを設定する場合、およびセキュリティ・コンソールおよびスキャン・エンジンがAWSネットワークの外にある場合、スキャンするアセットを手動で指定するオプションはありません。AWSネットワーク環境の内と外（Inside or outside the AWS network?）をご参照ください。

1. 新規サイトのためのアセットをリストするには、アセットページに移動します。
2. アドレスおよびホスト名を、スキャンするアセットとラベル付けされたテキストボックスに入力します。

IPv4アドレスおよびIPv6アドレスを順序不問で入力可能です。

例：

2001:0:0:0:0:0:0:12001::2
10.1.0.2
server1.example.com
2001:0000:0000:0000:0000:0000:0000:0003
10.0.1.3

アドレス範囲を個別のアドレスやホスト名と混合することが可能です。

例：

10.2.0.1
2001:0000:0000:0000:0000:0000:0000:0001-2001:0000:0000:0000:0000:0000:0000:FFFF
10.0.0.1 - 10.0.0.254
10.2.0.3
server1.example.com

IPv6アドレスは、完全、部分、または非圧縮の形態が可能です。以下は同等です：

2001:db8::1 == 2001:db8:0:0:0:0:0:1 ==

IPv4形式およびIPv6形式ではCIDR表記を使用可能です。例：

10.0.0.0/24

2001:db8:85a3:0:0:8a2e:370:7330/124

また、スキャンするアセットのIPアドレスやホスト名がリストされている、カンマ区切りまたは改行区切りのASCIIテキストファイルをインポートすることもできます。アセットリストをインポートするには、以下のステップを行います：

1. 含まれるアセットエリアの参照をクリックします。
2. ローカルコンピュータから、または読み込みアクセスが認められている共有ネットワーク・ドライブから、適切な.txtファイルを選択します。

ファイル内の各アドレスがそれぞれのラインに現れます。アドレスには、CIDR表記、ホスト名、完全修飾ドメイン名、およびデバイスの範囲を含む、有効なNexpose表記法を組み込み可能です。詳しい情報とラベル付けされたボックスをご参照ください。

（任意）グローバル管理者である場合、サイト詳細ページにすでにリストされているアドレスを編集・消去できます。

IPアドレス範囲内にあるアセットに対するスキャンを回避するには、スキャンから除外するアセットとラベル付けされたテキストボックスにアドレスおよびホスト名を手動で入力します。または、スキャンしなくてよいアドレスとホスト名をリストした、カンマ区切りまたは改行区切りのASCIIテキストファイルをインポートします。IPアドレス範囲内にあるアセットに対するスキャンを回避するには、以下のステップを行います：

1. 除外したデバイスエリアの参照をクリックします。
2. ローカルコンピュータから、または読み込みアクセスが認められている共有ネットワーク・ドライブから、適切な.txtファイルを選択します。

注意: ファイル内の各アドレスがそれぞれのラインに現れます。アドレスには、CIDR表記、ホスト名、完全修飾ドメイン名、およびデバイスの範囲を含む、有効な表記法を組み込み可能です。

ホスト名を除外するよう指定すると、アプリケーションは、スキャン前にホスト名をIPアドレスに変えようと試みます。最初にそうできない場合は、ping使用またはポート発見といった、特定のアセットに1つ以上のスキャンフェーズを実行します。当該プロセスにおいて、スキャンの範囲からアセットが除外されたこと、および今後スキャンされないことを判定できる場合があります。しかし判定できない場合、アセットは引き続きスキャンされます。

またグローバルアセット除外ページで、特定のアセットを配備全体のすべてのサイトでのスキャンから除外可能です。

すべてのサイトでのスキャンから特定のアセットを除外する

セキュリティ上の関連性がない、またはスキャンにより業務に差し障りがあり得るという理由から、特定のアセットのスキャンを完全に回避したいというケースが考えられます。

サイト設定パネルのアセットページで、作成中のサイトのスキャンから特定のアセットを除外できます。ただし、アセットは複数のサイトに属することが可能です。多数のサイトを管理している場合、各サイトからアセットを除外することは、時間がかかり過ぎる場合があります。どのような状況でも特定のアセットに対するスキャンを即座に回避したい場合があるかもしれません。グローバル設定機能でこれを行うことが可能です。アセット除外ページで、特定のアセットを配備全体のすべてのサイトでのスキャンから即座に除外可能です。

ホスト名を除外するよう指定すると、アプリケーションは、スキャン前にホスト名をIPアドレスに変えようと試みます。最初にそうできない場合は、ping使用またはポート発見といった、特定のアセットに1つ以上のスキャンフェーズを実行します。当該プロセスにおいて、スキャンの範囲からアセットが除外されたこと、および今後スキャンされないことをアプリケーションが判定できる場合があります。しかし判定できない場合、アセットは引き続きスキャンされます。

これらの設定にアクセスできるのは、グローバル管理者のみです。

あらゆるサイトでのスキャンからアセットを除外するには、以下のステップを行います：

1. 管理ページに移動します。
2. グローバル設定の管理リンクをクリックします。

セキュリティ・コンソールにグローバル設定ページが表示されます。

3. 左ナビゲーションペインで、アセット除外リンクをクリックします。

セキュリティ・コンソールにアセット除外ページが表示されます。

4. テキストボックスに、アドレスおよびホスト名を手動で入力します。

または

スキャン対象から外すIPアドレスとホスト名がリストされている、カンマ区切りまたは改行区切りのASCIIテキストファイルをインポートするには、ファイルを選択をクリックします。その後ローカルコンピュータ、または読み込みアクセスが認められている共有ネットワーク・ドライブから、適切な.txtファイルを選択します。

ファイル内の各アドレスがそれぞれのラインに現れます。アドレスには、CIDR表記、ホスト名、完全修飾ドメイン名、およびデバイスの範囲を含む、有効な表記法を組み込み可能です。

5. 保存をクリックします。

ユーザーをサイトに追加する

ユーザーによるアセットの表示、またはアセット関連の操作（サイト内のアセットのスキャンまたはレポートなど）の実行を可能にするには、彼らにサイトへのアクセス権を与えなければなりません。

サイトにユーザーを追加するには、以下のステップを行います：

1. サイト設定パネルのアクセスページに移動します。
2. ユーザーをサイトアクセスリストに追加します。
3. ユーザーを追加をクリックします。
4. ユーザーを追加ダイアログボックス内で、アクセスリストに追加する各ユーザーアカウントのチェックボックスを選択します。

または

5. 最上部のチェックボックスを選択して、すべてのユーザーを追加します。
6. 保存をクリックします。
7. パネルの各ページにある保存をクリックして、サイト設定を保存します。