検出スキャン設定

注意: スキャンがポリシーに基づいている場合、スキャンの [Discovery] (検出) 設定はできません。これらの設定は、関連するポリシーでのみ変更できます。

注意: Tenable Nessus 特定のスキャンまたはポリシーに必要な設定が示されています。

[検出] 設定では、検出とポートスキャン (ポート範囲や方法など) に関連した設定を行います。

Tenable が提供するスキャナーテンプレートの一部には、設定済みの検出設定が含まれます。

[カスタム] の事前設定オプションを選択した場合、または設定済みの検出設定を含まないスキャナーテンプレートを使用している場合、次のカテゴリに関する [検出] 設定を手動で設定できます。

注意: 次のテーブルには、[Advanced Scan] (詳細スキャン) テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。

Host Discovery (ホスト検出)

Tenable Nessus は、[Host Discovery] (ホスト検出) セクションのいくつかの設定をデフォルトで有効にします。[Host Discovery] (ホスト検出) セクションに初めてアクセスすると、[Ping the remote host] (リモートホストに Ping する) 項目が表示され、[On] (オン) に設定されています。

[Host Discovery] (ホスト検出) セクションには次の設定グループがあります。

全般設定
Ping Methods (ping メソッド)
脆弱なデバイス
Wake-on-LAN

設定	デフォルト値	説明
Ping the remote host (リモートホストに ping)	日付を指定	[オン] に設定すると、ホストがアクティブかどうかを確認するために、スキャナーはリモートホストの複数のポートに ping を送信します。追加のオプション [全般設定] と [ping メソッド] が表示されます。 [オフ] に設定すると、スキャン時にスキャナーはリモートホストの複数のポートに ping を送信しません。注意: VMwareゲストシステムをスキャンするには、[リモートホストの ping] を [オフ] に設定する必要があります。
Scan unresponsive hosts (応答しないホストのスキャン)	無効	Nessus スキャナーが ping メソッドに応答しないホストをスキャンするかどうかを指定します。このオプションは、PCI 四半期外部スキャンテンプレートを使用するスキャンでのみ使用できます。
全般設定
Test the local Nessus host (ローカルの Nessus ホストをテストする)	有効	有効になっている場合、ローカルの Nessus ホストをスキャンに含めます。この設定は、Nessus ホストがスキャンのターゲットネットワーク範囲に含まれる場合に使用されます。
Use Fast Network Discovery (高速ネットワーク検出を使用)	Disabled (無効)	無効になっている場合、ホストが ping に応答した際に Tenable Nessus は、誤検出を回避するために追加のテストを実行して、応答がプロキシやロードバランサーからのものでないことを確認します。これらのチェックは、特にリモートホストがファイヤーウォールで保護されている場合には時間が掛かります。有効になっている場合、Tenable Nessus はこれらのチェックを行いません。
ping メソッド
ARP	Enabled (有効)	アドレス解決プロトコル (ARP) を介して、ハードウェアアドレスを使ってホストに ping を実行します。これはローカルネットワークでのみ機能します。
TCP	有効	TCP を使用してホストに ping を実行します。
Destination ports (TCP) (デスティネーションポート (TCP))	ビルトイン	TCP ping に特定のポートを使用するように宛先ポートを設定できます。ここでは、TCP ping でチェックするポートのリストを指定します。 built-in、1 つのポート、またはポートのコンマ区切りリストのいずれかを入力します。 built-in で指定されるポートに関する詳細は、ナレッジベースの記事を参照してください。
ICMP	有効	Internet Control Message Protocol (ICMP) を使用してホストに ping を実行します。
Assume ICMP unreachable from the gateway means the host is down (ゲートウェイから ICMP に到達できない場合にはホストがダウンしていると見なす)	無効	ゲートウェイからの ICMP 到達不能は、ホストがダウンしていることを意味するものと想定します。ダウンしているホストに ping が送信されると、そのゲートウェイが ICMP 到達不能メッセージを返すことがあります。このオプションが有効になっている場合に ICMP 到達不能メッセージを受信すると、スキャナーはターゲットとなるホストがアクティブでないと見なします。このアプローチは、一部のネットワークで検出を高速化するのに役立ちます。注意: 一部のファイヤーウォールとパケットフィルターは、アクティブになっているものの、フィルタリング対象のポートまたはプロトコルに接続されているホストに対してこれと同じ動作を使用します。そのため、このオプションが有効になっていると、ホストが実際はアクティブであってもダウンしていると見なされることがあります。
Maximum number of retries (最大再試行回数)	2	リモートホストに ping を再試行する回数を指定します。
UDP	無効	User Datagram Protocol (UDP) を使用してホストに ping を実行します。UDPはステートレスプロトコルであるため、通信はハンドシェイクダイアログによって実行されません。UDPベースの通信は、必ずしも信頼できるものではありません。また、UDPサービスとスクリーニングデバイスの性質のため、リモートから検出できるとは限りません。
Fragile Devices
ネットワークプリンターをスキャン	無効	有効になっている場合、スキャナーはネットワークプリンターをスキャンします。
Scan Novell Netware hosts (Novell Netware ホストをスキャン)	無効	有効になっている場合、スキャナーは Novell NetWare ホストをスキャンします。
Scan Operational Technology devices (オペレーショナルテクノロジーデバイスをスキャン)	無効	有効になっている場合、スキャナーは、環境要因や機器のアクティビティと状態を監視するオペレーショナルテクノロジー (OT) デバイス (プログラマブルロジックコントローラー (PLC) やリモート端末装置 (RTU) など) のフルスキャンを実行します。無効になっている場合、スキャナーは ICS/SCADA Smart Scanning を使用して OT デバイスを慎重に識別し、それらのデバイスが検出された場合にはそのデバイスのスキャンを停止します。
ウェイクオン LAN
MAC アドレスの一覧	None (なし)	[Wake-on-LAN (WOL)] メニューでは、スキャンを実行する前にマジックパケットを送信するホストを制御します。スキャンの前に開始するホストは、1 行ごとに 1 つの MAC が記載されたテキストファイルをアップロードすることによって指定します。例 33:24:4C:03:CC:C7 FF:5C:2C:71:57:79
Boot time wait (in minutes) (起動時の待ち時間 (分))	5	スキャンを実行する前にホストが起動するのを待機する時間。

ポートスキャン

[Port Scanning] (ポートスキャン) セクションには、ポートスキャナーの動作とスキャンするポートを定義する設定があります。

[Port Scanning] (ポートスキャン) セクションには、次の設定のグループが含まれます。

ポート
ローカルポートの列挙子
ネットワークポートスキャナー

設定	デフォルト値	説明
ポート
スキャンされていないポートを閉じていると見なす	Disabled (無効)	有効にすると、ポートが選択されたポートスキャナーでスキャンされていない場合 (たとえば、ポートが指定された範囲から外れている場合)、スキャナーはそのポートを閉じていると見なします。
Port Scan Range (ポートのスキャン範囲)	Default (デフォルト)	スキャンされるポートの範囲を指定します。サポートされている範囲は次のとおりです。 default (デフォルト) — nessus-services ファイルで指定した約 4,790 個のよく使用されるポートをスキャンするようにスキャナーに指示します。default キーワードを他のポートおよびポート範囲と組み合わせることはできません。注意: すべて置換の操作に対応するテキストエディターで、次の 4 つの連続した正規表現に対してすべて置換操作を実行することで、nessus-services ファイルをカスタムのポートリストに変換できます。 .\s+(\d+)\/(tcp\|udp)(\r\n\|\r\|\n) を $1\/$2 に (\d+)\/(tcp\|udp) を $2:$1 に tcp を T に udp を U に nessus-services ファイルは、オペレーティングシステムに応じた次のディレクトリにあります。 Linux — /opt/nessus/var/nessus/nessus-services Windows — C:\ProgramData\Tenable\Nessus\nessus\nessus-services macOS — /Library/Nessus/run/var/nessus/nessus-services all (すべて) — ポート 0 を含む 65,536 個のポートをすべてスキャンするようにスキャナーに指示します。all キーワードを他の範囲と組み合わせることはできません。コンマ区切りのポートのリスト (例: 21,23,25,80,110) やポート範囲 (例: 1-1024,9000-9200、0 を除くすべてのポートをスキャンする場合は 1-65535、個別の範囲または重複する TCP および UDP ポート範囲をスキャンする場合は T:1-1024,U:300-500* または 1-1024,T:1024-65535,U:1025)、またはそれらの組み合わせ。スキャンポリシーの [Discovery] (検出) 設定で UDP、SYN、または TCP ポートスキャナー設定を無効にすると、指定したポートの範囲にかかわらず、それらのポートがスキャンされません。UDP および TCP のポートスキャナー設定は、デフォルトでは無効になっています。SYN ポートスキャナー設定はデフォルトで有効になっています。
ローカルポートの列挙子
SSH (netstat)	Enabled (有効)	有効にすると、スキャナーはローカルマシンから netstat を使用して開いているポートをチェックします。このオプションを使用するには、ターゲットへの SSH 接続を介して netstat コマンドを実行できる必要があります。このスキャンは、Linux ベースのシステムを対象としており、認証認証情報を必要とします。この設定を使用するには、最初に SSH 認証情報を設定する必要があります。
WMI (netstat)	Enabled (有効)	有効にすると、スキャナーは WMI ベースのスキャン中に netstat を使用して開いているポートを特定します。さらに、スキャナーは次のように動作します。 [Port Scan Range] (ポートのスキャン範囲) 設定で指定されたカスタム範囲を無視します。 [Consider unscanned ports as closed] (スキャンされていないポートを閉じていると見なす) 設定が有効な場合には、スキャンされていないポートを引き続き閉じていると見なします。ポート列挙子 (netstat または SNMP) が正常に機能すると、ポート範囲は [all] (すべて) になります。この設定を使用するには、最初に Windows 認証情報を設定する必要があります。
SNMP	有効	有効にすると、ユーザーが適切な認証情報を入力した場合に、スキャナーはリモートホストをより効果的にテストし、より詳細な監査結果を生成できます。たとえば、返された SNMP 文字列のバージョンを調べることで、脆弱性が存在するかどうかを判断する Cisco ルーターチェックが多数あります。この情報はこのような監査に必要です。
Only run network port scanners if local port enumeration failed (ローカルポートの列挙に失敗した場合にのみネットワークポートスキャナーを実行)	有効	ローカルポート列挙子が実行されると、その資産に対してすべてのネットワークポートスキャナーが無効になります。
Verify open TCP ports found by local port enumerators (ローカルポートの列挙子が検出した開いている TCP ポートを確認)	無効	有効にすると、ローカルポートエニュメレーター (WMI や netstat など) によってポートが検出された場合、スキャナーはリモートからもそのポートが開いていることを確認します。このアプローチは、何らかの形のアクセス制御 (TCP ラッパー、ファイヤーウォールなど) が使用されているかどうかを確認するのに役立ちます。
ネットワークポートスキャナー
TCP	Disabled (無効)	内蔵の Tenable Nessus TCP スキャナーを使用して、完全な TCP 3 ウェイハンドシェイクを利用してターゲットの開いている TCP ポートを特定します。このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。
SYN	有効	内蔵の Tenable Nessus SYN スキャナーを使用して、ターゲットとなるホストの開いている TCP ポートを特定します。SYN スキャンは、完全な TCP 3 ウェイハンドシェイクを開始しません。スキャナーは、SYN パケットをポートに送信して SYN-ACK 応答を待機し、応答、または応答がないことに基づいてポートの状態を判断します。このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。
Override automatic firewall detection (ファイヤーウォールの自動検出をオーバーライド)	無効	この設定は、[TCP] または [SYN] のどちらかのオプションが有効になっている場合に有効化できます。有効になっている場合、この設定は自動ファイヤーウォール検出をオーバーライドします。この設定には、次の3 つのオプションがあります。積極的な検出を使用: ポートが閉じているように見える場合でもプラグインの実行を試みます。このオプションは、本番環境のネットワークでは使用しないことをお勧めします。ソフト検出を使用: リセットが設定される頻度を監視する機能とダウンストリームのネットワークバイスで制限が設定されているかどうかを確認する機能を無効にします。検出機能を無効化: ファイヤーウォール検出機能を無効にします。
UDP	Disabled (無効)	このオプションは、Tenable Nessus のビルトイン UDP スキャナーを使用して、ターゲットの開いている UDP ポートを特定します。プロトコルの性質により、ポートスキャナーが開いている UDP ポートとフィルタリングされている UDP ポートの違いを見分けるのは通常は不可能です。UDP ポートスキャナーを有効にすると、スキャン時間が大幅に増加し、信頼できない結果が検出される場合があります。可能な場合は、代わりに netstat または SNMP ポート列挙オプションを使用することを検討してください。

サービス検出

[Service Discovery] (サービス検出) セクションには、開いている各ポートにそのポートで実行されているサービスをマッピングしようとする設定があります。

[Service Discovery] (サービス検出) セクションには次の設定グループがあります。

全般設定
Search for SSL/TLS Services

設定	デフォルト値	説明
全般設定
Probe all ports to find services (すべてのポートをプローブしてサービスを見つける)	有効	有効にすると、スキャナーは、[Port scan range] (ポートのスキャン範囲) オプションで定義されているように、開いている各ポートをそのポートで実行されているサービスにマップしようとします。警告: まれに、調査によって一部のサービスが中断され、予期しない副作用が生じることがあります。
Search for SSL based services (SSL ベースのサービスの検索)	オン	スキャナーが SSL ベースのサービスをテストする方法を制御します。警告: すべてのポートで SSL 機能をテストすると、テスト対象のホストに破壊的な影響を与える可能性があります。
SSL/TLS/DTLS サービスの検索 (有効)
Search for SSL/TLS on (SSL/TLS を検索)	既知の SSL/TLS ポート	SSL/TLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。この設定には、次の2 つのオプションがあります。既知の SSL/TLS ポートすべての TCP ポート
Search for DTLS On	None (なし)	DTLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。この設定には、次のオプションがあります。なし既知の DTLS ポートすべての UDP ポート
Identify Certificates Expiring Within x Days (x 日以内に期限切れになる証明書を特定)	60	有効にすると、スキャナーは、指定した日数内に有効期限が切れる SSL および TLS 証明書を特定します。
Enumerate All SSL Ciphers (SSL 暗号をすべて列挙)	True	有効になっている場合、スキャナーは SSL/TLS サービスによってアドバタイズされた暗号のリストを無視し、すべての可能性のある暗号を使用して接続の確立を試みることで暗号を列挙します。
Enable CRL checking (connects to internet) (CRL チェックを有効化 (インターネットに接続))	False	有効になっている場合、スキャナーは特定されたどの証明書についても失効していないかどうかをチェックします。

ID

ID セクションでは、Active Directory データの収集を有効または無効にできます。

注意: このセクションは、Tenable One Enterprise 環境にのみ適用されます。

設定	デフォルト値	説明
全般設定
Collect Identity Data from Active Directory (Active Directory から ID データを収集する)	無効	この設定を有効にすると、Tenable Nessus は Active Directory からユーザー、コンピューター、グループのオブジェクトを収集できるようになります。この設定では、スキャン用の Active Directory ユーザーアカウントを指定する必要があります。また、スキャンの対象となっているドメインコントローラーで LDAPS を有効にする必要があります。

設定

デフォルト値

説明

全般設定

Collect Identity Data from Active Directory (Active Directory から ID データを収集する)

無効

この設定を有効にすると、Tenable Nessus は Active Directory からユーザー、コンピューター、グループのオブジェクトを収集できるようになります。

この設定では、スキャン用の Active Directory ユーザーアカウントを指定する必要があります。また、スキャンの対象となっているドメインコントローラーで LDAPS を有効にする必要があります。