Nmap を使用した資格情報なしの Discovery

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • 認証エラーのためにインスタンスが構成アイテム (CI) の識別に失敗した場合、Discovery または Service Mapping は、資格情報を使用せずに CI に関する基本的な情報を収集するために、選択したネットワークマッパー (Nmap) コマンドを MID Server で実行できます。

    MID Server 管理者は、Windows ホスト上で実行されている個々の MID Server に Nmap をインストールすることができます。これらの MID Server は、通常の認証が失敗したときに、ネットワーク内の CI に関する基本的な情報を検出できます。
    重要:
    ネットワークセキュリティによって install.service-now.com からのダウンロードが許可されない自己ホストされた顧客は、手動で各自のシステムに Nmap をインストールし構成する必要があります。手順については、「自己ホストシステムへの Nmap のインストール」を参照してください。

    資格情報なしの Discovery では、資格情報が不足しているか構成が間違っている場合に、ホストおよびアプリケーション CI を作成または変更できますNmap が CI を作成した後に資格情報ベースの Discovery が正常に実行された場合、各タイプの検出から収集された情報がシステムによって調整されます。

    Nmap の検出対象

    資格情報なしの Discovery で実行される Nmap コマンドは、次のとおりです。
    • DNS 名の逆引き解決を実行して、IPv4 アドレスからホストを特定します。
    • Nmap コマンドを実行しているホストと同じサブネット上にホストがある場合は、ホストの MAC アドレスを返します。
    • ターゲットホストにインストールされているアプリケーションを検出します。
    • ターゲットホストと OS バージョンのオペレーティングシステムを検出します。
    注:

    資格情報なしの Discovery では、ルーターとスイッチがハードウェアとして分類されます。それらに対する特定 CI の作成や更新は行いません。

    資格情報なしの Discovery は、資格情報が実行できない既知のサブネットでのみ使用する必要があり、長期間使用しないでください。

    クラウドコンピューティングプラットフォームにおける Nmap の資格情報なしの検出スキャン

    Amazon Web Service、Microsoft Azure、IBM Cloud、Google Cloud Platform などのクラウドコンピューティングサービス内の任意のリソースに対する Nmap スキャンの実行が、サービス利用規約に違反することはよくあります。たとえば、Amazon Web Service (AWS) 環境は厳しく規制されており、AWS 脆弱性/侵入テストリクエストフォームを利用した AWS の許可が必要です。AWS サービスまたは AWS 所有リソースに対する未承認のテストは禁止されています。これらの理由から、クラウドコンピューティングサービス環境内における資格情報なしの Discovery は適切ではありません。ポリシー違反が発生した場合、サービスから除外される可能性があります。Nmap を実行するための制限事項または権限の要件については、プラットフォームサービスプロバイダーにお問い合わせください。

    NNmap とともにインストールされるコンポーネント

    ディスカバリー または サービスマッピング が有効になっていると、Nmap 機能を提供する Discovery - IP ベースの [com.snc.discovery.ip_based] プラグインが自動的に有効になります。これらの Nmap コンポーネントは、Discovery - IP ベースのプラグインによって提供されます。
    コンポーネント 説明
    システム プロパティ mid.discovery.credentialless.enable プロパティは、インスタンスに接続されている Nmap がインストールされているすべての MID Server に対して Nmap を有効または無効にします。このプロパティは、Discovery プラグインとともにインストールされ、デフォルトで有効になっています。システム管理者により設定することができます。
    MID Server プロパティ MID Server プロパティ [ecc_agent_property] テーブルにあるこれらのプロパティは、設定を想定していません。
    • mid.nmap.version:環境内の MID Server にインストールされている Nmap のバージョンです。このフィールドは、Nmap がインストールされた後に MID Server [ecc_agent] フォームに表示されます。
    • nmap.safe.scripts:Nmap のアプリケーションバージョン検出フェーズ (-sV コマンドオプション) の実行中に使用することが安全であると分類される Nmap スクリプトのリストを定義します。
    • nmap.npcap.version:Nmap とともにインストールされる Npcap のバージョンです。Nmap インストーラーは、検出した既存の Npcap インストールのアップグレードのみを実行できます。
    フィールド
    • 資格情報なしの検出ポート [cl_port]:資格情報なしの Discovery によってスキャンされたポートの数を表示するアプリケーション [cmdb_ci_appl] テーブルのオプションのフィールドです。このポート番号は、Nmap によって返されたアプリケーションに一致する CI が CMDB に存在するかどうか、または新しい CI を作成する必要があるかどうかを判断するために使用されます。
    • 検出ソース [discovery_source]:[CredentiallessDiscovery] の選択肢が追加される構成アイテム [cmdb_ci] テーブルのオプションのフィールドです。このオプションは、CI の作成に資格情報なしの Discovery が使用されたことを示します。
    Nmap MID Server 機能 NmapMID Server 機能は、Nmap がインストールされた時点で MID Server に追加され、Nmap がアンインストールされると自動的に削除されます。この機能を持つ MID Server のみが資格情報なしの Discovery を実行できます。システム管理者は、この機能を手動で追加または削除することはできません。メンテナンスロールを持つ自己ホストの顧客は Nmap 機能を変更または削除することはできますが、するべきではありません

    Service Mapping では、Nmap 機能の存在を確認しないで、IP アドレスにのみ基づいて MID Server を選択します。Service Mapping が Nmap 機能を持たない MID Server を選択しないようにするには、資格情報なしの Discovery を有効にする IP アドレス範囲に割り当てられた、すべての MID Server に Nmap をインストールします。Service Mapping が、Nmap 機能を持たない資格情報なしの Discovery 用に MID Server を選択する場合、検出される CI のサイトのマップに次のエラーメッセージが表示されます:「Nmap is not installed on MID Server. Verify all MIDs configured to handle selected IP Address have Nmap Capability. Nmap root directory path does not exist: <path>」

    注:
    MID Server の [すべて] の機能に Nmap 機能は含まれません。
    Npcap Npcap は、Windows 用の Nmap のパケットキャプチャライブラリーです。Npcap は、Nmap がポートスキャンを迅速に実行し、ターゲット上で実行されているオペレーティングシステムのファミリーを識別できるようにします。Npcap のコピーは MID Server ホストごとに 1 つだけインストールされます。

    Npcap は他のアプリケーションで使用できるため、Nmap をアンインストールしても Npcap は自動的にアンインストールされません。他の依存関係が存在しないことを確認した後、Npcap を手動でアンインストールする必要があります。
    パターン
    • 資格情報なし Discovery ネットワークデバイス:ホストを識別するために、Nmap コマンドを使用してホストの IP アドレスをスキャンします。このパターンは、[資格情報なし Discovery ネットワークデバイス - PreLaunch] スクリプトを起動して、IP サービス [cmdb_ip_service] テーブルから探索するポートのリストを取得します。このスクリプトは変更しないでください。
    • 資格情報なし Discovery アプリケーション:ポートをアクティブにリッスンしているアプリケーションサービスを識別するために、Nmap コマンドを使用して IP アドレスのポートをスキャンします。Service Mapping は、すべての資格情報ベースのポート分類ステップが失敗した場合に、このパターンを起動します。Discovery は、ポートがオープンで、名前と製品でサービスを識別できる場合、アプリケーション [cmdb_ci_appl] テーブルに CI を作成します。サービスがどのスキャン試行にも応答しない場合、Nmap はその nmap-service レジストリーを調べ、そのポート上で実行されている可能性が高いサービスを推測します。Nmap がスキャンしたポートで実行されているアプリケーションを推測する必要がある場合、資格情報なし Discovery アプリケーションパターンはアプリケーション CI を作成したり、既存の CI を更新したりしません。
    MID Server スクリプトインクルード
    • SetCredentialLessDeviceClassName:Nmap コマンドの実行に成功した後に、どのホスト CI を作成または更新するかを決定します。このスクリプトは変更しないでください。
    • CredentialLessApplicationClassNameMapper:スキャンしたポートの Nmap が提供するサービス製品、サービス名、および補足情報を、インスタンス内のサポートされているアプリケーションテーブルにマップします。システム管理者はこのスクリプトを変更できます。
    • SetCredentialLessApplicationClassName CredentialLessApplicationClassNameMapper スクリプトが 1 回だけ呼び出されるようにします。このスクリプトは変更しないでください。
    システムスクリプトインクルード CredentiallessDiscoveryAjax スクリプトインクルードは、インスタンス上で実行され、Windows MID Server で Nmap のインストールとアンインストールを行い、フォーム上の UI アクションから実行されます。このスクリプトは変更しないでください。