Oracle Cloud Infrastructureドキュメント

コンピュート・スキャン・レシピの作成

ホスト・エージェントありまたはなしのコンピュート(ホスト)スキャン・レシピを作成します。

コンピュート・スキャン・レシピを作成するには、次のオプションがあります:

重要

  • 開始する前に、ポリシー・ドキュメントで脆弱性スキャンを確認してください。スキャンに必要なIAMポリシーを参照してください。
  • OCIエージェントまたはQualysエージェントコンピュート・スキャン・レシピを作成した後、そのレシピを変更してエージェントを変更しないでください。別のレシピを作成します。

  • エージェントなしでコンピュート・スキャン・レシピを作成するには、次のステップを実行します:

    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「スキャン」で、「スキャン・レシピ」をクリックします。
    2. 次のいずれかの方法で、「スキャン・レシピの作成」パネルを開きます:
      • スキャン・レシピが存在しない場合、サービスの概要を含む「ようこそ」ページが表示されます。「スキャン・レシピの作成」をクリックし、レシピを作成するコンパートメントを選択します。
      • スキャン・レシピが存在する場合は、レシピを作成するコンパートメントを選択し、「ホスト」タブをクリックしてから、「作成」をクリックします。
    3. レシピ・タイプが「コンピュート」であることを確認します。
    4. レシピの名前を入力します。

      機密情報を入力しないでください。

    5. (オプション)レシピが作成されるコンパートメントを変更します。
    6. このレシピのパブリックIPポートスキャンのレベルを選択します。
      • Standard: 最も一般的なポート番号である1,000を確認します。
      • 簡易(デフォルト: 100個の最も一般的なポート番号をチェックします。
      • なし: オープン・ポートをチェックしません。

      脆弱性スキャン・サービスは、パブリックIPアドレスを検索するネットワーク・マッパーを使用します。スキャンされるポートを参照してください。

    7. 「エージェント・ベースのスキャン」チェック・ボックスの選択を解除します。エージェント・ベースのスキャンを無効にすると、このレシピに割り当てられているターゲットで脆弱性スキャン・エージェント・プラグインをアクティブ化する必要がなくなります。

      脆弱性スキャン・エージェントは、選択したターゲットで実行され、パッチの欠落などの脆弱性についてターゲットのOS構成をチェックします。

      エージェント・ベースのスキャンとパブリックIPポートのスキャンの両方を有効にすると、エージェントは、パブリックIPアドレスからアクセスできないオープン・ポートもチェックします。

      ノート

      このレシピでパブリックIPポートのスキャンエージェント・ベースのスキャンを両方とも無効にすると、脆弱性スキャン・サービスでは、このレシピに割り当てられているどのターゲットもスキャンされません。
    8. 「スケジュール」で、パブリックIPポート・スキャンのスケジュールを選択します。

      スケジュールにより、このレシピに割り当てられたターゲットをスキャンする頻度を制御します。「日次」または「週次」値のいずれかを選択します。

      ノート

      Qualysエージェントのスキャン・スケジュールまたは他のQualysエージェント構成を構成するには、Qualysダッシュボードに移動します。

    9. (オプション)「拡張オプションの表示」をクリックして、レシピにタグを割り当てます。

      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを追加する権限もあります。

      定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

      タグ付けの詳細は、リソース・タグを参照してください。タグの追加が必要かどうかわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から追加できます。

    10. 次のいずれかの方法を使用してレシピを保存します。
      1. 「スキャン・レシピの作成」をクリックして、脆弱性スキャン・サービスでレシピを作成します。
      2. 「スタックとして保存」をクリックして、リソース・マネージャ・サービスを介してスタックを管理します。「スタックとして保存」ウィンドウで、フィールドに入力し、「保存」をクリックします。スタックの詳細は、スタックの管理を参照してください。

    レシピの作成後、スキャン・ターゲットを作成してレシピに関連付けることができます。コンピュート・ターゲットの作成を参照してください。

  • oci virtualability-scanning host scan recipe createコマンドおよび必須パラメータを使用して、新しいホスト・スキャン・レシピを作成します:

    oci vulnerability-scanning host scan recipe create --display-name <name> --compartment-id <compartment_ocid> --agent-settings '{"scanLevel": "<agent_scan_level>"}' --cis-benchmark-settings '{"scanLevel": "<CIS_scan_level>"}' --port-settings '{"scanLevel": "<port_scan_level>"}' --schedule '{"type":"<daily_or_weekly>"}'

    例:

    oci vulnerability-scanning host scan recipe create --display-name MyRecipe --compartment-id ocid1.compartment.oc1..exampleuniqueID --agent-settings '{"scanLevel": "STANDARD"}' --cis-benchmark-settings '{"scanLevel": "MEDIUM"}' --port-settings '{"scanLevel": "STANDARD"}' --schedule '{"type":"DAILY"}'

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateHostScanRecipe操作を実行して、新しいホスト・スキャン・レシピを作成します。

    ノート

    HostEndpointProtectionSettingsは効果がなく、将来の使用のために予約されています。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。