ファイルベースの ディスカバリー

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • ファイルベース ディスカバリー は、利用可能な登録情報がない場合でも、Windows および UNIX サーバーとデバイスでどのソフトウェアが実行されているかを識別するのに役立ちます。これに基づいて、ソフトウェアライセンスのレコードを管理および保守したり、無認可のファイルがないか確認したり、禁止されているファイルや破損しているファイルを検出したり、望ましくないファイルからの脅威を評価したりすることができます。

    必須のプラグイン

    ファイル署名フィルタリングには、ファイルベース ディスカバリー [com.snc.discovery.file_based_discovery] プラグインが必要です。ディスカバリー のサブスクリプションにはこのプラグインが含まれていますが、アクティベーションを要求する必要があります。ファイルベースの ディスカバリー プラグインがアクティブになると、ソフトウェア資産管理 - ファイル署名の正規化 [com.snc.file_signature_normalization] プラグインも有効になります。ファイル署名の正規化 プラグインの詳細については、「ファイル署名の正規化」を参照してください。

    ファイルベース ディスカバリー の仕組み

    ファイルベース ディスカバリー では、インストール済みソフトウェアの以前から存在するディスカバリーが強化されます。ファイル署名の既知のリストがないかターゲットサーバーがスキャンされ、一連の確立されたルールでそれらのファイルを処理します。結果として得られたデータから、インストール済みソフトウェアを詳しく識別することや、未登録のソフトウェア製品を識別することができます。

    ファイルベース ディスカバリー は、通常の ディスカバリー の探索フェーズでトリガーされます。ファイルベース ディスカバリー のプローブは、構成したパスにある特定のファイル拡張子またはファイル名を検索してスキャンを実行します。結果として得られたファイル情報は、プローブペイロードに返されます。センサーは、プローブによって返されたファイル名、サイズ、およびバージョンを使用して、検出されたファイルとインストール済みソフトウェアの照合を試みます。ファイルベース ディスカバリー ではファイル署名を使用して、登録されていない可能性があるソフトウェアを検出します。この情報は、サーバーの CI への参照とともにファイル情報 [cmdb_file_information] テーブルに格納されます。このテーブルの関連リストで、各 CI から見つかったファイルを確認できます。詳細については、「CI コンポーネントの関連リスト」を参照してください。ソフトウェア資産管理 (SAM) がアクティブな場合にソフトウェア製品と一致するファイルがあると、ディスカバリー はそのファイルに対して製品と公開者の情報を入力します。この情報を使用して、サーバー上で実行されているソフトウェアを理解し、望まないファイルからの脅威の評価に役立てることができます。ディスカバリーWindowsUNIX の既知のファイル署名のリストを使用して、検索のスコープを制限します。署名リストのサイズが大幅に異なるため、Windows と UNIX ホストのフィルタリングプロセスは異なる方法で実行されます。Unix ファイルディスカバリープローブには、はるかに小さな UNIX 署名リストが含まれており、ターゲットで直接処理されます。Windows の署名リストはこれよりもはるかに大きく、ターゲットでは処理できません。Windows ファイルディスカバリープローブは特定のファイル拡張子とパスについてターゲットをスキャンし、その結果を MID サーバー に返します。MID サーバー は Windows リスト全体を使用してファイル署名フィルタリングを実行します。次に MID サーバー は、正規化と照合のためにすべてのファイル情報をインスタンスに送信します。

    インスタンスで SAMP がアクティブである場合、ファイルベース ディスカバリー により、ソフトウェアインストール [cmdb_sam_sw_install] テーブルで識別されたソフトウェア製品が作成または更新され、一致するソフトウェアパッケージのライセンスが更新されます。SAMP がない場合、ソフトウェアレコードは作成されず、ファイル情報のみがファイル情報 [cmdb_file_information] テーブルに入ります。

    ディスカバリー構成コンソールで SWID タグを有効化できます。SWID タグが有効になっている場合、ファイルベース ディスカバリー を実行すると、SWID タグ情報が [cmdb_swid_tag] テーブルに入力されます。特定のマシンにインストールされているソフトウェアに関する情報には、名前、ファイル情報、公開者、バージョン、インストール先、およびコンテンツが含まれます。[cmdb_swid_tag] の software_installation 列は、[cmdb_sam_sw_install] テーブルへの参照です。
    注:
    Base64 パッケージは、UNIX または Linux サーバーがファイルベース ディスカバリー を使用して SWID タグファイルをスキャンするための前提条件です。
    図 : 1. ファイルベース ディスカバリー のフィルタリングフロー
    ファイルベースディスカバリーのフィルタリングフロー
    ファイルベース ディスカバリー では、正規化 API に一致しないファイルが不明なファイルセット [cmdb_unidentified_file_set] テーブルに挿入されます。このテーブルのレコードを更新し、以前は不明だったファイルの追加情報を入力できます。ファイルの [製品] フィールドと [公開者] フィールドの値を入力すると、SAMP の設定でファイルベース ディスカバリー を有効にして、今後の検出でのインストール済みソフトウェアの照合でそのファイルが使用できるようになります。
    注:
    ディスカバリー構成コンソールで設定を変更することによって、いつでもファイルベース ディスカバリー を無効にすることができます。スキャン結果が返される前にファイルベース ディスカバリー を無効にすると、ファイルデータは無視されます。
    図 : 2. ファイルベース ディスカバリー のテーブルスキーマ
    ファイルベースディスカバリーのテーブルスキーマ
    注:

    ファイルベース ディスカバリーWindowsUNIX デバイスをサポートしています。UNIX プローブは POSIX 準拠であり、Linux/Solaris サーバーで実行する必要があります。Windows 2008、2008R2、2012R2、2016、2019、およびそれ以降のバージョンの PowerShell 3.0 ~ 5.1 がサポートされています。また、AIX バージョン 5.3、6.1、7.1 および HP/UX 8.11 もサポートされています。

    Ubuntu バージョン 20 でファイルベースの ディスカバリー を実行している場合は、デフォルトの Bourne シェル (sh) を変更して Bourne Again シェル (bash) をポイントするようにします。

    バージョン情報は、プローブから返されたバージョン情報を含むファイルに対してのみ入力されます。すべてのファイルにバージョンがあるわけではありません。拡張子が exe や jar などのファイルにはバージョンがあります。

    ファイルベースディスカバリーの参照情報リンク ファイルベースディスカバリーの参照情報