QualysやNessusなどの脆弱性管理プロバイダ (PCIコンプライアンスなど) を使用している場合は、このプロバイダの検索トラフィックをそのままバイパスまたは許可するようにWorkload
Securityを設定する必要があります。
- 脆弱性検索プロバイダのIP範囲またはアドレスから新しいIPリストを作成する
- 受信および送信検索トラフィック用のファイアウォールルールを作成する
- 新規ファイアウォールルールをポリシーに割り当てて、脆弱性検索をバイパスする
これらのファイアウォールルールが新しいポリシーに割り当てられると、IPリストに追加したIPからのトラフィックは無視されWorkload Security。
Workload Securityは、脆弱性管理プロバイダのトラフィックでステートフルな問題や脆弱性を検索しません。代わりに、そのまま許可されます。
脆弱性検索プロバイダのIP範囲またはアドレスから新しいIPリストを作成する 
脆弱性検索プロバイダから提供されたIPアドレスを用意し、次の操作を行ってください。
手順
- Workload Securityコンソールで、[ポリシー]に移動します。
- 左ペインで、を展開します。
- をクリックします。
- 新しいIPリストの[名前]を入力してください。例: 「Qualys IP list」。
- Vulnerability Managementプロバイダから提供されたIPアドレスを[IP(s)]フィールドに1行ずつ貼り付けてください。
- [OK] をクリックします。
受信および送信検索トラフィック用のファイアウォールルールを作成する
IPリストを作成した後、ファイアウォールルールを2つ作成します: 1つは受信トラフィック用、もう1つは送信トラフィック用です。以下のガイドラインに基づいて名前を付けてください:
<プロバイダ名> 脆弱性トラフィック - 受信<プロバイダ名> 脆弱性トラフィック - 送信手順
- Workload Securityコンソールで、[ポリシー]をクリックします。
- 左ペインで[ルール]を展開します。
- をクリックします。
- 脆弱性管理プロバイダとの間で送受信されるTCPおよびUDP接続の受信と送信をバイパスする最初のルールを作成します。設定を指定しない場合は、初期設定のままにしておくことができます。
- [名前:] (推奨)
<name of provider> 脆弱性トラフィック - 受信 - [処理:] バイパス
- [プロトコル:] 任意
- [パケット送信元:] IPリストを選択し、作成した新しいIPリストを選択します。
- [名前:] (推奨)
- 次のルールを作成します。
- [名前:]
<name of provider> 脆弱性トラフィック - 送信 - [処理:] バイパス
- [プロトコル:] 任意
- [パケット送信元:] IPリストを選択し、作成した新しいIPリストを選択します。
- [名前:]
新しいファイアウォールルールをポリシーに割り当てて、脆弱性検索をバイパスする
脆弱性管理プロバイダによって検索されたコンピュータですでに使用されているポリシーを特定します。
ポリシーを個別に編集して、ファイアウォールモジュールにルールを割り当てます。
手順
- メインメニューで[ポリシー]をクリックします。
- 左ペインで[ポリシー]をクリックします。
- 右側の画面で、各ポリシーをダブルクリックしてポリシー詳細を開きます。
- ポップアップで、左ペインの[ファイアウォール]をクリックします。
- [割り当てられたファイアウォールルール]の下で、[割り当て/割り当て解除]をクリックします。
- 左上の表示が[すべて]ファイアウォールルールになっていることを確認してください。
- 検索ウィンドウを使用し、作成したルールを探して選択します。
- [OK] をクリックします。