Nmap を使用した認証情報なしディスカバリー

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:8分

    • 認証エラーのためにインスタンスが構成アイテム (CI) の識別に失敗した場合、ディスカバリーまたはサービスマッピングは、認証情報を使用せずに CI に関する基本的な情報を収集するために、選択したネットワークマッパー (Nmap) コマンドを MID サーバーで実行できます。

    MID サーバーアドミニストレーターは、Windows ホスト上で実行されている個々の MID サーバーに Nmap をインストールすることができます。これらの MID サーバーは、通常の認証が失敗したときに、ネットワーク内の CI に関する基本的な情報を検出できます。
    重要:
    ネットワークセキュリティによって install.service-now.com からのダウンロードが許可されない自己ホストされた顧客は、手動で各自のシステムに Nmap をインストールし構成する必要があります。手順については、「自己ホストシステムへの Nmap のインストール」を参照してください。

    認証情報なしディスカバリーでは、認証情報が不足しているか構成が間違っている場合に、ホストおよびアプリケーション CI を作成または変更できますNmap が CI を作成した後に認証情報ベースのディスカバリーが正常に実行された場合、各タイプのディスカバリーから収集された情報がシステムによって調整されます。

    Nmap の検出対象

    認証情報なしディスカバリーで実行される Nmap コマンドは、次のとおりです。
    • DNS 名の逆引き解決を実行して、IPv4 アドレスからホストを特定します。
    • Nmap コマンドを実行しているホストと同じサブネット上にホストがある場合は、ホストの MAC アドレスを返します。
    • ターゲットホストにインストールされているアプリケーションを検出します。
    • ターゲットホストと OS バージョンのオペレーティングシステムを検出します。
    注:

    認証情報なしディスカバリーでは、ルーターとスイッチがハードウェアとして分類されます。それらに対する特定 CI の作成や更新は行いません。

    認証情報なしディスカバリーは、認証情報が実行できない既知のサブネットでのみ使用する必要があり、長期間使用しないでください。

    クラウドコンピューティングプラットフォームにおける Nmap の認証情報なしのディスカバリースキャン

    Amazon Web Service、Microsoft Azure、IBM Cloud、Google Cloud Platform などのクラウドコンピューティングサービス内の任意のリソースに対する Nmap スキャンの実行が、サービス契約条件に違反することはよくあります。たとえば、Amazon Web Service (AWS) 環境は厳しく規制されており、AWS 脆弱性/侵入テストリクエストフォームを利用した AWS の許可が必要です。AWS サービスまたは AWS 所有リソースに対する未承認のテストは禁止されています。これらの理由から、クラウドコンピューティングサービス環境内における認証情報なしディスカバリーは適切ではありません。ポリシー違反が発生した場合、サービスから除外される可能性があります。Nmap を実行するための制限事項または権限の要件については、プラットフォームサービスプロバイダーにお問い合わせください。

    NNmap とともにインストールされるコンポーネント

    ディスカバリー または サービスマッピング が有効になっていると、Nmap 機能を提供するディスカバリー - IP ベースの [com.snc.discovery.ip_based] プラグインが自動的に有効になります。これらの Nmap コンポーネントは、ディスカバリー - IP ベースのプラグインによって提供されます。
    コンポーネント 説明
    システム プロパティ mid.discovery.credentialless.enable プロパティは、インスタンスに接続されている Nmap がインストールされているすべての MID サーバーに対して Nmap を有効または無効にします。このプロパティは、ディスカバリープラグインとともにインストールされ、デフォルトで有効になっています。システムアドミニストレーターにより設定することができます。
    MID サーバープロパティ MID サーバープロパティ [ecc_agent_property] テーブルにあるこれらのプロパティは、設定を想定していません。
    • mid.nmap.version:環境内の MID サーバーにインストールされている Nmap のバージョンです。このフィールドは、Nmap がインストールされた後に MID サーバー [ecc_agent] フォームに表示されます。
    • nmap.safe.scripts:Nmap のアプリケーションバージョン検出フェーズ (-sV コマンドオプション) の実行中に使用することが安全であると分類される Nmap スクリプトのリストを定義します。
    • nmap.npcap.version:Nmap とともにインストールされる Npcap のバージョンです。Nmap インストーラーは、検出した既存の Npcap インストールのアップグレードのみを実行できます。
    フィールド
    • 認証情報なしディスカバリーポート [cl_port]:認証情報なしのディスカバリーによってスキャンされたポートの数を表示するアプリケーション [cmdb_ci_appl] テーブルのオプションのフィールドです。このポート番号は、Nmap によって返されたアプリケーションに一致する CI が CMDB に存在するかどうか、または新しい CI を作成する必要があるかどうかを判断するために使用されます。
    • ディスカバリーソース [discovery_source]:[CredentiallessDiscovery] の選択肢が追加される構成アイテム [cmdb_ci] テーブルのオプションのフィールドです。このオプションは、CI の作成に認証情報なしディスカバリーが使用されたことを示します。
    Nmap MID サーバー機能 NmapMID サーバー機能は、Nmap がインストールされた時点で MID サーバーに追加され、Nmap がアンインストールされると自動的に削除されます。この機能を持つ MID サーバーのみが認証情報なしディスカバリーを実行できます。システムアドミニストレーターは、この機能を手動で追加または削除することはできません。メンテナンスロールを持つ自己ホストの顧客は Nmap 機能を変更または削除することはできますが、するべきではありません

    サービスマッピングでは、Nmap 機能の存在を確認しないで、IP アドレスにのみ基づいて MID サーバーを選択します。サービスマッピングが Nmap 機能を持たない MID サーバーを選択しないようにするには、認証情報なしディスカバリーを有効にする IP アドレス範囲に割り当てられた、すべての MID サーバーに Nmap をインストールします。サービスマッピングが、Nmap 機能を持たない認証情報なしディスカバリー用に MID サーバーを選択する場合、検出される CI のサイトのマップに次のエラーメッセージが表示されます:「Nmap is not installed on MID Server. Verify all MIDs configured to handle selected IP Address have Nmap Capability. Nmap root directory path does not exist: <path>」

    注:
    MID サーバーの [すべて] の機能に Nmap 機能は含まれません。
    Npcap Npcap は、Windows 用の Nmap のパケットキャプチャライブラリーです。Npcap は、Nmap がポートスキャンを迅速に実行し、ターゲット上で実行されているオペレーティングシステムのファミリーを識別できるようにします。Npcap のコピーは MID サーバーホストごとに 1 つだけインストールされます。

    Npcap は他のアプリケーションで使用できるため、Nmap をアンインストールしても Npcap は自動的にアンインストールされません。他の依存関係が存在しないことを確認した後、Npcap を手動でアンインストールする必要があります。
    パターン
    • 認証情報なしディスカバリーネットワークデバイス:ホストを識別するために、Nmap コマンドを使用してホストの IP アドレスをスキャンします。このパターンは、[認証情報なしディスカバリーネットワークデバイス - PreLaunch] スクリプトを起動して、IP サービス [cmdb_ip_service] テーブルから探索するポートのリストを取得します。このスクリプトは変更しないでください。
    • 認証情報なしディスカバリーアプリケーション:ポートをアクティブにリッスンしているアプリケーションサービスを識別するために、Nmap コマンドを使用して IP アドレスのポートをスキャンします。サービスマッピングは、すべての認証情報ベースのポート分類ステップが失敗した場合に、このパターンを起動します。ディスカバリーは、ポートがオープンで、名前と製品でサービスを識別できる場合、アプリケーション [cmdb_ci_appl] テーブルに CI を作成します。サービスがどのスキャン試行にも応答しない場合、Nmap はその nmap-service レジストリーを調べ、そのポート上で実行されている可能性が高いサービスを推測します。Nmap がスキャンしたポートで実行されているアプリケーションを推測する必要がある場合、認証情報なしディスカバリーアプリケーションパターンはアプリケーション CI を作成したり、既存の CI を更新したりしません。
    MID サーバースクリプトインクルード
    • SetCredentialLessDeviceClassName:Nmap コマンドの実行に成功した後に、どのホスト CI を作成または更新するかを決定します。このスクリプトは変更しないでください。
    • CredentialLessApplicationClassNameMapper:スキャンしたポートの Nmap が提供するサービス製品、サービス名、および補足情報を、インスタンス内のサポートされているアプリケーションテーブルにマップします。システムアドミニストレーターはこのスクリプトを変更できます。
    • SetCredentialLessApplicationClassName CredentialLessApplicationClassNameMapper スクリプトが 1 回だけ呼び出されるようにします。このスクリプトは変更しないでください。
    システムスクリプトインクルード CredentiallessDiscoveryAjax スクリプトインクルードは、インスタンス上で実行され、Windows MID サーバーで Nmap のインストールとアンインストールを行い、フォーム上の UI アクションから実行されます。このスクリプトは変更しないでください。