検出スキャン設定

注意: スキャンがポリシーに基づいている場合、スキャンの [Discovery] (検出) 設定はできません。これらの設定は、関連するポリシーでのみ変更できます。

注意: Tenable Nessus 特定のスキャンまたはポリシーに必要な設定が示されています。

[検出] 設定では、検出とポートスキャン (ポート範囲や方法など) に関連した設定を行います。

Tenable が提供するスキャナーテンプレートの一部には、設定済みの検出設定が含まれます。

[カスタム] の事前設定オプションを選択した場合、または設定済みの検出設定を含まないスキャナーテンプレートを使用している場合、次のカテゴリに関する [検出] 設定を手動で設定できます。

注意: 次のテーブルには、[Advanced Scan] (詳細スキャン) テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。

Host Discovery (ホスト検出)

Tenable Nessus は、[Host Discovery] (ホスト検出) セクションのいくつかの設定をデフォルトで有効にします。[Host Discovery] (ホスト検出) セクションに初めてアクセスすると、[Ping the remote host] (リモートホストに Ping する) 項目が表示され、[On] (オン) に設定されています。

[ホスト検出] セクションには次の設定グループがあります。

設定 デフォルト値 説明
Ping the remote host (リモート ホストに ping) 日付を指定

[オン] に設定すると、ホストがアクティブかどうかを確認するために、スキャナーはリモートホストの複数のポートに ping を送信します。追加のオプション [全般設定][ping メソッド] が表示されます。

[オフ] に設定すると、スキャン時にスキャナーはリモートホストの複数のポートに ping を送信しません。

注意: VMwareゲストシステムをスキャンするには、[リモートホストの ping][オフ] に設定する必要があります。

Scan unresponsive hosts (応答しないホストのスキャン)

無効

Nessus スキャナーが ping メソッドに応答しないホストをスキャンするかどうかを指定します。このオプションは、PCI 四半期外部スキャンテンプレートを使用するスキャンでのみ使用できます。

全般設定
Test the local Nessus host (ローカルの Nessus ホストをテストする) 有効

有効になっている場合、ローカルの Nessus ホストをスキャンに含めます。この設定は、Nessus ホストがスキャンのターゲットネットワーク範囲に含まれる場合に使用されます。

Use Fast Network Discovery (高速ネットワーク検出を使用)

Disabled (無効)

無効になっている場合、ホストが ping に応答した際に Tenable Nessus は、誤検出を回避するために追加のテストを実行して、応答がプロキシやロードバランサーからのものでないことを確認します。これらのチェックは、特にリモートホストがファイヤーウォールで保護されている場合には時間が掛かります。

有効になっている場合、Tenable Nessus はこれらのチェックを行いません。

ping メソッド

ARP

Enabled (有効)

アドレス解決プロトコル (ARP) を介して、ハードウェアアドレスを使ってホストに ping を実行します。これはローカルネットワークでのみ機能します。

TCP

有効

TCP を使用してホストに ping を実行します。

Destination ports (TCP) (デスティネーションポート (TCP))

ビルトイン

TCP ping に特定のポートを使用するように宛先ポートを設定できます。ここでは、TCP ping でチェックするポートのリストを指定します。

built-in、1 つのポート、またはポートのコンマ区切りリストのいずれかを入力します。

built-in で指定されるポートに関する詳細は、ナレッジベースの記事を参照してください。

ICMP

有効

Internet Control Message Protocol (ICMP) を使用してホストに ping を実行します。

Assume ICMP unreachable from the gateway means the host is down (ゲートウェイから ICMP に到達できない場合にはホストがダウンしていると見なす) 無効

ゲートウェイからの ICMP 到達不能は、ホストがダウンしていることを意味するものと想定します。ダウンしているホストに ping が送信されると、そのゲートウェイが ICMP 到達不能メッセージを返すことがあります。このオプションが有効になっている場合に ICMP 到達不能メッセージを受信すると、スキャナーはターゲットとなるホストがアクティブでないと見なします。このアプローチは、一部のネットワークで検出を高速化するのに役立ちます。

注意: 一部のファイヤーウォールとパケットフィルターは、アクティブになっているものの、フィルタリング対象のポートまたはプロトコルに接続されているホストに対してこれと同じ動作を使用します。そのため、このオプションが有効になっていると、ホストが実際はアクティブであってもダウンしていると見なされることがあります。

Maximum number of retries (最大再試行回数) 2

リモートホストに ping を再試行する回数を指定します。

UDP

無効

User Datagram Protocol (UDP) を使用してホストに ping を実行します。UDPはステートレスプロトコルであるため、通信はハンドシェイクダイアログによって実行されません。UDPベースの通信は、必ずしも信頼できるものではありません。また、UDPサービスとスクリーニングデバイスの性質のため、リモートから検出できるとは限りません。

Fragile Devices

ネットワークプリンターをスキャン

無効

有効になっている場合、スキャナーはネットワークプリンターをスキャンします。

Scan Novell Netware hosts (Novell Netware ホストをスキャン)

無効

有効になっている場合、スキャナーは Novell NetWare ホストをスキャンします。

Scan Operational Technology devices (オペレーショナルテクノロジーデバイスをスキャン) 無効

有効になっている場合、スキャナーは、環境要因や機器のアクティビティと状態を監視するオペレーショナルテクノロジー (OT) デバイス (プログラマブルロジックコントローラー (PLC) やリモート端末装置 (RTU) など) のフルスキャンを実行します。

無効になっている場合、スキャナーは ICS/SCADA Smart Scanning を使用して OT デバイスを慎重に識別し、それらのデバイスが検出された場合にはそのデバイスのスキャンを停止します。

ウェイクオン LAN

MAC アドレスの一覧

None (なし)

[Wake-on-LAN (WOL)] メニューでは、スキャンを実行する前にマジックパケットを送信するホストを制御します。

スキャンの前に開始するホストは、1 行ごとに 1 つの MAC が記載されたテキストファイルをアップロードすることによって指定します。

33:24:4C:03:CC:C7

FF:5C:2C:71:57:79

Boot time wait (in minutes) (起動時の待ち時間 (分))

5

スキャンを実行する前にホストが起動するのを待機する時間。

ポートスキャン

[Port Scanning] (ポートスキャン) セクションには、ポートスキャナーの動作とスキャンするポートを定義する設定があります。

[Port Scanning] (ポートスキャン) セクションには、次の設定のグループが含まれます。

設定 デフォルト値 説明
ポート
スキャンされていないポートを閉じていると見なす Disabled (無効)

有効にすると、ポートが選択されたポートスキャナーでスキャンされていない場合 (たとえば、ポートが指定された範囲から外れている場合)、スキャナーはそのポートを閉じていると見なします。

ポートのスキャン範囲 Default (デフォルト)

スキャンされるポートの範囲を指定します。

サポートするキーワードの値は以下のとおりです。

  • default (デフォルト) は、約 4,790 個のよく使用されるポートをスキャンするようにスキャナーに指示します。ポートのリストは、Nessus スキャナー上の nessus-services ファイルで確認できます。
  • all (すべて) は、 ポート 0 を含む 65,536 個のポートをすべてスキャンするようにスキャナーに指示します。

また、コンマ区切りのポートリストまたはポート範囲を使用して、カスタムリストを指定することもできます。たとえば、「21,23,25,80,110」または「1-1024,8080,9000-9200と入力します。ポート 0 以外のすべてのポートをスキャンする場合は、「1-65535」と入力します。

ポートスキャンに指定したカスタム範囲は、[Network Port Scanners] (ネットワークポートスキャナー) 設定グループで選択したプロトコルに適用されます。

TCP と UDP の両方をスキャンする場合は、各プロトコルに固有の分割範囲を指定できます。たとえば、同じポリシーで TCP と UDP の異なる範囲のポートをスキャンする場合は、「T:1-1024,U:300-500」と入力します。

両方のプロトコルでスキャンするポートのセットを指定したり、プロトコルごとに個別の範囲を指定したりすることもできます。たとえば、「1-1024,T:1024-65535,U:1025」と入力します。

ローカルポートの列挙子
SSH (netstat) Enabled (有効)

有効にすると、スキャナーはローカルマシンから netstat を使用して開いているポートをチェックします。このオプションを使用するには、ターゲットへの SSH 接続を介して netstat コマンドを実行できる必要があります。このスキャンは、Linuxベースのシステムを対象としており、認証認証情報を必要とします。

WMI (netstat) Enabled (有効)

有効にすると、スキャナーは WMI ベースのスキャン中に netstat を使用して開いているポートを特定します。

さらに、スキャナーは次のように動作します。

  • [Port Scan Range] (ポートのスキャン範囲) 設定で指定されたカスタム範囲を無視します。
  • [Consider unscanned ports as closed] (スキャンされていないポートを閉じていると見なす) 設定が有効な場合には、スキャンされていないポートを引き続き閉じていると見なします。

ポート列挙子 (netstat または SNMP) が正常に機能すると、ポート範囲は [all] (すべて) になります。

SNMP 有効

有効にすると、ユーザーが適切な認証情報を入力した場合に、スキャナーはリモートホストをより効果的にテストし、より詳細な監査結果を生成できます。たとえば、返された SNMP 文字列のバージョンを調べることで、脆弱性が存在するかどうかを判断する Cisco ルーターチェックが多数あります。この情報はこのような監査に必要です。

Only run network port scanners if local port enumeration failed (ローカルポートの列挙に失敗した場合にのみネットワークポートスキャナーを実行) 有効

ローカルポート列挙子が実行されると、その資産に対してすべてのネットワークポートスキャナーが無効になります。

Verify open TCP ports found by local port enumerators (ローカルポートの列挙子が検出した開いている TCP ポートを確認) 無効

有効にすると、ローカルポートエニュメレーター (WMI や netstat など) によってポートが検出された場合、スキャナーはリモートからもそのポートが開いていることを確認します。このアプローチは、何らかの形のアクセス制御 (TCP ラッパー、ファイヤーウォールなど) が使用されているかどうかを確認するのに役立ちます。

ネットワークポートスキャナー
TCP Disabled (無効)

内蔵の Tenable Nessus TCP スキャナーを使用して、完全な TCP 3 ウェイハンドシェイクを利用してターゲットの開いている TCP ポートを特定します。このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。

SYN 有効

内蔵の Tenable Nessus SYN スキャナーを使用して、ターゲットとなるホストの開いている TCP ポートを特定します。SYN スキャンは、完全な TCP 3 ウェイハンドシェイクを開始しません。スキャナーは、SYN パケットをポートに送信して SYN-ACK 応答を待機し、応答、または応答がないことに基づいてポートの状態を判断します。

このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。

Override automatic firewall detection (ファイヤーウォールの自動検出をオーバーライド) 無効

この設定は、[TCP]] または [SYN] のどちらかのオプションが有効になっている場合に有効化できます。

有効になっている場合、この設定は自動ファイヤーウォール検出をオーバーライドします。

この設定には、次の3 つのオプションがあります。

  • 積極的な検出を使用: ポートが閉じているように見える場合でもプラグインの実行を試みます。このオプションは、本番環境のネットワークでは使用しないことをお勧めします。
  • ソフト検出を使用: リセットが設定される頻度を監視する機能とダウンストリームのネットワークバイスで制限が設定されているかどうかを確認する機能を無効にします。

  • 検出機能を無効化: ファイヤーウォール検出機能を無効にします。

UDP Disabled (無効)

このオプションは、Tenable Nessus のビルトイン UDP スキャナーを使用して、ターゲットの開いている UDP ポートを特定します。

プロトコルの性質により、ポートスキャナーが開いている UDP ポートとフィルタリングされている UDP ポートの違いを見分けるのは通常は不可能です。UDP ポートスキャナーを有効にすると、スキャン時間が大幅に増加し、信頼できない結果が検出される場合があります。可能な場合は、代わりに netstat または SNMP ポート列挙オプションを使用することを検討してください。

サービス検出

[Service Discovery] (サービス検出) セクションには、開いている各ポートにそのポートで実行されているサービスをマッピングしようとする設定があります。

[Service Discovery] (サービス検出) セクションには次の設定グループがあります。

設定

デフォルト値

説明
全般設定
Probe all ports to find services (すべてのポートをプローブしてサービスを見つける) 有効

有効にすると、スキャナーは、[Port scan range] (ポートのスキャン範囲) オプションで定義されているように、開いている各ポートをそのポートで実行されているサービスにマップしようとします。

警告: まれに、調査によって一部のサービスが中断され、予期しない副作用が生じることがあります。

Search for SSL based services (SSL ベースのサービスの検索) オン

スキャナーが SSL ベースのサービスをテストする方法を制御します。

警告: すべてのポートで SSL 機能をテストすると、テスト対象のホストに破壊的な影響を与える可能性があります。

SSL/TLS/DTLS サービスの検索 (有効)
Search for SSL/TLS on (SSL/TLS を検索) 既知の SSL/TLS ポート

SSL/TLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。

この設定には、次の2 つのオプションがあります。

  • 既知の SSL/TLS ポート
  • すべての TCP ポート
Search for DTLS On None (なし)

DTLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。

この設定には、次のオプションがあります。

  • None (なし)

  • 既知の SSL/TLS ポート

  • すべての TCP ポート

Identify Certificates Expiring Within x Days (x 日以内に期限切れになる証明書を特定) 60

有効にすると、スキャナーは、指定した日数内に有効期限が切れる SSL および TLS 証明書を特定します。

Enumerate All SSL Ciphers (SSL 暗号をすべて列挙) True

有効になっている場合、スキャナーは SSL/TLS サービスによってアドバタイズされた暗号のリストを無視し、すべての可能性のある暗号を使用して接続の確立を試みることで暗号を列挙します。

Enable CRL checking (connects to internet) (CRL チェックを有効化 (インターネットに接続)) False

有効になっている場合、スキャナーは特定されたどの証明書についても失効していないかどうかをチェックします。

ID

ID セクションでは、Active Directory データの収集を有効または無効にできます。

注意: このセクションは、Tenable One Enterprise 環境にのみ適用されます。
設定

デフォルト値

説明
全般設定
Collect Identity Data from Active Directory (Active Directory から ID データを収集する) 無効

この設定を有効にすると、Tenable Nessus は Active Directory からユーザー、コンピューター、グループのオブジェクトを収集できるようになります。

この設定では、スキャン用の Active Directory ユーザーアカウントを指定する必要があります。また、スキャンの対象となっているドメインコントローラーで LDAPS を有効にする必要があります。