詳細設定

エージェントのコマンドラインインターフェースから詳細設定を行うことで、エージェントを手動で設定できます。システム全体のエージェント設定の中には、Tenable Nessus Manager の詳細設定 または Tenable Vulnerability Management[Linked Agents] (リンクされたエージェント) タブから変更できるものもあります (詳細は、Tenable Vulnerability Management ユーザーガイドエージェントの設定を参照してください)。Nessus Agent は、入力された値を検証して、有効な設定のみを許可します。

Tenable Nessus Agent の詳細設定

nessuscli ユーティリティを使用して、コマンドラインインターフェースで次のエージェント設定が可能です。

コマンド # nessuscli fix --set setting=value を使用します。詳細は、Tenable Nessus Agent CLI コマンドを参照してください。

ヒント: 多数のエージェント (10,000 以上) を抱えるお客様の場合、agent_merge_audit_trailagent_merge_kbagent_merge_journal_mode、および agent_merge_synchronous_setting の設定を変更することができます。これらの設定を変更すると、エージェントのスキャン結果のマージにかかる時間が大幅に短縮されます。推奨される設定については、次の表の説明を参照してください。

名前

設定

説明

デフォルト値 有効な値
Agent Update Plan (エージェントアップデートプラン) agent_update_channel

(Tenable Vulnerability Management にリンクされたエージェントのみ)

エージェントアップデートプランを設定して、エージェントが自動的にアップデートするバージョンを指定します。

注意: Tenable Vulnerability Management にリンクされているエージェントの場合は、エージェントの nessuscli ユーティリティから agent_update_channel コマンドを実行する必要があります。Tenable Nessus Manager にリンクされているエージェントの場合は、Tenable Nessus Managernessuscli ユーティリティから agent_update_channel コマンドを実行する必要があります。

ga

ga: 一般公開 (GA) され次第、自動的に最新の Agent バージョンへと更新されます。注意: この日付は通常、バージョンが一般公開された日から 1 週間後です。重大なセキュリティ問題に対処するためのバージョンの場合は、Tenable から直ちに公開される場合があります。

ea: 早期アクセス (EA) 用にリリースされ次第、自動的に最新の Agent バージョンへとアップデートします。通常、一般公開よりも数週間早いタイミングです。

stable:自動的に最新の Tenable Nessus Agent バージョンに更新しません。Tenable が設定した、Tenable Nessus Agent の古いバージョンを維持します。これは通常、最新の一般公開バージョンよりも 1 リリース前のものとなりますが、7.7.0 よりも前のバージョンにはなりません。Tenable Nessus Agent が新しいバージョンがリリースすると、 エージェントはソフトウェアバージョンをアップデートしますが、最新のリリースよりも前のバージョンに留まります。

Always Validate SSL Server Certificates (SLL サーバー証明書を常に検証する) strict_certificate_validation

この機能を有効にすると、初期リモートリンク中であっても、SSL サーバー証明書を常に検証します (マネージャーが信頼できるルート CA を使用する必要があります)。

no yes または no
Automatic Hostname Update (ホスト名の自動アップデート) update_hostname この機能を有効にすると、エンドポイント上のホスト名が変更されたとき、新しいホスト名がエージェントのマネージャーで更新されます。カスタムのエージェント名が上書きされないようにするために、この機能はデフォルトで無効になっています。 yes または no
Connection Status Check Time (接続ステータスのチェック時間) connection_status_check_time

(Tenable Vulnerability Management にリンクされたエージェントのみ)

オフライン時にエージェントが接続ステータスをチェックする頻度を秒単位で設定します。

900 299 より大きい整数
Days To Keep Unused Plugins (未使用のプラグインを保持する日数) day_to_keep_unused_plugins

(Tenable Vulnerability Management にリンクされたエージェントのみ)

エージェントが未使用のプラグインセットを削除するまでの期間 (日数) を決定します。

たとえば、この設定を 14 に設定し、エージェントが 14 日以上スキャンにプラグインセットのいずれかを使用しなかった場合、エージェントはそのプラグインセットを削除します。

14 7 よりも大きい整数
Detect Duplicate Agents (重複エージェントを検出する) detect_duplicates

この設定に関係なく、エージェントは、MAC アドレスの現在のリストをエージェントがリンク時に保持していた MAC アドレスと比較することで、重複しているエージェントかどうかを自動的にチェックします。Tenable Vulnerability Management または Tenable Nessus Manager 8.11.1 以降にリンクされているエージェントの場合、マネージャーは同じチェックを実行して重複するエージェントを特定します。

無効にすると、エージェントは自動的に重複を backend.log に記録しますが、アクションは実行されません。

有効にした場合、エージェントまたはマネージャーのいずれかが重複するエージェントを検出すると、エージェントは自動的にそのリンクを解除し、識別情報 (例: UUID) を再生成して、再度リンクできるようにします。このイベントは、backend.log に記録されます。エージェントを手動で再リンクする必要があります。

no yes または no
Disable Core Updates (コアアップデートを無効にする) disable_core_updates yes に設定すると、エージェントは自動コアアップデートをリクエストしません。ただし、ソフトウェアのバージョンは手動でアップグレードできます。エージェントは引き続きプラグインアップデートを受信できます。 no yes または no
Log File Maximum Files (ログファイルの最大ファイル数) logfile_max_files Tenable Nessus Agent がディスク上に保持する nessusd.messages ファイルの最大数を決定します。nessusd.messages ログファイル数が指定された値を超えると、Tenable Nessus Agent は最も古いログファイルを削除します。

Tenable Nessus — 100

Tenable Nessus Agent — 2

1 から 1000 までの整数

Log File Maximum Size logfile_max_size nessusd.messages ファイルの最大サイズ (MB) を決定します。ファイルサイズが最大サイズを超えると、Tenable Nessus Agent は新しいメッセージログファイルを作成します。

Tenable Nessus —512

Tenable Nessus Agent — 10

1 から 2048 までの整数
Log File Rotation Time logfile_rotation_time Tenable Nessus Agent メッセージログファイルのローテーションの頻度を日数で指定します。 1 1~365 の整数
Log File Rotation logfile_rot Tenable Nessus Agent がメッセージログファイルをローテーションする基準が、ローテーションの最大サイズと時間のどちらであるかを決定します。 サイズ

sizeTenable Nessus Agent は、logfile_max_size で指定されたサイズに基づいてログファイルをローテーションします。

timeTenable Nessus Agent は、logfile_rotation_time で指定された時間に基づいてログファイルをローテーションします。

Long Term Upload Interval Seconds (長期アップロード間隔の秒数) long_term_upload_interval_seconds

(Tenable Vulnerability Management にリンクされたエージェントのみ)

スマートスキャン結果のアップロードを次回試行するまでエージェントが待機する秒数を設定します。

180 59 よりも大きい整数
Maximum Scans Per Day (一日あたりの最大スキャン数) Maximum_scans_per_day エージェントが 1 日につき実行できる最大スキャン数を設定します。 10 整数の 1 〜 48
Minimum Agent Health Update Interval min_agent_health_update_interval

(Tenable Vulnerability Management-linked agents only)

Determines the minimum amount of time, in minutes, after which the agent updates its health events tracked in Tenable Vulnerability Management.

60 Integers >59
Minimum Metadata Update Interval (メタデータの最小更新間隔) min_metadata_update_interval

(Tenable Vulnerability Management にリンクされたエージェントのみ)

エージェントがメタデータの Tenable Vulnerability Management へのプッシュを次回試行するまでの最小分数を決定します。

注意: エージェントは、メタデータが変更された場合にのみ、メタデータを Tenable Vulnerability Management にプッシュしようとします。

10 4 よりも大きい整数
Nessus Dump File Max Files (Nessus ダンプファイルの最大ファイル数) dumpfile_max_files ディスク上に保存される nessusd.dump ファイルの最大数を設定します。この設定では、ファイル数が指定された値を超えると、最も古いダンプファイルが削除されます。 100 1 から 1000 までの整数
Nessus Dump File Max Size dumpfile_max_size nessusd.dump ファイルの最大サイズ (MB) を設定します。ファイルサイズが最大サイズを超えると、新しいダンプファイルが作成されます。 512 1 から 2048 までの整数
Offline Agent Scan Trigger Execution Threshold (オフラインエージェントスキャントリガーを実行するしきい値) offline_agent_scan_trigger_execution_threshold_days

(Tenable Vulnerability Management にリンクされたエージェントのみ)

ルールベースのスキャンが起動されなくなるまでのオフラインの日数を決定します。

14 ゼロより大きい整数
Plugin Compilation Performance (プラグインのコンパイルパフォーマンス) plugin_load_performance_mode

CPU 使用率に影響を与える、プラグインのコンパイルパフォーマンスを設定します。パフォーマンスを low にするとプラグインのコンパイル速度が低下しますが、エージェントの CPU 消費量は減少します。パフォーマンスを medium または high にすると、プラグインのコンパイル完了までの時間が短縮されますが、エージェントの CPU 消費量は増加します。詳細については、エージェントの CPU リソースコントロールを参照してください。

high

lowmedium、または high

Scan Performance (スキャンパフォーマンス) scan_performance_mode CPU 使用率に影響を与える、スキャンのパフォーマンスを設定します。パフォーマンスを low にするとスキャン速度が低下しますが、エージェントの CPU 消費量は減少します。パフォーマンスを medium または high にすると、スキャン完了までの時間が短縮されますが、エージェントの CPU 消費量は増加します。詳細については、エージェントの CPU リソースコントロールを参照してください。 high lowmedium、または high
Skip Asset Observation On Update (アップデート時に資産観察をスキップする) skip_asset_observation_on_update

Tenable Vulnerability Management にリンクするときに、エージェントが資産メタデータのみを更新するかどうかを決定します。この設定を no に設定すると、エージェントは Minimum Metadata Update Interval (メタデータの最小更新間隔) に基づいて新しい資産メタデータで Tenable Vulnerability Management を更新します。

no yes または no
SSL Cipher List (SSL 暗号リスト) ssl_cipher_list エージェントアウトバウンド接続に使用する暗号リストを設定します。 compatible
  • legacy - 旧式の API と統合できる暗号のリスト。
  • compatible - 安全な暗号のリスト。最新のすべての暗号が含まれていない場合があります。
  • modern - 最新の最も安全な暗号のリスト。
  • custom - カスタム OpenSSL 暗号リスト。有効な暗号リストの形式については、OpenSSL のドキュメントを参照してください。
SSL Mode (SSL モード) ssl_mode サポートされる TLS の最小バージョンです。 tls_1_2
  • compat — TLS v1.0 以上
  • ssl_3_0 - SSL v3 以上
  • tls_1_1 - TLS v1.1 以上
  • tls_1_2 - TLS v1.2 以上

Tenable Nessus Agent の安全な設定

nessuscli ユーティリティを使用して、コマンドラインインターフェースで次の安全な設定が可能です。

コマンド # nessuscli fix --secure --set setting=value を使用します。詳細は、Tenable Nessus Agent CLI コマンドを参照してください。

警告: ドキュメントにない --secure 設定の変更は Tenable でサポートされない設定となるため推奨していません。

設定 説明 有効な値
auto_proxy

(Windows のみ) 有効な場合、エージェントは Web Proxy Auto Discovery (WPAD) を使用して Proxy Auto Config (PAC) ファイルを取得し、プロキシを設定します。この設定は、他のすべてのプロキシ設定に優先します。

無効な場合、エージェントは残りのプロキシ設定をデフォルトにします。

true または false
ignore_proxy

有効にした場合、エージェントは、設定されたプロキシを使用する代わりに、10 回失敗するまでマネージャーへの直接接続を試行します。

無効にした場合、エージェントは、設定されたプロキシを使用して、3 回失敗するまで接続を試行します。

プロキシ接続のフォールバックで説明されているように、この設定は自動的に変更されます。この設定を手動で設定することもできます。ただし、いずれかの時点で、エージェントが プロキシ接続のフォールバックで説明されている条件の 1 つを満たした場合、エージェントは自動的に設定を変更します。

yes または no

ms_proxy

有効にすると、エージェントはプロキシを使用してマネージャーに接続します。 true または false
proxy プロキシサーバーのホスト名または IP アドレス。 文字列

proxy_port

プロキシサーバーのポート番号。 文字列
proxy_auth (オプション) 認証を使用してプロキシに接続する場合は、認証スキームを指定します。 basicdigestntlm、または auto
proxy_username 認証を使用してプロキシに接続する場合、プロキシサーバーへのアクセスと使用が許可され ているユーザーアカウント名。 文字列 (スペースがある場合は、引用符 (") を使用します)
proxy_password プロキシで認証する場合、ユーザー名に関連付けられたパスワード。 文字列

Tenable Nessus Manager の詳細設定

[Agents & Scanners] (エージェントとスキャナー) セクションで、以下に示す、Tenable Nessus Manager のシステム全体のエージェント設定が可能です。詳細は、Tenable Nessus ユーザーガイド詳細設定を参照してください。

名前

設定

説明

デフォルト値 有効な値
Agent Auto Delete agent_auto_delete エージェントが非アクティブになってから agent_auto_delete_threshold で設定されている期間が経過した後、エージェントが自動的に削除されるかどうかを制御します。 no yes または no
Agent Auto Delete Threshold agent_auto_delete_threshold agent_auto_deleteyes に設定されている場合に、非アクティブなエージェントが自動的に削除されるまでの日数です。 60 1 から 365 までの整数
Agent Auto Unlink agent_auto_unlink

エージェントが非アクティブになってから agent_auto_unlink_threshold で設定されている期間が経過した後、エージェントが自動的にリンク解除されるかどうかを制御します。

no yes または no
Agent Auto Unlink Threshold agent_auto_unlink_threshold

agent_auto_unlinkyes に設定されている場合に、非アクティブなエージェントが自動的にリンク解除されるまでの日数です。

注意: この値は、agent_auto_delete_threshold の値より少なくする必要があります。

30 30 から 90 までの整数
Agents Progress agents_progress_viewable エージェント数がこの設定値を超えると、スキャンでエージェントから情報が収集されても、Tenable Nessus Manager はエージェントの詳細情報を表示しません。その代わりに、スキャンが完了したときに、スキャン結果が収集されて閲覧できることを示すメッセージが表示されます。 100

これは整数で表示されます。

ゼロに設定された場合、デフォルト値の 100 に戻ります。

Automatically Download Agent Updates agent_updates_from_feed

この機能を有効にすると、Tenable Nessus Agent ソフトウェアの新しい更新プログラムが自動でダウンロードされます。

yes yes または no
Concurrent Agent Software Updates cloud.manage.download_max エージェントの更新プログラムを同時にダウンロードできる最大数です。 10 整数
Include Audit Trail Data agent_merge_audit_trail

エージェントスキャン結果の監査証跡データをメインのエージェントデータベースに含めるかどうかを決めます。監査証跡データを除外すると、エージェントスキャン結果の処理パフォーマンスが大幅に向上します。

この設定が [false] に設定されていると、個別のスキャンやポリシーの [Audit Trail Verbosity] (監査証跡の詳細) 設定がデフォルトで [No audit trail] (監査証跡なし) に設定されます。

Nessus 8.3 以降で利用できます。

false true または false
Include KB Data agent_merge_kb

メインのエージェントデータベースにエージェントのスキャン結果の KB データを含めます。KB データを除外すると、エージェントスキャン結果の処理パフォーマンスが大幅に向上します。

この設定が [false] に設定されていると、個別のスキャンやポリシーの [Include the KB] (KB を含む) 設定がデフォルトで [Exclude KB] (KB を含まない) に設定されます。

Nessus 8.3 以降で利用できます。

false true または false
Result Processing Journal Mode agent_merge_journal_mode

エージェントの結果を処理するときに使用するジャーナルモードを設定します。環境によっては、これによって処理パフォーマンスが向上する場合がありますが、クラッシュが発生した場合にスキャン結果が破損するリスクもあります。詳細は、sqlite3 のドキュメントを参照してください。

Nessus 8.3 以降で利用できます。

DELETE

MEMORY

TRUNCATE

DELETE

Result Processing Sync Mode agent_merge_synchronous_setting

エージェントの結果を処理するときに使用するファイルシステムの同期モードを設定します。この設定をオフにすると処理パフォーマンスは大きく向上しますが、クラッシュが発生した場合にスキャン結果が破損するリスクもあります。詳細は、sqlite3 のドキュメントを参照してください。

Nessus 8.3 以降で利用できます。

FULL

OFF

NORMAL

FULL

Track Unique Agents track_unique_agents この機能を有効にすると、Tenable Nessus Manager はリンクしようとしているエージェントの MAC アドレスが、同じホスト名、プラットフォーム、ディストリビューションを持つ、リンク済みエージェントの MAC アドレスと一致するかどうかをチェックします。Tenable Nessus Manager はエージェントの重複があればそれを削除します。 no yes または no