詳細なスキャン設定

有効にすると、リモートホストに悪影響を及ぼす可能性のあるすべてのプラグインが無効になります。

スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより「修正されない」ものとしてマークされた CVE が含まれます。

この設定を有効にすると、各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成され、全体的な検出結果数が増える可能性があります。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。

注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Nessus は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。

有効にすると、ホストの無応答状態が検出された場合に Tenable Nessus はスキャンを停止します。この状況は、スキャン中にユーザーがPCをオフにした場合、サービス拒否プラグイン後にホストが応答を停止した場合、またはセキュリティメカニズム (IDS など) がサーバーへのトラフィックのブロックを開始した場合に発生することがあります。通常これらのマシンでスキャンを継続すると、ネットワーク全体に不要なトラフィックが送信され、スキャンが遅延します。

デフォルトでは、Tenable Nessus は IP アドレスのリストを順番にスキャンします。有効にすると、Tenable Nessus は IP アドレス範囲内のホストのリストをランダムな順番でスキャンします。通常このアプローチは、大規模なスキャン中にネットワークトラフィックを分散するのに有用です。

有効にすると、認証スキャンが免責事項要求のある FortiOS ホストに SSH 経由で接続を試みる場合に、スキャナーが免責事項要求の了承に必要なテキスト入力を行い、スキャンを継続します。

スキャンは、サポートされている認証方法を取得するために、最初に不良 ssh リクエストをターゲットに送信します。これにより、ターゲットへの接続方法を決定できます。この方法は、カスタム ssh バナーを設定してから、ホストへの接続方法を決定する際に便利です。

無効にすると、スキャナーがデバイスに接続して免責事項を了承することができないため、免責事項要求のあるホストに対する認証スキャンは失敗します。プラグインの出力にエラーが表示されます。

無効になっている場合、Tenable Nessus の 1 つのスキャナーが同時にスキャンしないよう抑止し、こうしてホストの過負荷を防ぎます。代わりに Tenable Nessus スキャナーは、IP アドレスのスキャンの試行を、それがそのスキャナー上の同じスキャンタスクや複数のスキャンタスクに一度以上現れた場合でも順番に実行します。スキャン完了までの時間が長くなる可能性があります。

有効になっている場合、Tenable Nessus スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、ホストに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。

Tenable Nessus がスキャンを許可する認証局 (CA) を指定します。[Trusted CAs] (信頼できる CA) ボックスに、1 つまたは複数の CA のテキストを入力します。

ヒント: 1 つのテキストファイルに証明書を 1 つ以上保存することができます。それぞれについて、開始テキストと終了テキストを含めます。

スキャナーレベルで信頼できる CA を指定することもできます。詳細は、カスタム CA を信頼するを参照してください。

Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる)

有効にすると、Tenable は、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出できます。ネットワーク輻輳を検出すると、スキャンを調整して輻輳に対応し、緩和します。輻輳が緩和されると、Tenable は自動的にネットワークパイプ内の使用可能なスペースを再び使用しようとします。

Network timeout (in seconds) (ネットワークタイムアウト (秒))

プラグイン内で特に指定されていない場合に、Tenable がホストからの応答を待機する時間を指定します。低速接続でスキャンしている場合、この値を高い秒数に設定しても構いません。

Max simultaneous checks per host (ホストごとの同時チェックの最大数)

Tenable スキャナーが 1 つのホストに対して同時に実行するチェックの最大数を指定します。

Max simultaneous hosts per scan (スキャンごとの同時ホストの最大数)

30 か、または Tenable Nessus スキャナーの詳細設定 max_hosts のうち小さい方の値。

スキャナーが同時にスキャンするホストの最大数を指定します。

[Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) に、スキャナーの max_hosts の設定値より大きい値を設定すると、Nessus は [Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を max_hosts の値に制限します。たとえば、[Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を 150 に設定した場合、スキャナーの max_hosts が 100 に設定されているとしたら、この値は 100 ターゲットを超えています。したがって、Nessus が同時にスキャンするホストの最大数は 100 となります。

Max number of concurrent TCP sessions per host (ホストあたりに同時に実行できるの最大 TCP セッション数)

単一ホストに対して確立された TCP セッションの最大数を指定します。

この TCP スロットリングオプションは、SYN スキャナーが送信する 1 秒あたりのパケット数も制御し、その数は TCP セッションの 10 倍になります。たとえば、このオプションが 15 に設定されている場合、SYN スキャナーは最大で毎秒 150 パケットを送信します。

Max number of concurrent TCP sessions per scan (スキャンごとの同時 TCP セッションの最大数)

なし

スキャンされるホストの数に関係なく、スキャン全体で確立される TCP セッションの最大数を指定します。

Unix システムで find コマンドを使用して検索する、すべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

Unix システムで find コマンドを使用して検索するすべてのプラグインから除外するファイルシステムのリストを含むプレーンテキストファイル。

ファイルでは、Unix の find コマンド -fstype 引数でサポートされるファイルシステムの種類を使用して、1 行ごとに 1 つのファイルシステムを入力します。詳細については、find コマンドの man page を参照してください。

Unix システムで find コマンドを使用して検索する、すべてのプラグインから含めるファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

ファイルパスを含めると、プラグインで検索される場所が増えるため、スキャンの継続時間が延びます。対象ができるだけ固有となるように指定してください。

ヒント: [Include Filepath] (ファイルパスを含める) と [Exclude Filepath] (ファイルパスを除外する) に同じファイルパスを含めないようにしてください。この競合によって、結果はオペレーティングシステムによって異なる場合がありますが、ファイルパスが検索から除外される可能性があります。

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、\Testdir\ など、絶対または相対ディレクトリ名を含めることができます。

ヒント: この設定を行わない場合、デフォルトの除外パスには \Windows\WinSxS\ と \Windows\servicing\ が含まれます。この設定を行う場合、Tenable はこれらの 2 つのパスをファイルに追加することを推奨します。これらのディレクトリは非常に遅く、管理されていないソフトウェアは含まれていません。

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインに含めるファイルパスのリストを含むプレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、C:\ など、絶対または相対ディレクトリ名だけを含めることができます。

警告: Windows Include Filepath (Windows で含めるファイルパス) と Windows Exclude Filepath (Windows で除外するファイルパス) の設定に同じファイルパスを含めないようにしてください。この競合により、ファイルパスは検索から除外されます。

Enable plugin debugging (プラグインのデバッグを有効化)

無効

プラグインから利用可能なデバッグログを、このスキャンの脆弱性出力に添付します。

追加のデバッグデータを含むスキャン KB を、スキャン結果に含めるかどうかを制御します。

Tenable Nessus スキャンでは、デフォルトで KB が含まれます。エージェントスキャンでは、Default (デフォルト) で 詳細設定 で設定されたグローバル設定の Include KB Data (KB データを含む) (agent_merge_kb)を使用します。

スキャン中に Tenable Nessus が起動したプラグインのリストを表示します。プラグイン 112154 のスキャン結果でリストを表示できます。

注意: プラグイン 112154 を無効にすると、この設定が正しく機能しません。

(Agents 8.2 以降) 設定されている場合、エージェントグループ内の各エージェントは、指定された時間の値 (分) を最大値とするランダムな時間、スキャンの開始を遅らせます。同時に開始しないようにすることで、仮想マシン CPU などの共有リソースを使用するエージェントの影響を低減できます。

設定した最大遅延時間がスキャンウィンドウを超過する場合、Tenableは、スキャンウィンドウがクローズする最低 30 分前にエージェントがスキャンを開始するよう、最大遅延時間を短縮します。

ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Nessus は結果を切り捨てます。