Tenable Tenable 技術ガイド - Tenableの製品連携について
0
Tenable.ioにおいては、継続して診断をするアセットの数をご購入いただきますが、これらの情報を取得するだけであれば、ライセンスは消費しない、という考え方になります。
例えば特定の機器の脆弱性を突く攻撃を発見した時に、対象の機器に脆弱性があるか付け合わせることが効果的となります。対象の機器に脆弱性が存在していなければ有害事象が発生する可能性はありえない、ということになります。
脆弱性管理製品(Tenable.io/Tenable.sc )を導入している多くのお客様から、「自社で導入している様々なセキュリティ機器やソリューションと連携をさせていきたい」というご要望をお伺いします。
脆弱性管理製品においてはRESTful APIを使用しており、APIのリクエストを受けて、情報を提供する、あるいはアクションを実行(例えばスキャンを実行)する、といったようにお客様環境に適した様々な連携ソリューションが実現可能となります。
本稿では、どのような連携の具体例があるか、という点について解説をいたします。
※Tenable社では 開発者向けのwebサイト が提供されています。APIの仕様やドキュメント、リファレンスについて、集約されたwebサイト上にて情報発信が行われていますのでご参照ください。
対象となるクラウドプラットフォームはAWS / Azure / Google Cloud Platformとなります。これらのクラウドプラットフォームから
- Tenable.ioのコネクターの機能を使うことによって
- クラウドにあるアセット情報 (インスタンスの情報)を取得することができます
- Tenable.ioのアセット一覧リストの中に取り込んでいくことができます
- クラウド上のアセットに対して脆弱性診断スキャンや設定監査を行っていくことができます
Tenable.ioにおいては、継続して診断をするアセットの数をご購入いただきますが、これらの情報を取得するだけであれば、ライセンスは消費しない、という考え方になります。
- Tenable.io/scによってアセットのスキャンをしていきます
- SIEM側から定期的にAPI経由でTenabe.io/scの情報を取得します
- Tenableが作成したAppsによって、SIEM内部にて取得した情報が正規化およびインデックス化されます。
- SOCやアナリストチームは、"どれくらい脆弱性があるか"をグラフィカルに確認することができます
- 実際の攻撃があった際には、Tenableが持っている脆弱性情報と攻撃の情報を突き合わせることによって、注目すべきイベントについての情報を充実させることができます
例えば特定の機器の脆弱性を突く攻撃を発見した時に、対象の機器に脆弱性があるか付け合わせることが効果的となります。対象の機器に脆弱性が存在していなければ有害事象が発生する可能性はありえない、ということになります。
社内にチケッティングの仕組みをすでにお持ちの場合は、「Tenable.io/scと連携させたい」というご要望もよくいただきます。
そのためチケッティングサービスとの連携もよく行われています。
・
TenableとServicenowの最強のコラボレーション記事はこちら