詳細設定
を使用する場合に必要な ユーザーロールTenable Nessus Manager: System Administrator
[Advanced Settings] (詳細設定) ページでは、Tenable Nessus の設定を手動で変更できます。Tenable Nessus のユーザーインターフェースか、コマンドラインインターフェースから詳細設定を変更できます。Tenable Nessus は、入力値を検証して、有効な設定だけが含まれるようにします。
Tenable Nessus は、詳細設定を次のカテゴリにグループ分けします。
詳細
-
詳細設定は、お使いのすべての Tenable Nessus インスタンスでグローバルに適用されます。
- 詳細設定を編集するには、Tenable Nessus の管理ユーザーアカウントが必要です。
- Tenable Nessus は、すべての詳細設定を自動更新するわけではありません。
- 変更は反映されるまで数分かかる可能性もあります。
- Tenable Nessus により、変更を適用するために再起動が必要な設定には、
アイコンが表示されます。 - カスタムポリシー設定は、グローバル詳細設定よりも優先されます。
ユーザーインターフェース
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
|
Allow Post-Scan Editing (allow_post_scan_editing) (スキャン完了後の編集を許可 (allow_post_scan_editing)) |
ユーザーにスキャン完了後のスキャン結果の編集を許可します。 |
〇 | yes または no | ✕ |
| Disable API (disable_api) (API を無効にする (disable_api)) | インバウンド HTTP 接続を含む、API を無効にします。ユーザーはユーザーインターフェースや API を介して Tenable Nessus にアクセスできません。 |
✕ |
yes または no |
〇 |
| Disable Frontend (disable_frontend) (フロントエンドを無効にする (disable_frontend)) | Tenable Nessus のユーザーインターフェースを無効にします。ユーザーは引き続き API を使用できます。 |
✕ |
yes または no |
〇 |
| Login Banner (login_banner) (ログインバナー (login_banner)) |
Tenable Nessus へのログインを試みた後に表示されるテキストバナー。
注意: このバナーが表示されるのは、新しいブラウザまたはコンピューターから初めてログインするときのみです。 |
なし | 文字列 | ✕ |
|
Maximum Concurrent Web Users (global.max_web_users) (同時接続できる最大ウェブユーザー数 (global.max_web_users)) |
同時接続できる最大ウェブユーザー数です。 |
1024 |
これは整数で表示されます。 0 に設定した場合、制限はありません。 |
✕ |
| Nessus Web Server IP ( listen_address) (Nessus ウェブサーバー IP ( listen_address)) |
着信接続をリッスンする IPv4 アドレスです。127.0.0.1 に設定された場合、アクセスはローカル接続のみに制限されます。 |
0.0.0.0 | IP アドレス形式の文字列 | 〇 |
| Nessus Web Server Port (xmlrpc_listen_port) (Nessus ウェブサーバーポート (xmlrpc_listen_port)) | Tenable Nessus ウェブサーバーがリッスンするポートです。 | 8834 | 整数 | 〇 |
| UI Theme (ui_theme) (UI テーマ (ui_theme)) |
有効になると、ユーザーインターフェースのカラーテーマがダークモードに変更されます。
注意: SELinux を有効にしている場合、[UI Theme] (UI テーマ) 設定が適切に機能しない可能性があります。 |
Track Os Setting | [Light] (ライト)、[Dark] (ダーク)、または [Track Os Setting] (Os 設定を記録) | ✕ |
| Use Mixed Vulnerability Groups (scan_vulnerability_groups_mixed) (混在する脆弱性グループを使用する (scan_vulnerability_groups_mixed)) | 有効にすると、Tenable Nessus は、グループ内のすべての脆弱性の深刻度が同じでない限り、脆弱性グループの深刻度レベルに [Mixed] (混在) と表示します。無効にすると、Tenable Nessus は、グループ内で脆弱性が最も高い深刻度のインジケーターを表示します。 | 〇 | yes または no | ✕ |
| Use Vulnerability Groups (scan_vulnerability_groups) (脆弱性グループを使用する (scan_vulnerability_groups)) | この機能を有効にすると、Tenable Nessus でスキャン結果の脆弱性が共通の属性別にグループ化され、結果リストが短くなります。 | 〇 | yes または no | ✕ |
Scan (スキャン)
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
| Audit Trail Verbosity (audit_trail) (監査証跡の詳細度 (audit_trail)) | プラグイン監査証跡の詳細度を制御します。完全な監査証跡には、Tenable Nessus が特定のプラグインをスキャンに含めなかった理由が含まれます。 | full | full、partial、none | ✕ |
| Auto Enable Plugin Dependencies (auto_enable_dependencies) (プラグインの依存の自動有効化 (auto_enable_dependencies)) |
他のプラグインが依存しているプラグインを自動で有効にします。この設定では、スキャンテンプレート設定が依存しているプラグインは有効になりません。 この機能を無効にすると、スキャンポリシーで選択済みであるプラグインの一部が実行されないことがあります。 |
〇 | yes または no | ✕ |
| CGI Paths for Web Scans (cgi_path) (ウェブスキャンの CGI パス (cgi_path)) |
ウェブサーバースキャンに使用する、コロンで区切られた CGI パスの一覧です。 |
/cgi-bin:/scripts |
文字列 | ✕ |
| Engine Thread Idle Time (engine.idle_wait) (エンジンスレッドアイドル状態時間 (engine.idle_wait)) | スキャンエンジンが停止するまでにアイドル状態になる秒数です。 | 60 | 0 から 600 までの整数 | ✕ |
| Max Plugin Output Size (plugin_output_max_size_kb) (プラグイン出力最大サイズ (plugin_output_max_size_kb)) |
Tenable Nessus が .nessus 形式でエクスポートするスキャン結果に含めるプラグイン出力の最大サイズ (KB)。出力が最大サイズを超過する場合、Tenable Nessus はレポートの出力を切り捨てます。 |
1000 |
これは整数で表示されます。 0 に設定した場合、制限はありません。 |
✕ |
| Maximum Ports in Scan Reports (report.max_ports) (スキャンレポートの最大ポート数 (report.max_ports)) | ポートの最大数です。スキャン結果にこの値より多くのポートが報告された場合、Tenable Nessus はポートのスキャン結果を破棄します。この制限は偽のターゲットのポートが大量に報告されるのを回避するためのものですが、スキャン結果データベースから有効な結果が削除されてしまう可能性もあります。このような問題が発生する場合は、デフォルト値を上げることをお勧めします。 | 1024 | 整数 | ✕ |
| Maximum Ports Reported by Portscanner Plugins (portscanner.max_ports) (ポートスキャナープラグインによってレポートされるポートの最大数 (portscanner.max_ports)) | Tenable Nessus ポートスキャンプラグインがオープンとしてマークできるポートの最大数。これには、適切なポートスキャナーと、NASL 関数 scanner_add_port() を呼び出すプラグインが含まれます。 | 1024 | 0 から 65535 までの整数 | ✕ |
| Maximum Size for E-mailed Reports (attached_report_maximum_size) (メールレポートの最大サイズ (attached_report_maximum_size)) | レポートの添付ファイルの最大サイズ (MB) を指定します。レポートが最大サイズを超える場合、メールにレポートは添付されません。Tenable Nessus は、50 MB を超えるレポート添付ファイルをサポートしません。 | 25 | 0 から 50 までの整数 | ✕ |
| Nessus Rules File Location (rules) (Nessus ルールファイルの場所 (rules)) |
Tenable Nessus ルールファイル (nessusd.rules) の場所です。 各オペレーティングシステムのデフォルトは次のとおりです。 Linux /opt/nessus/etc/nessus/nessusd.rules macOS /Library/Nessus/run/var/nessus/conf/nessusd.rules Windows C:\ProgramData\Tenable\Nessus\nessus\conf\nessusd.rules |
お使いのオペレーティングシステムにおける Nessus の config ディレクトリ | 文字列 | ✕ |
| Non-Simultaneous Ports (non_simult_ports) (非同時ポート (non_simult_ports)) | 2 つのプラグインを同時に実行できないポートを指定します。 | 139, 445, 3389 | 文字列 | ✕ |
| Paused Scan Timeout (paused_scan_timeout) (スキャンの一時停止状態継続時間 (paused_scan_timeout)) | スキャンが一時停止状態のままでいられる時間 (分) です。この時間を過ぎると Tenable Nessus がスキャンを終了させます。 | 0 | 0 から 10080 までの整数 | ✕ |
| PCAP Snapshot Length (pcap.snaplen) (PCAP スナップショットの長さ (pcap.snaplen)) | パケットキャプチャに使用できるスナップショットの長さ、すなわちキャプチャされたネットワークパケットの最大サイズです。通常、Tenable Nessus は、この値をスキャナーの NIC に応じて自動で設定します。しかし、ネットワーク設定によっては、Tenable Nessus がパッケージを切り捨て、スキャンレポートに「インターフェース X の現在のスナップショットの長さ ### が小さすぎます。」というメッセージが表示される可能性があります。この長さを増やすことで、パケットの切り捨てを回避できます。 | 0 | 0 から 262144 までの整数 | ✕ |
| Port Range (port_range) (ポートの範囲 (port_range)) | スキャナープラグインが検証を行うポートのデフォルトの範囲です。 | default |
default、all、ポート範囲、ポートおよびポート範囲のコンマ区切りリスト それぞれの範囲の前に T: または U: を付けて指定された UDP および TCP ポート |
✕ |
| Reverse DNS Lookups (reverse_lookup) (逆引き DNS ルックアップ (reverse_lookup)) | これを有効にすると、Tenable Nessus のスキャンレポートには、ターゲットが完全修飾ドメイン名 (FQDN) で表されます。この機能を無効にすると、レポートのターゲットはホスト名または IP アドレスで表されます。 | ✕ | yes または no | ✕ |
| Safe Checks (safe_checks) (安全チェック (safe_checks)) |
この機能を有効にすると、Tenable Nessus はアクティブな脆弱性テストではなくバナーグラビングを使った安全チェックを使用します。 |
〇 | yes または no | ✕ |
| Silent Plugin Dependencies (silent_dependencies) (プラグインの依存関係をサイレントにする (silent_dependencies)) | これを有効にした場合、プラグインの依存関係とその結果のリストは Tenable Nessus のレポートに含められません。ポリシーの一部として、別のプラグインに依存しているプラグインを選択できます。デフォルトでは、Tenable Nessus はこれらのプラグイン依存関係を実行しますが、レポートにはその結果を記載しません。無効にすると、Tenable Nessus は選択されたプラグインとすべてのプラグイン依存関係の両方をレポートに記載します。 | 〇 | yes または no | ✕ |
| Slice Network Addresses (slice_network_addresses) (ネットワークアドレスを分割する (slice_network_addresses)) | このオプションを設定すると、Tenable Nessus はネットワークを順に (10.0.0.1、10.0.0.2、10.0.0.3 など) スキャンせず、ネットワーク全体にワークロードを分割しようとします (たとえば、10.0.0.1、10.0.0.127、10.0.0.2、10.0.0.128 の順にスキャン)。 | ✕ | yes または no | ✕ |
| System Default Severity Basis (severity_basis) (システムのデフォルト深刻度ベース (severity_basis)) |
Tenable Nessus スキャナーと Tenable Nessus Professional では、デフォルトの深刻度ベースを設定することにより、Tenable Nessus が CVSSv2 と CVSSv3 のどちらのスコア (利用可能な場合) を使って脆弱性の深刻度を計算するかを選ぶことができます。Tenable Nessus スキャナーと Tenable Nessus Professional では、デフォルトの深刻度ベースを設定することにより、Tenable Nessus が CVSSv2、CVSSv3、CVSSv4 のどのスコア (利用可能な場合) を使って脆弱性の深刻度を計算するかを選ぶことができます。 デフォルトの深刻度ベースを変更すると、その変更はデフォルトの深刻度ベースで設定されている既存のスキャンすべてに適用されます。今後のスキャンでも、デフォルトの深刻度ベースが使用されます。 CVSS スコアと深刻度の範囲の詳細については、CVSS スコアとVPR を参照してください。 注意: この設定は Tenable Nessus Manager では利用できません。
|
Tenable Nessus の新規インストールの場合 : cvss_v3 既存のアップグレードされたインスタンスの場合 : cvss_v2 |
|
✕ |
ログ
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
| Log Additional Scan Details (log_details) (追加のスキャンの詳細情報を記録する (log_details)) | これを有効にすると、スキャンログには基本情報のほかに、ユーザー名、スキャン名、現在のプラグイン名が記録されます。これらの詳細を表示するには、log_whole_attack も有効にする必要があります。 | ✕ | yes または no | ✕ |
| Log Verbose Scan Details (log_whole_attack) (Verbose スキャンの詳細情報を記録するScan Details (log_whole_attack)) | スキャンの詳細情報を記録します。スキャンに関する問題のデバッグに役立ちますが、ディスクの負荷が高くなる可能性があります。詳細をさらに追加するには、log_details を有効にします。 | ✕ | yes または no | ✕ |
| Nessus Dump File Location (dumpfile) (Nessus Dump ファイルの場所 (dumpfile)) |
デバッグ出力用ログファイル nessusd.dump が生成された場合に保存される場所です。 各オペレーティングシステムのデフォルトは次のとおりです。 Linux /opt/nessus/var/nessus/logs/nessusd.dump macOS /Library/Nessus/run/var/nessus/logs/nessusd.dump Windows C:\ProgramData\Tenable\Nessus\nessus\logs\nessusd.dump |
お使いのオペレーティングシステムにおける Nessus のログディレクトリ |
文字列 | 〇 |
| Nessus Dump File Log Level (nasl_log_type) (Nessus Dump ファイルのログのレベル (nasl_log_type)) |
nessusd.dump における NASL エンジン出力の種類です。 |
normal | 選択肢は normal、none、trace、full です。 | 〇 |
| Nessus Dump File Max Files (dumpfile_max_files) (Nessus Dump ファイルの最大数 (dumpfile_max_files)) | ディスク上に残される nessusd.dump ファイルの最大数です。ファイル数が指定された値を超えると、Tenable Nessus は最も古いダンプファイルを削除します。 | 100 | 1 から 1000 までの整数 | 〇 |
| Nessus Dump File Max Size (dumpfile_max_size) (Nessus Dump ファイルの最大サイズ (dumpfile_max_size)) | nessusd.dump ファイルの最大サイズ (MB)。ファイルサイズが最大サイズを超えると、Tenable Nessus は新しいダンプファイルを作成します。 | 512 | 1 から 2048 までの整数 | 〇 |
| Nessus Dump File Rotation Time (dumpfile_rotation_time) (Nessus Dump ファイルのローテーション時間 (dumpfile_rotation_time)) | Tenable Nessus ダンプファイルのローテーションの頻度を日数で指定します。 | 1 | 1 から 365 までの整数 | 〇 |
| Nessus Dump File Rotation (dumpfile_rot) (Nessus Dump ファイルのローテーション (dumpfile_rot)) |
Tenable Nessus がダンプファイルをローテーションする基準が、サイズまたは時間のどちらの最大ローテーションであるかを決定します。 |
size | size: Tenable Nessus は dumpfile_max_size で指定されたサイズに基づいてダンプファイルをローテーションします。 time: Tenable Nessus は dumpfile_rotation_time で指定されている時間に基づいてダンプファイルをローテーションします。 |
〇 |
| Nessus Log Level (backend_log_level) (Nessus のログのレベル (backend_log_level)) |
backend.log ログファイルのログ記録レベルで、どの情報をログに含めるかを決定する、ログタグのセットで指定されます。 log.json を手動で編集して、ログタグのカスタムセットを backend.log 用に設定している場合、その内容はこの設定によって上書きされます。 詳細は、ログを管理するを参照してください。 |
normal |
|
〇 |
| Nessus Scanner Log Location (logfile) (Nessus スキャナーのログの場所 (logfile)) |
Tenable Nessus がスキャナーのログファイルを保存する場所。 各オペレーティングシステムのデフォルトは次のとおりです。 Linux /opt/nessus/var/nessus/logs/nessusd.messages macOS /Library/Nessus/run/var/nessus/logs/nessusd.messages Windows C:\ProgramData\Tenable\Nessus\nessus\logs\nessusd.messages |
お使いのオペレーティングシステムにおける Nessus のログディレクトリ | 文字列 | 〇 |
| Log File Maximum Files (logfile_max_files) (ログファイルの最大ファイル数 (logfile_max_files)) | Tenable Nessus がディスク上に保持する nessusd.messages ファイルの最大数を決定します。nessusd.messages ログファイル数が指定された値を超えると、Tenable Nessus は最も古いログファイルを削除します。 |
Tenable Nessus — 100 Tenable Agent — 2 |
1 から 1000 までの整数 |
〇 |
| Log File Maximum Size (logfile_max_size) (ログファイル最大サイズ (logfile_max_size)) | nessusd.messages ファイルの最大サイズ (MB) を決定します。ファイルサイズが最大サイズを超えると、Tenable Nessus は新しいメッセージログファイルを作成します。 |
Tenable Nessus —512 Tenable Agent — 10 |
1 から 2048 までの整数 |
〇 |
| Log File Rotation Time (logfile_rotation_time) (ログファイルのローテーション時間 (logfile_rotation_time)) | Tenable Nessus メッセージログファイルのローテーションの頻度を日数で指定します。 | 1 | 1 から 365 までの整数 | 〇 |
| Log File Rotation (logfile_rot) (ログファイルのローテーション (logfile_rot)) |
Tenable Nessus がメッセージログファイルをローテーションする基準が、ローテーションの最大サイズと時間のどちらであるかを決定します。 |
サイズ |
size — Tenable Nessus は、logfile_max_size で指定されたサイズに基づいてログファイルをローテーションします。 time — Tenable Nessus は、logfile_rotation_time で指定された時間に基づいてログファイルをローテーションします。 |
〇 |
| Scanner Metric Logging (scanner.metrics) (スキャナーメトリックログ (scanner.metrics)) | スキャナーパフォーマンスのメトリックデータ収集を有効にします。 | 0 |
0 (オフ)、0x3f (プラグインメトリクスを除く全データ)、0x7f (プラグインメトリクスを含む全データ) 注意 : プラグインメトリクスを含めることで、ログファイルのサイズは大幅に増加します。Tenable Nessus では、ログファイルが自動的にクリーンアップされません。 |
✕ |
| Use Milliseconds in Logs (logfile_msec) (ログでミリ秒を使用する (logfile_msec)) | この機能を有効にすると、nessusd.messages |
✕ | yes または no | 〇 |
パフォーマンス
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
| Database Synchronous Setting (db_synchronous_setting) (データベース同期設定 (db_synchronous_setting)) |
データベースの更新がどのようにディスクに同期されるかを制御します。 NORMAL は高速ですが、予期しないシステムシャットダウン (たとえば停電またはクラッシュ) の時にデータ喪失のリスクがあります。 FULL はより安全ですが、いくらかのパフォーマンスコストを伴います。 |
NORMAL | NORMAL または FULL | 〇 |
| Engine Logging (global.log.engine_details) (エンジンログ (global.log.engine_details)) | これを有効にすると、各ターゲットがスキャン時に割り当てられたスキャンエンジンに関する追加情報が記録されます。 | ✕ | yes または no | ✕ |
| Global Max Hosts Concurrently Scanned (global.max_hosts) (グローバルに同時にスキャンされる最大ホスト数 (global.max_hosts)) |
Tenable Nessus がすべてのスキャンで同時にスキャンできる最大ホスト数。 |
ハードウェアにより変わる |
整数 | ✕ |
| Global Max Port Scanners (global.max_portscanners) (グローバルのポートスキャナーの最大数 (global.max_portscanners)) | ポートスキャナーの最大数。 | 100 | 0 から 1024 までの整数 | ✕ |
| Global Max TCP Sessions (global.max_simult_tcp_sessions) (グローバルの最大 TCP セッション数 (global.max_simult_tcp_sessions)) | すべてのスキャンで同時に実行できる最大 TCP セッション数です。 |
デスクトップオペレーティングシステム (例: Windows 10) の場合は 50。 その他のオペレーティングシステム (例: Windows Server 2016) の場合は 50000。 |
整数 |
✕ |
| Max Concurrent Checks Per Host (max_checks) (ホストごとの最大同時実行プラグイン数 (max_checks)) |
ホストごとに同時に実行できるプラグインの最大数です。 |
5 |
整数 |
✕ |
| Max Concurrent Hosts Per Scan (max_hosts) (スキャンごとの最大同時ホスト数Max Concurrent Hosts Per Scan (max_hosts)) | スキャン中に一度にチェックされるホストの最大数です。 |
|
整数 ゼロに設定された場合、デフォルト値の |
✕ |
| Max Concurrent Scans (global.max_scans) (最大同時スキャン数 (global.max_scans)) | スキャナーが同時に実行できるスキャンの最大件数。 | 0 |
0 から 1000 までの整数 0 に設定した場合、制限はありません。 |
✕ |
| Max Engine Checks (engine.max_checks) (最大エンジンチェック数 (engine.max_checks)) |
1 つのスキャンエンジンで同時に実行されるプラグインの最大数です。 |
64 | 整数 | ✕ |
| Max Engine Threads (engine.max) (最大エンジンスレッド数 (engine.max)) | 並行して実行できるスキャンエンジンの最大数です。スキャンエンジンは、1 つ以上のスキャンを同時に実行して複数のターゲットのスキャンを行います (engine.max_hosts を参照)。 | マシンの CPU コア数の 8 倍 | 整数 | ✕ |
| Max Hosts Per Engine Thread (engine.max_hosts) (エンジンスレッドごとの最大ホスト数 (engine.max_hosts)) | 1 つのスキャンエンジンで同時に実行されるターゲットの最大数です。 | 16 | 整数 | ✕ |
| Max HTTP Connections (max_http_connections) (最大 HTTP 接続数 (max_http_connections)) | ウェブサーバーが HTTP コード 503 (サービス利用不可、接続が多すぎます) で応答するまでの同時接続の最大試行回数です。 | 600 | 整数 | 〇 |
| Max HTTP Connections Hard (max_http_connections_hard) (厳格な最大 HTTP 接続数 (max_http_connections_hard)) |
ウェブサーバーが許可する同時接続試行の最大回数です。 |
3000 | 整数 | 〇 |
| Max TCP Sessions Per Host (host.max_simult_tcp_sessions) (ホストごとの最大 TCP 接続数 (host.max_simult_tcp_sessions)) |
ホストごとに同時に実行できる最大 TCP セッション数です。 この TCP スロットリングオプションは、SYN スキャナーが送信する 1 秒あたりのパケット数も制御し、その数は TCP セッションの 10 倍になります。たとえば、このオプションを 15 に設定した場合、SYN スキャナーは最大で毎秒 150 パケットを送信します。 |
0 |
これは整数で表示されます。 0 に設定した場合、制限はありません。 |
✕ |
| Max TCP Sessions Per Scan (max_simult_tcp_sessions) (スキャンごとの最大 TCP 接続数 (max_simult_tcp_sessions)) | スキャンするホストの数に関係なく、スキャン全体で確立される TCP セッションの最大数。 | 0 |
0 から 2000 までの整数です。 0 に設定した場合、制限はありません。 |
✕ |
| Minimum Engine Threads (engine.min) (最小エンジンスレッド数 (engine.min)) | Tenable Nessus がターゲットをスキャンするときに最初に開始するスキャンエンジン数。エンジンが engine.optimal_hosts のターゲット数に達すると、Tenable Nessus はスキャンエンジンを engine.max に達するまで追加していきます。 | マシンの CPU コア数の 2 倍 | 整数 | ✕ |
| Optional Hosts Per Engine Thread (engine.optimal_hosts) (エンジンスレッドごとの任意のホスト数 (engine.optimal_hosts)) | Tenable Nessus によってエンジンの追加が (最大で engine.max まで) 行われる前に、各スキャンエンジンで実行するターゲットの最小数です。 | 2 | 整数 | ✕ |
| Optimize Tests (optimize_test) (テストを最適化する (optimize_test)) | テストの手順を最適化します。この設定を無効にすると、スキャンに通常よりも時間がかかり、誤検出が増える可能性があります。 | 〇 | yes または no | ✕ |
| Plugin Check Optimization Level (optimization_level) (プラグインチェック最適化レベル (optimization_level)) |
Tenable Nessus がプラグイン実行前に行うチェックの種類を指定します。 この設定を open_ports に設定した場合、Tenable Nessus は必要なポートが空いているかどうかをチェックします。空いていない場合、プラグインは実行されません。 この設定を required_keys に設定した場合、Tenable Nessus は空いているポートをチェックし、必要なキー (KB エントリ) があるかどうかもチェックします。除外されたキーのチェックは無視されます。 |
なし | open_ports または required_keys | ✕ |
| Plugin Timeout (plugins_timeout) (プラグイン タイムアウト (plugins_timeout)) | プラグインアクティビティの最長有効期間 (秒) です。 | 320 | 0 から 1000 までの整数 | ✕ |
| QDB Memory Usage (qdb_mem_usage) (QDB メモリ使用量 (qdb_mem_usage)) | アイドル時に Tenable Nessus のメモリ使用量を調整します。Tenable Nessus が専用サーバーで実行されている場合、この項目を high に設定すると、使用するメモリが増えてパフォーマンスが向上します。Tenable Nessus を共有マシンで実行している場合、これを low に設定すると、使用するメモリは減りますが、パフォーマンスへの影響は中程度になります。 | low | low または high | ✕ |
| Reduce TCP Sessions on Network Congestion (reduce_connections_on_congestion) (ネットワーク混雑時の TCP セッション数を減らす (reduce_connections_on_congestion)) | ネットワークが混雑しているときに、並行する TCP セッションの数を減らします。 | ✕ | yes または no | ✕ |
| Remediations Limit (remediations_limit) (修正数の上限 (remediations_limit)) |
Tenable Nessus が生成し、スキャン結果に表示する修正の数を制限します。 |
500 | ゼロより大きい整数 | ✕ |
| Scan Check Read Timeout (checks_read_timeout) (スキャンチェック読み取りタイムアウト (checks_read_timeout)) |
テストのソケットの読み取りタイムアウトです。 |
5 | 0 から 1000 までの整数 | ✕ |
| Stop Scan on Host Disconnect (stop_scan_on_disconnect) (ホスト接続切断時のスキャン停止 (stop_scan_on_disconnect)) | これを有効にすると、Tenable Nessus はスキャン中に切断したホストのスキャンを停止します。 | ✕ | yes または no | ✕ |
| XML Enable Plugin Attributes (xml_enable_plugin_attributes) (XML 有効プラグイン属性 (xml_enable_plugin_attributes)) | これを有効にすると、Tenable Nessus は Tenable Security Center にエクスポートされるスキャンにプラグイン属性を含めます。 | ✕ | yes または no | ✕ |
| Webserver Thread Pool Minimum Size (www.thread_pool.min) (ウェブサーバースレッドプール最小サイズ (www.thread_pool.min)) | ウェブサーバーおよびバックエンドのスレッドプールの最小サイズです。 | 2 | 0 から 100 までの整数 | ✕ |
| Webserver Thread Pool Maximum Size (www.thread_pool.max) (ウェブサーバースレッドプール最大サイズ (www.thread_pool.max)) | ウェブサーバーおよびバックエンドのスレッドプールの最大サイズです。 | 200 | 0 から 500 までの整数 | ✕ |
セキュリティ
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
| Always Validate SSL Server Certificates (strict_certificate_validation) (常に SSL サーバー証明書を検証する (strict_certificate_validation)) |
初期リモートリンク中であっても、SSL サーバー証明書を常に検証します (マネージャーが信頼できるルート CA を使用する必要があります)。 |
✕ | yes または no | ✕ |
| Cipher Files on Disk (cipher_files_on_disk) (ディスクの暗号ファイル (cipher_files_on_disk)) | Tenable Nessus が書き出す暗号ファイルです。 | 〇 | yes または no | 〇 |
| Force Public Key Authentication (force_pubkey_auth) (公開鍵認証を強制する (force_pubkey_auth)) | Tenable Nessus のログインで公開鍵認証を使用するように強制します。 | ✕ | yes または no | 〇 |
| Max Concurrent Sessions Per User (max_sessions_per_user) (ユーザーあたりの最大同時セッション数 (max_sessions_per_user)) | ユーザーあたりの最大同時セッションです。 | 0 |
0 から 2000 までの整数です。 0 に設定した場合、制限はありません。 |
✕ |
| SSL Cipher List (ssl_cipher_list) (SSL 暗号リスト (ssl_cipher_list)) |
Tenable Nessus のバックエンド接続に使用する暗号リストです。事前設定済みの暗号文字列のリストを使用するか、カスタム暗号リストまたは暗号文字列を入力します。 注意: この設定では、TLS 1.2 の暗号のみを設定します。 |
compatible |
|
〇 |
| SSL Mode (ssl_mode) (SSL モード (ssl_mode)) |
サポートされる TLS の最小バージョンです。 |
tls_1_2 |
|
〇 |
エージェントとスキャナー
注意 : 次の設定項目は、Tenable Nessus Manager でのみ利用可能です。
| 設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要 |
|---|---|---|---|---|
| agent_auto_delete | エージェントが非アクティブになってから agent_auto_delete_threshold で設定されている期間が経過した後、エージェントが自動的に削除されるかどうかを制御します。 | ✕ | yes または no | ✕ |
| agent_auto_delete_threshold | agent_auto_delete が yes に設定されている場合に、非アクティブなエージェントが自動的に削除されるまでの日数です。 | 60 | 1 から 365 までの整数 | ✕ |
| agent_auto_unlink |
エージェントが非アクティブになってから agent_auto_unlink_threshold で設定されている期間が経過した後、エージェントが自動的にリンク解除されるかどうかを制御します。 |
✕ | yes または no | ✕ |
| agent_auto_unlink_threshold |
agent_auto_unlink が yes に設定されている場合に、非アクティブなエージェントが自動的にリンク解除されるまでの日数です。 注意: この値は、agent_auto_delete_threshold の値より少なくする必要があります。 |
30 | 30 から 90 までの整数 | ✕ |
| agents_progress_viewable | エージェント数がこの設定値を超えると、スキャンでエージェントから情報が収集されても、Tenable Nessus Manager はエージェントの詳細情報を表示しません。その代わりに、スキャンが完了したときに、スキャン結果が収集されて閲覧できることを示すメッセージが表示されます。 | 100 |
これは整数で表示されます。 ゼロに設定された場合、デフォルト値の 100 に戻ります。 |
✕ |
| agent_updates_from_feed |
この機能を有効にすると、Tenable Agent ソフトウェアの新しい更新プログラムが自動でダウンロードされます。 |
〇 | yes または no | 〇 |
| cloud.manage.download_max | エージェントの更新プログラムを同時にダウンロードできる最大数です。 | 10 | 整数 | ✕ |
| agent_merge_audit_trail |
エージェントスキャン結果の監査証跡データをメインのエージェントデータベースに含めるかどうかを決めます。監査証跡データを除外すると、エージェントスキャン結果の処理パフォーマンスが大幅に向上します。 この設定が [false] に設定されていると、個別のスキャンやポリシーの [Audit Trail Verbosity] (監査証跡の詳細) 設定がデフォルトで [No audit trail] (監査証跡なし) に設定されます。 |
false | true または false | ✕ |
| agent_merge_kb |
メインのエージェントデータベースにエージェントのスキャン結果の KB データを含めます。KB データを除外すると、エージェントスキャン結果の処理パフォーマンスが大幅に向上します。 この設定が [false] に設定されていると、個別のスキャンやポリシーの [Include the KB] (KB を含む) 設定がデフォルトで [Exclude KB] (KB を含まない) に設定されます。 |
false | true または false | ✕ |
| agent_merge_journal_mode |
エージェントの結果を処理するときに使用するジャーナルモードを設定します。環境によっては、これによって処理パフォーマンスが向上する場合がありますが、クラッシュが発生した場合にスキャン結果が破損するリスクもあります。詳細は、sqlite3 のドキュメントを参照してください。 |
DELETE |
MEMORY TRUNCATE DELETE |
✕ |
| agent_merge_synchronous_setting |
エージェントの結果を処理するときに使用するファイルシステムの同期モードを設定します。この設定をオフにすると処理パフォーマンスは大きく向上しますが、クラッシュが発生した場合にスキャン結果が破損するリスクもあります。詳細は、sqlite3 のドキュメントを参照してください。 |
FULL |
OFF NORMAL FULL |
✕ |
| track_unique_agents | この機能を有効にすると、Tenable Nessus Manager はリンクしようとしているエージェントの MAC アドレスが、同じホスト名、プラットフォーム、ディストリビューションを持つ、リンク済みエージェントの MAC アドレスと一致するかどうかをチェックします。Tenable Nessus Manager はエージェントの重複があればそれを削除します。 | ✕ | yes または no | ✕ |
クラスタ
注意 : 次の設定項目は、クラスタリングが有効になっている Tenable Nessus Manager でのみ利用できます。
|
設定 |
説明 |
デフォルト | 有効な値 |
|---|---|---|---|
| Agent Blacklist Duration Days (agent_blacklist_duration_days) (エージェントブラックリスト日数 (agent_blacklist_duration_days)) |
エージェントがクラスタノードへの再リンクからブロックされたままとなっている日数です。 たとえば、クラスタ内の既存エージェントに一致する UUID にリンクしようとした場合、Tenable Nessus はエージェントをブロックします。 注意: Tenable Nessus 操作がないと、Tenable Nessus がエージェントを完全に削除または削除した後に、エージェントがブロックされます。ただし、管理者が手動でエージェントのリンクを解除して再リンクした場合、Tenable Nessusはそのエージェントを正常な状態に戻します。 |
7 |
ゼロより大きい整数 |
| Agent Clustering Scan Cutoff (agent_cluster_scan_cutoff) (エージェントクラスタスキャン中止 (agent_cluster_scan_cutoff)) | 子ノードを更新することなくこの設定時間が経過すると、Tenable Nessus はスキャンを中止します。 | 3600 | 299 より大きい整数 |
| Agent Node Global Maximum Default (agent_node_global_max_default) (最大のデフォルトエージェントノードグローバル (agent_node_global_max_default)) |
グローバルのクラスタノードあたり最大デフォルトエージェント数です。 子ノードに個別の最大値を設定している場合、そちらの設定値の方がこの設定より優先されます。 |
10000 | 0 から 20000 までの整数 |
その他
|
設定 |
説明 |
デフォルト | 有効な値 | 再起動が必要ですか? |
|---|---|---|---|---|
| Allow Special Characters in User Names (allow_special_chars_in_username) (ユーザー名の特殊文字を許可する (allow_special_chars_in_username)) | Tenable Nessus のユーザー名に括弧 (( および )) を使用できるかどうかを指定します。 | true | true または false | ✕ |
| Automatic Update Delay (auto_update_delay) (自動アップデート遅延 (auto_update_delay)) | Tenable Nessus が次回自動アップデートまで待機する時間です。 | 24 |
ゼロより大きい整数 |
✕ |
| Automatic Updates (auto_update) (自動アップデート (auto_update)) |
プラグインを自動でアップデートします。この機能を有効にして Tenable Nessus を登録すると、Tenable Nessus は利用可能になった最新プラグインを Tenable から自動的に入手します。スキャナーがインターネットに接続できない独立したネットワーク上にある場合は、この設定を無効にします。
注意: この設定は、Tenable Vulnerability Management に接続された Tenable Nessus スキャナーでは機能しません。Tenable Vulnerability Management にリンクされたスキャナーは、cloud.tenable.com から更新を自動的に受信します。詳細は、ナレッジベースの記事を参照してください。 |
〇 | yes または no | 〇 |
| Automatically Update Nessus (auto_update_ui) (Nessus の自動アップデート (auto_update_ui)) |
Tenable Nessus の更新プログラムを自動ダウンロードして適用します。 注意: この設定は、Tenable Vulnerability Management に接続された Tenable Nessus スキャナーでは機能しません。Tenable Vulnerability Management にリンクされたスキャナーは、cloud.tenable.com から更新を自動的に受信します。詳細は、ナレッジベースの記事を参照してください。 |
〇 | yes または no | ✕ |
| Backups to keep (backup_days_to_keep) (バックアップして保持 (backup_days_to_keep)) |
Tenable Nessus は、24 時間ごとにバックアップファイルを自動的に作成します。この設定を使用して、Tenable Nessus がバックアップファイルを破棄するまでの日数を指定します。たとえば、この設定をデフォルトの 30 日のままにした場合、Tenable Nessus は過去 30 日間の日次バックアップファイルを保持します。 Tenable Nessus バックアップファイルの詳細については、Tenable Nessus のバックアップ を参照してください。 |
30 | ゼロより大きい整数 | ✕ |
| Child Node Port (child_node_listen_port) (子ノードポート (child_node_listen_port)) | Tenable Nessus 子ノードが別のポートで親ノードと通信できるようにします。 | なし | 任意の有効なポート値 | 〇 |
| Initial Sleep Time (ms_agent_sleep) (初期スリープ時間 (ms_agent_sleep)) | (Tenable Nessus Manager のみ) 管理スキャナーとエージェントリクエストの間のスリープ時間です。この設定は Tenable Nessus Manager または Tenable Vulnerability Managementでオーバーライドできます。 | 30 | 5 から 3300 までの整数 | ✕ |
| Java Heap Size (java_heap_size) (Java ヒープサイズ (java_heap_size)) |
PDF レポートをエクスポートするときに Tenable Nessus が使用する Java ヒープサイズ (Java 仮想マシンで実行されているアプリケーションによってインスタンス化されたオブジェクトを保存するために使用されるシステムメモリ) を指定します。 |
auto | auto または 0 より大きい整数 | 〇 |
| Max HTTP Client Requests (max_http_client_requests) (最大 HTTP クライアントリクエスト数 (max_http_client_requests)) | 管理スキャナーおよびエージェントで同時に確立できる HTTP アウトバウンド接続の最大数を指定します。 | 4 | ゼロより大きい整数 | 〇 |
| Nessus Debug Port (dbg_port) (Nessus デバッグポート (dbg_port)) | nessusd が ndbg クライアント接続をリッスンするポートです。空白にすると、Tenable Nessus はデバッグポートを確立しません。 | なし | port、localhost:port、ip:portのいずれかの形式の文字列 | ✕ |
| Nessus Preferences Database (config_file) (Nessus 設定データベース (config_file)) |
エンジンの環境設定項目を含む設定ファイルの場所です。 各オペレーティングシステムのデフォルトは次のとおりです。 Linux /opt/nessus/etc/nessus/nessusd.db macOS /Library/Nessus/run/etc/nessus/conf/nessusd.db Windows C:\ProgramData\Tenable\Nessus\conf\nessusd.db |
お使いのオペレーティングシステムにおける Tenable Nessus のデータベースディレクトリ | 文字列 | 〇 |
| Non-User Scan Result Cleanup Threshold (report_cleanup_threshold_days) (非ユーザースキャン結果クリーンアップしきい値 (report_cleanup_threshold_days)) | 古いシステムユーザーのスキャンレポートを削除するまでの経過時間のしきい値 (日数) です。 | 30 | ゼロより大きい整数 | ✕ |
| Old User Files Cleanup (old_user_files_cleanup_hours) (古いユーザーファイルのクリーンアップ (old_user_files_cleanup_hours)) | Tenable Nessus が古いユーザーファイルをファイルシステムから削除するまでの経過時間。0 に設定すると、Tenable Nessus はクリーンアップを実行しません。 | 0 | ゼロより大きい整数 | ✕ |
| Orphaned Scan History Cleanup (orphaned_scan_cleanup_days) (取り残されたスキャンの履歴のクリーンアップ (orphaned_scan_cleanup_days)) |
Tenable Nessus が取り残された Tenable Security Center のスキャンを削除するまでの経過日数。たとえば、Tenable Security Center 経由で実行されて適切に削除されなかった結果、スキャンが取り残されてしまうことがあります。 0 に設定すると、Tenable Nessus はクリーンアップを実行しません。 注意: この設定は、Tenable Security Center から起動されたネットワークスキャンにのみ適用されます。エージェントスキャンまたはウェブアプリケーションスキャンには適用されません。 |
30 | ゼロより大きい整数 | ✕ |
| Packet Capture Archive Cleanup (packet_capture_archive_cleanup_days) (パケットキャプチャアーカイブクリーンアップ (packet_capture_archive_cleanup_days)) | Tenable Nessus がパケットキャプチャアーカイブをファイルシステムから削除するまでの日数。0 に設定すると、Tenable Nessus はクリーンアップを実行しません。 | 30 | ゼロより大きい整数 | ✕ |
| Plugin Integrity Check Frequency (Minutes) (plugin_healthcheck_frequency) (プラグイン整合性チェック頻度 (分) (plugin_healthcheck_frequency)) | Tenable Nessus がプラグインの整合性チェックをフルで実行する頻度を分単位で決定します。 | 10080 | 1440 から 10080 までの整数 | 〇 |
| Remote Scanner Port (remote_listen_port) (リモートスキャナーポート (remote_listen_port)) | この設定により、Tenable Nessus は、リモートエージェントおよびスキャナーとの通信専用ポート (通信ポート) と、ユーザーログイン専用のポート (管理ポート) で動作可能になります。この設定を追加することで、xmlrpc_listen_port (デフォルトは 8834) で定義されたポートではなく、別のポート (例: 9000) を管理スキャナーとエージェントにリンクできます。 | なし | 整数 | 〇 |
| Report Crashes to Tenable (report_crashes) (クラッシュを Tenable に報告する (report_crashes)) | これを有効にすると、問題を特定するために、Tenable Nessus は Tenable, Inc. にクラッシュ情報を自動送信します。個人情報やシステム識別情報を Tenable Nessus が Tenable, Inc. に送信することはありません。 | 〇 | yes または no | ✕ |
| Scan Source IP(s) (source_ip) (ソース IP をスキャン (source_ip)) | マルチホームホストのスキャン実行時に使用するソース IP です。複数の IP がある場合、Tenable Nessus は新しい接続を実行するたびにそれらの IP を繰り返して使用します。 | なし | 1 つの IP アドレス、またはコンマ区切りの複数の IP アドレスリスト | 〇 |
| Send Telemetry (send_telemetry) (テレメトリを送信 (send_telemetry)) |
有効にすると、Tenable Nessus は機密情報ではない製品の使用状況データを、安全な方法で定期的に Tenable に送信します。 使用状況統計データとは、Tenable Nessus インターフェース内でアクセスしたページ、使用したレポートとダッシュボード、Tenable Nessus ライセンス、設定済み機能に関するデータなどを指します。Tenable はこのデータを将来の Tenable Nessus リリースのユーザーエクスペリエンスの改善に活用します。この機能はいつでも無効にすることが可能で、無効にすると使用状況統計データを Tenable と共有することはなくなります。 |
〇 | yes または no | 〇 |
| User Scan Result Deletion Threshold (scan_history_expiration_days) (ユーザースキャン結果削除しきい値 (scan_history_expiration_days)) |
Tenable Nessus が完了したスキャンの履歴とデータを完全に削除するまでの日数。 注意: この設定は、Tenable Security Center から起動されたすべてのスキャナー、エージェント、ウェブアプリケーションスキャンに影響を与えます。 |
0 |
0 または 3 以上の整数です。 0 に設定すると、Tenable Nessus は履歴を保持します。 |
✕ |
| Windows Minidump (windows_minidump) (Windows ミニダンプ (windows_minidump)) | Windows 用 Tenable Nessus がクラッシュした場合、Tenable Nessus が Windows ミニダンプファイルをログフォルダーに生成するかどうかを決定します。 | ✕ | yes または no | ✕ |
Custom (カスタム)
すべての詳細設定が Tenable Nessus ユーザーインターフェースに取り込まれるわけではありませんが、一部の設定はコマンドラインインターフェースで設定できます。
カスタムの詳細設定を管理するには、次の手順に従います。
新しい設定を作成する
-
Tenable Nessus の上部のナビゲーションバーで、[Settings] (設定) をクリックします。
[About] (製品情報) ページが表示されます。
-
左側のナビゲーションバーで、[Advanced] (アドバンス) をクリックします。
[Advanced Settings] (詳細設定) ページが表示されます。
-
右上の[New Setting] (新規設定) ボタンをクリックします。
[Add Setting] (設定の追加) ウィンドウが表示されます。
- [Name] (名前) ボックスに、新規設定のキーを入力します。
- [Value] (値) ボックスに、対応する値を入力します。
-
[Add] (追加) ボタンをクリックします。
リストに新規設定が表示されます。
設定を変更する
-
上部のナビゲーションバーで、[Settings] (設定) をクリックします。
[About] (製品情報) ページが表示されます。
-
左側のナビゲーションバーで、[Advanced] (アドバンス) をクリックします。
[Advanced Settings] (詳細設定) ページが表示されます。
-
設定テーブルで変更する設定の行をクリックします。
[Edit Setting] (設定の編集) ボックスが表示されます。
- 必要に応じて設定を変更します。
-
[Save] (保存) ボタンをクリックします。
Tenable Nessus により設定が保存されます。
設定を削除する
-
Tenable Nessus の上部のナビゲーションバーで、[Settings] (設定) をクリックします。
[About] (製品情報) ページが表示されます。
-
左側のナビゲーションバーで、[Advanced] (アドバンス) をクリックします。
[Advanced Settings] (詳細設定) ページが表示されます。
-
設定テーブルの削除する設定の行で、
ボタンをクリックします。設定を削除する選択でよいかを確認するダイアログボックスが表示されます。
-
[Delete] (削除) をクリックします。
Tenable Nessus が設定を削除します。
次の表は、デフォルトでは Tenable Nessus に表示されないものも含め、設定できる詳細設定を示しています。
| 識別子 |
説明 |
デフォルト | 有効な値 |
|---|---|---|---|
| acas_classification |
Tenable Nessus ユーザーインターフェースの上部と下部に分類バナーを追加し、最後に成功したログインと失敗したログインの通知をオンにします。 |
なし |
|
| multi_scan_same_host |
無効になっている場合、ホストに負荷を掛けないよう、Tenable Vulnerability Management は単一の IP アドレスに解決される複数のターゲットを 1 つのスキャナーが同時にスキャンしないようにします。代わりに Tenable Vulnerability Management スキャナーは、IP アドレスがスキャナー上の同じスキャンタスクまたは複数のスキャンタスクに複数回現れた場合、IP アドレスのスキャンを順番に実行します。スキャン完了までの時間が長くなる可能性があります。 有効になっている場合、Tenable Vulnerability Management スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、スキャンターゲットに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。 |
✕ | yes または no |
| merge_plugin_results |
同一ホスト、ポート、プロトコルで複数の結果を生成するプラグインのプラグイン結果の統合をサポートします。Tenable は、Tenable Security Center にリンクされているスキャナーに対してこのオプションを有効にすることをお勧めします。 |
✕ | yes または no |
| nessus_syn_scanner.global_throughput.max | Tenable Nessus がポートスキャン中に送信する 1 秒あたりの SYN パケットの最大数 (Tenable Nessus が並行してスキャンするホスト数とは無関係) を設定します。この設定は、大量の SYN パケットに対するリモートデバイスの脆弱性に応じて調整します。 | 65536 | 整数 |
| login_banner |
Tenable Nessus へのログインを試みた後に表示されるテキストバナー。このバナーが表示されるのは、新しいブラウザまたはコンピューターから初めてログインするときのみです。 |
なし | 文字列 |
|
timeout.<plugin ID> |
<plugin ID>にプラグイン ID を入力します。Tenable Nessus がプラグインを停止するまでに、Tenable Nessus がそのプラグイン <pluginID> の実行を許可する最大時間 (秒)。このオプションをプラグインに設定すると、この値が plugins_timeout よりも優先されます。 | なし | 0 から 86400 までの整数 |