ACC プラグイン固有の許可リストSummary<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } すぐに使用できるエージェントクライアントコレクター (ACC) プラグイン (別名アセット) には、プラグインに固有の許可リストが含まれています。 目次 例予想される動作これは問題にならないはずです。追加情報: 例 ACC インストールのキャッシュフォルダー内にファイルが表示されます。これらのリストは、アプリのバージョンによって頻繁に変更されます。 このエントリにより、チェックは引数の任意の組み合わせで check-head-redirect.rb を実行できます。 C:\ProgramData\ServiceNow\agent-client-collector\cache\monitoring-plugin-common\allow_list\check-allow-list.json (ACC-M v3.4.0) [ { "args":[ "" ], "exec":"check-head-redirect.rb", "skip_arguments":true... 以下では、ACC-F および ACC-V のホストディスカバリーに対してこれら 3 つの特定の引数セットのみが許可されます。この例では、カスタムチェックでbasic_inventory子スクリプトのみを実行することはできません。この例は、2022年8月のリリースバージョンでこのコマンドが変更され、すべての引数が許可されたため、私が書いている時点ではすでに古くなっています。 C:\ProgramData\ServiceNow\agent-client-collector\cache\acc-visibility-modules\allow_list\check-allow-list.json (ACC-V 2.2.0) [ { "args": [ "--compact --select=basic_inventory,file_systems,serial_numbers,network_adapters,tcp_connections,storage_devices,running_processes,local_users", "--compact --select=basic_inventory,installed_software", "--compact --select=basic_inventory,installed_software,sam_advanced" ], "exec": "endpoint_discovery.rb", "skip_arguments": false },... 予想される動作 プラグインの許可リストは、そのプラグインのスクリプトが実行されるときにコマンド/スクリプトとその引数にのみ適用されます特定のコマンドの場合、プラグイン許可リストは、acc.ymlで指定されたグローバル許可リスト内のどのものよりも優先されます。たとえば、グローバル許可リストとプラグイン許可リストに同じコマンドが含まれていて引数が異なる場合、プラグイン許可リストで指定された引数のみが許可されます。グローバル許可リストが使用されている場合は、すべてのプラグイン許可リストも使用されます。プラグイン固有の許可リストを個別にオフにすることはできません。許可リスト内のコマンドの「スキップパラメーター」が true に設定されていない場合、それらのコマンドでは明確にリストされたパラメーターのみが許可されます。グローバル許可リストがオフになっている場合にのみ、ACC プラグイン固有の許可リストも使用されません。プラグイン固有の許可リストを変更するには、tar.gz内のファイルを編集する必要があり、プラグインファイルを再パックして署名する必要があり、その後、すぐに使えるプラグインバージョンの将来のアップグレードでスキップされるカスタマイズになり、コードの不一致や問題が発生する可能性があります。 これは問題にならないはずです。 カスタムチェックでコマンドを実行します。すぐに利用可能な ACC プラグインのスクリプトを再利用しますが、プラグインの許可リストでカバーされない引数が異なります。OOTB プラグインファイルのカスタマイズを回避するために、カスタムプラグインを作成し、OOTB プラグインからスクリプトをコピーする必要がある場合があります。 一部の ACC 関連インスタンスアプリをアップグレードしましたが、すべてを同時にアップグレードしているわけではありません。例:ACC-F はアップグレードされましたが、ACC-V はまだ以前のバージョンです。これらのアプリのプラグインのスクリプト間には相互依存関係があるため、すべての ACC アプリを同時にアップグレードし、必要に応じて自動化を使用して新しいグローバル許可リストをプッシュして一致させる必要があります。これを行わないと、すぐに利用可能なチェックから「エージェント許可リストによって拒否されたコマンドを確認してください」というエラーが表示されることがあります。 Additional Information (追加情報): ServiceNow では、許可リスト機能をオフにすることはできません。これは、おそらくテストまたはデバッグ中に実行できますが、これを本番環境で意図的に設定することは許容できないセキュリティリスクです。新しいグローバル許可リストまたはacc.yml許可リスト設定をインスタンスを介して ACC インストールにプッシュできる機能を追加する予定はありません。これでは許可リストの目的が損なわれます。攻撃者が不正なスクリプトをインスタンスチェックまたはプラグインに追加した場合、インスタンス側からも実行できるように変更できるようにすることは望ましくありません。