詳細なスキャン設定
注意: スキャンがポリシーに基づいている場合、スキャンの [Advanced] (詳細) 設定はできません。これらの設定は、関連するポリシーでのみ変更できます。
[詳細] 設定により、スキャン効率とスキャン動作をより詳細に制御でき、プラグインのデバッグも有効にできます。
Tenable が提供するスキャナーテンプレートの一部には、
[カスタム] の事前設定オプションを選択した場合、または詳細設定が事前設定されていない Nessus スキャナーテンプレートを使用している場合、次のカテゴリの [詳細] 設定を手動で設定できます。
- 全般設定
- パフォーマンス
- Unix Find コマンドの除外
- エージェントのパフォーマンス (エージェントスキャンのみ)
- Windows ファイル検索オプション
- デバッグ設定
- スキャン開始のシフト
- コンプライアンスの出力オプション
- 脆弱性オプション
- ウェブアプリテンプレートの詳細設定
注意: 次のテーブルには、[Advanced Scan] (詳細スキャン) テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。
設定 | デフォルト値 | 説明 |
---|---|---|
全般設定 | ||
Enable Safe Checks (安全なチェックを有効化) | Enabled (有効) |
有効にすると、リモートホストに悪影響を及ぼす可能性のあるすべてのプラグインが無効になります。 |
Stop scanning hosts that become unresponsive during the scan (スキャン中に反応しなくなるホストのスキャンを停止する) | Disabled (無効) |
有効にすると、ホストの無応答状態が検出された場合に Tenable Nessus はスキャンを停止します。この状況は、スキャン中にユーザーがPCをオフにした場合、サービス拒否プラグイン後にホストが応答を停止した場合、またはセキュリティメカニズム (IDS など) がサーバーへのトラフィックのブロックを開始した場合に発生することがあります。通常これらのマシンでスキャンを継続すると、ネットワーク全体に不要なトラフィックが送信され、スキャンが遅延します。 |
Scan IP addresses in a random order (ランダムに IP アドレスをスキャンする) | 無効 |
デフォルトでは、Tenable Nessus は IP アドレスのリストを順番にスキャンします。有効にすると、Tenable Nessus は IP アドレス範囲内のホストのリストをランダムな順番でスキャンします。通常このアプローチは、大規模なスキャン中にネットワークトラフィックを分散するのに有用です。 |
Automatically accept detected SSH disclaimer prompts (検出された SSH の免責メッセージを自動的に受け入れる) | 無効 |
有効にすると、認証スキャンが免責事項要求のある FortiOS ホストに SSH 経由で接続を試みる場合に、スキャナーが免責事項要求の了承に必要なテキスト入力を行い、スキャンを継続します。 スキャンは、サポートされている認証方法を取得するために、最初に不良 ssh リクエストをターゲットに送信します。これにより、ターゲットへの接続方法を決定できます。この方法は、カスタム ssh バナーを設定してから、ホストへの接続方法を決定する際に便利です。 無効にすると、スキャナーがデバイスに接続して免責事項を了承することができないため、免責事項要求のあるホストに対する認証スキャンは失敗します。プラグインの出力にエラーが表示されます。 |
Scan targets with multiple domain names in parallel (複数のドメイン名からなるターゲットを並列にスキャンする) | 無効 |
無効になっている場合、 有効になっている場合、Tenable Nessus スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、ホストに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。 |
Trusted CAs (信頼できる CA) | なし |
Tenable Nessus がスキャンを許可する認証局 (CA) を指定します。[Trusted CAs] (信頼できる CA) ボックスに、1 つまたは複数の CA のテキストを入力します。 注意: 開始テキスト -----BEGIN CERTIFICATE----- と終了テキスト -----END CERTIFICATE----- を含めます。 ヒント: 1 つのテキストファイルに証明書を 1 つ以上保存することができます。それぞれについて、開始テキストと終了テキストを含めます。 スキャナーレベルで信頼できる CA を指定することもできます。詳細は、カスタム CA を信頼するを参照してください。 |
パフォーマンス | ||
Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる) |
無効 |
有効にすると、Tenable は、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出できます。ネットワーク輻輳を検出すると、スキャンを調整して輻輳に対応し、緩和します。輻輳が緩和されると、Tenable は自動的にネットワークパイプ内の使用可能なスペースを再び使用しようとします。 |
5 |
プラグイン内で特に指定されていない場合に、Tenable がホストからの応答を待機する時間を指定します。低速接続でスキャンしている場合、この値を高い秒数に設定しても構いません。 |
|
Max simultaneous checks per host (ホストごとの同時チェックの最大数) |
5 |
Tenable スキャナーが 1 つのホストに対して同時に実行するチェックの最大数を指定します。 |
Max simultaneous hosts per scan (スキャンごとの同時ホストの最大数) |
30 か、または Tenable Nessus スキャナーの詳細設定 max_hosts のうち小さい方の値。 |
スキャナーが同時にスキャンするホストの最大数を指定します。 [Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) に、スキャナーの max_hosts の設定値より大きい値を設定すると、Nessus は [Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を max_hosts の値に制限します。たとえば、[Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を 150 に設定した場合、スキャナーの max_hosts が 100 に設定されているとしたら、この値は 100 ターゲットを超えています。したがって、Nessus が同時にスキャンするホストの最大数は 100 となります。 |
Max number of concurrent TCP sessions per host (ホストあたりに同時に実行できるの最大 TCP セッション数) |
なし |
単一ホストに対して確立された TCP セッションの最大数を指定します。 |
Max number of concurrent TCP sessions per scan (スキャンごとの同時 TCP セッションの最大数) |
なし |
スキャンされるホストの数に関係なく、スキャン全体で確立される TCP セッションの最大数を指定します。
注意: [MAX NUMBER OF CONCURRENT TCP SESSIONS PER SCAN] (スキャンあたりの同時 TCP セッションの最大数) 設定は、ディスカバリースキャンでは強制できません。global.max_simult_tcp_sessions Nessus Engine 設定 (各スキャナーで設定) は、1 つのスキャナーで実行されるすべてのスキャンの合計に適用される絶対上限です(たとえば、4 つのスキャナーがあり、それらが同時に生成する TCP セッションの数が合計で 10000 を超えないようにするには、個々のスキャナーのグローバル設定を 2500 に設定します)。 |
Unix find コマンドのオプション | ||
コマンドタイムアウト |
240 |
Unix システムで find コマンドを実行できる最大秒数です。すべての Find コマンドでこのタイムアウトが使用されるわけではありません。 注意: プラグインのすべての Find コマンドの実行を完了し、プラグインのタイムアウトを回避するには、スキャナーの [Advanced Settings] (詳細設定) にある timeout_<plugin ID> でそのプラグインのタイムアウトを調整する必要があります。 |
除外するファイルパス | なし |
Unix システムで find コマンドを使用して検索する、すべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。 ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。 |
Exclude Filesystem (ファイルシステムを除外) | なし |
Unix システムで find コマンドを使用して検索するすべてのプラグインから除外するファイルシステムのリストを含むプレーンテキストファイル。 ファイルでは、Unix の find コマンド -fstype 引数でサポートされるファイルシステムの種類を使用して、1 行ごとに 1 つのファイルシステムを入力します。詳細については、find コマンドの man page を参照してください。 |
Include Filepath (ファイルパスを含める) | なし |
Unix システムで find コマンドを使用して検索する、すべてのプラグインから含めるファイルパスのリストを含むプレーンテキストファイルです。 ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。 ファイルパスを含めると、プラグインで検索される場所が増えるため、スキャンの継続時間が延びます。対象ができるだけ固有となるように指定してください。 ヒント: [Include Filepath] (ファイルパスを含める) と [Exclude Filepath] (ファイルパスを除外する) に同じファイルパスを含めないようにしてください。この競合によって、結果はオペレーティングシステムによって異なる場合がありますが、ファイルパスが検索から除外される可能性があります。 |
エージェントのパフォーマンスオプション | ||
Tenable が提供したバイナリを「find」および「unzip」に使用します | 無効 |
有効にすると、find および unzip のオペレーティングシステムのネイティブコマンドを実行する代わりに、プラグインはエージェントベースのスキャン用のプラグインフィード内に含まれるバイナリを使用します。これにより、Tenable Nessus Agent find コマンドの CPU 消費を制御できます。この設定を有効にするもう 1 つの利点は、find または unzip がオペレーティングシステムでネイティブに見つからない場合に、フィードからコマンドを使用すると、これらのコマンドでプラグインの完全な実行を続行できることです。 この設定は、エージェントでローカルに設定できる [Scan Performance] (スキャンパフォーマンス) 設定と連携して機能します。この設定を有効にして、[Scan Performance] (スキャンパフォーマンス) 設定をデフォルト ([高]) 以外の設定に調整した場合、スキャン結果は、同じ設定の以前のスキャンとは異なる場合があります。これは、CPU リソースが減少しているため、スキャンでファイルを見つける際にタイムアウトが発生する可能性があるためです。 注意: 詳細で完全な結果が必要なため、監査では Tenable フィードからの find や unzip バイナリを利用しません。
注意: この設定を有効にすると、プラグインが結果のバッチ処理をリクエストした際に、CPU 使用率が急激に上昇するか、100% に近くなる可能性があります。その後、次のバッチ処理がリクエストされるまで、CPU は低いレベルに低下します。 |
Windows ファイル検索オプション | ||
Windows Exclude Filepath (Windows で除外するファイルパス) | なし |
Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインから除外するファイルパスのリストが含まれた、プレーンテキストファイルです。 ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、\Testdir\ など、絶対または相対ディレクトリ名を含めることができます。 ヒント: この設定を行わない場合、デフォルトの除外パスには \Windows\WinSxS\ と \Windows\servicing\ が含まれます。この設定を行う場合、Tenable はこれらの 2 つのパスをファイルに追加することを推奨します。これらのディレクトリは非常に遅く、管理されていないソフトウェアは含まれていません。 |
Windows で含めるファイルパス | なし |
Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインに含めるファイルパスのリストが含まれた、プレーンテキストファイルです。 ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、C:\ など、絶対または相対ディレクトリ名だけを含めることができます。 注意: Windows のインクルードファイルパス は、デフォルトのインクルードディレクトリ (Windows の ドライブなど) よりも優先されます。そのため、他のディレクトリに加えてデフォルトのディレクトリを含める場合には、追加のファイルパス行にデフォルトのディレクトリをリストする必要があります。警告: Windows Include Filepath (Windows で含めるファイルパス) と Windows Exclude Filepath (Windows で除外するファイルパス) の設定に同じファイルパスを含めないようにしてください。この競合により、ファイルパスは検索から除外されます。 |
デバッグ設定 | ||
Log scan details (スキャンの詳細を記録する) | 無効 | nessusd.messages へのスキャン中に使用される各プラグインの開始時間と終了時間を記録します。 |
Enable plugin debugging (プラグインのデバッグを有効化) |
無効 |
プラグインから利用可能なデバッグログを、このスキャンの脆弱性出力に添付します。 |
Audit Trail Verbosity (監査証跡の詳細) | |
プラグイン監査証跡の詳細度を制御します。All audit trail data は、スキャンにプラグインが含まれなかった理由を含みます。
|
Include the KB (KB を含む) | デフォルト |
追加のデバッグデータを含むスキャン KB を、スキャン結果に含めるかどうかを制御します。 Tenable Nessus スキャンでは、デフォルトで KB が含まれます。エージェントスキャンでは、Default (デフォルト) で 詳細設定 で設定されたグローバル設定の Include KB Data (KB データを含む) (agent_merge_kb)を使用します。 |
Enumerate launched plugins (起動されたプラグインを列挙) | 無効 |
スキャン中に Tenable Nessus が起動したプラグインのリストを表示します。プラグイン 112154 のスキャン結果でリストを表示できます。 注意: プラグイン 112154 を無効にすると、この設定が正しく機能しません。 |
スキャン開始のシフト | ||
Maximum delay (minutes) (最大遅延 (分)) | 0 |
(Agents 8.2 以降) 設定されている場合、エージェントグループ内の各エージェントは、指定された時間の値 (分) を最大値とするランダムな時間、スキャンの開始を遅らせます。同時に開始しないようにすることで、仮想マシン CPU などの共有リソースを使用するエージェントの影響を低減できます。 設定した最大遅延時間がスキャンウィンドウを超過する場合、Tenableは、スキャンウィンドウがクローズする最低 30 分前にエージェントがスキャンを開始するよう、最大遅延時間を短縮します。 |
コンプライアンス出力設定 | ||
Maximum Compliance Output Length in KB (コンプライアンスの最大出力長 (KB)) | 128,000 KB |
ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Nessus は結果を切り捨てます。 注意: コンプライアンススキャン処理が遅い場合、この設定の値を小さくして処理速度を向上させることを推奨します。
|
コンプライアンスチェックの最大タイムアウト (秒) | 300 秒 |
コンプライアンスチェックの最大タイムアウト期間を制御します。 この設定は、実行時間が長いチェック、特に Windows と Unix の監査の削除対象に対してコマンドを実行するチェックにおいて使用されます。このタイムアウト設定が利用可能な場合、他のすべてのタイムアウト設定よりも優先されます。 |
脆弱性オプション | ||
パッチ未適用の脆弱性をスキャン (利用可能なパッチまたは軽減策なし) | 無効 |
スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより修正されないものとしてマークされた CVE が含まれます。 この設定を有効にすると、全体的な検出結果数が増える可能性があります。各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成されます。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。
注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Nessus は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。 |
ウェブアプリテンプレートの詳細設定
以降のセクションで、Tenable Nessus ウェブアプリスキャンテンプレートで構成できる詳細設定について説明します。詳細は、Tenable Nessus でのウェブアプリケーションスキャンを参照してください。
[Advanced Settings] (詳細設定) オプションを使用して、スキャンの効率とパフォーマンスを制御することができます。
一般事項
スキャンおよびユーザー定義スキャンテンプレートの [General] (一般事項) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
設定 | Default (デフォルト) | 説明 |
---|---|---|
Target Scan Max Time (HH:MM:SS) (対象資産スキャン最大時間 (HH:MM:SS)) | 08:00:00 |
スキャナーがスキャンジョブが停止するまでの実行最長時間を指定します。時間、分、秒で表示されます。
注意: 設定できる最大期間は 99:59:59 (時間:分:秒) です。 |
Maximum Queue Time (HH:MM:SS) (最大キュー時間 (HH:MM:SS)) | 08:00:00 |
スキャンが Queued 状態を続ける最大期間を指定します。時間、分、秒で表示されます。
注意: 設定できる最大期間は 48:00:00 (時間:分:秒) です。 |
Enable Debug logging for this scan (このスキャンのデバッグログを有効にする) |
無効 | プラグインから利用可能なデバッグログを、スキャナーがこのスキャンの脆弱性出力に添付するかどうかを指定します。 |
Debug Flags (デバッグフラグ) |
無効 | ([Enable Debug logging for this scan] (このスキャンのデバッグログを有効にします) を有効にしたときのみ表示)デバッグ用に、サポートから提供されるキーと値のペアを指定できます。 |
HTTP 設定
これらの設定では、スキャナーで識別するユーザーエージェント、およびスキャナーでウェブアプリケーションに対するリクエストに含める必要がある HTTP レスポンスヘッダーを指定します。
設定 | Default (デフォルト) | 説明 |
---|---|---|
Use a different User Agent to identify scanner (異なるユーザーエージェントを使用してスキャナを特定する) | 無効 |
スキャナーで HTTP リクエストを送信するときに Chrome 以外のユーザーエージェントヘッダーを使用するかどうかを指定します。 |
User Agent (ユーザーエージェント) | Chrome's user-agent (Chrome のユーザーエージェント) |
スキャナーが HTTP リクエストを送信するときに使用するユーザーエージェントヘッダーの名前を指定します。 このオプションは、[Use a different User Agent to identify scanner] (別のユーザーエージェントを使用してスキャナーを識別する) チェックボックスを選択した後にのみ設定できます。 デフォルトでは、Tenable Nessus での Tenable Web App Scanning は、使用中のマシンのオペレーティングシステムとプラットフォームに対応するオペレーティングシステムとプラットフォーム用に Chrome が使用するユーザーエージェントを使用します。Chrome のユーザーエージェントの詳細については、Google Chrome のドキュメントを参照してください。 注意: スキャナーからのすべてのリクエストが、ユーザーエージェントによって送信されるわけではありません。
|
Add Scan ID HTTP Header (スキャン ID HTTP ヘッダーを追加する) | 無効 |
スキャナーがターゲットに送信するすべての HTTP リクエストにもう 1 つ X-Tenable-Was-Scan-Id ヘッダー (スキャン ID で設定されている) を追加するかどうかを指定します。これにより、ウェブサーバーのログでスキャンジョブを特定し、スキャン設定を変更してサイトを保護することができます。 |
Custom Headers (カスタムヘッダー) | なし |
リクエストおよびレスポンスの形式の各 HTTP リクエストに挿入するカスタムヘッダーを指定します。 ボタンをクリックし、各追加のヘッダーの値を入力することで、カスタムヘッダーを追加することができます。 注意: ユーザーエージェントのカスタムヘッダーを入力した場合、その値は [User Agent] (ユーザーエージェント) 設定ボックスに入力された値よりも優先されます。 |
制限
スキャンおよびユーザー定義スキャンテンプレートの [Limits] (制限) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
設定 | Default (デフォルト) | 説明 |
---|---|---|
Number of URLS to Crawl and Browse (クロールおよびブラウズする URL の数) | 10000 | スキャナーでクロールを試行する URL の最大数を指定します。 |
Path Directory Depth (パスディレクトリの深さ) | 10 |
スキャナーでクロールするサブディレクトリの最大数を指定します。 たとえば、ターゲットが www.example.com で、スキャナーで www.example.com/users/myname をクロールしたい場合、テキストボックスに「2」と入力します。 |
Path Directory Depth (ページ DOM 要素の深さ) | 5 | スキャナーでクロールする HTML にネストされた要素のレベルの最大数を指定します。 |
Max Response Size (最大レスポンスサイズ) | 500000 | スキャナーで分析するページの最大読み込みサイズ (バイト単位) を指定します。 スキャナーで URL をクロールし、応答が制限を超えた場合、スキャナーはページの脆弱性を分析しません。 |
Request Direct Limit (ダイレクト制限のリクエスト) | 1 | スキャナーでページのクロールの試行を停止するまでに、スキャナーが従うリダイレクトの数を指定します。 |
画面設定
スキャンおよびユーザー定義スキャンテンプレートの [Screen Settings] (画面設定) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
設定 | Default (デフォルト) | 説明 |
---|---|---|
Screen Width (画面の幅) |
1600 |
スキャナーに埋め込まれたブラウザの画面の幅 (ピクセル単位) を指定します。 |
Screen Height (画面の高さ) |
1200 |
スキャナーに埋め込まれたブラウザの画面の高さ (ピクセル単位) を指定します。 |
Ignore Images (画像を無視する) |
無効 |
埋め込まれたブラウザがターゲットのウェブページ上の画像をクロールするか無視するかを指定します。 |
Selenium の設定
この設定では、記録されている Selenium 認証情報を使用してウェブアプリケーションに対する認証を試行するときのスキャナーの動作を指定します。
これらのオプションは、Selenium 認証情報を使用してウェブアプリケーションに認証されるようにスキャンを設定している場合に設定します。詳細は、認証情報を参照してください。
スキャンおよびユーザー定義スキャンテンプレートの [Selenium Settings] (Selenium の設定) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
設定 | Default (デフォルト) | 説明 |
---|---|---|
Page Rendering Delay (ページレンダリング遅延) | 30000 | スキャナーがページの表示を待機する時間 (ミリ秒単位) を指定します。 |
Command Execution Delay (コマンド実行遅延) | 500 |
スキャナーがコマンドを処理してから次のコマンドを実行する前に待機する時間 (ミリ秒単位) を指定します。 |
Script Completion Delay (スクリプト完了遅延) | 5000 | スキャナーがすべてのコマンドが新しいコンテンツを表示して処理を終了するのを待機する時間 (ミリ秒単位) を指定します。 |
設定 | Default (デフォルト) | 説明 |
---|---|---|
Max Number of Concurrent HTTP Connections (同時 HTTP 接続の最大数) | 10 | 単一ホストに許可される確立された HTTP セッションの最大数を指定します。 |
Max Number of HTTP Requests Per Second (1 秒当たりの最大 HTTP リクエスト数) | 25 | スキャンの期間中に単一ホストに許可される HTTP リクエストの最大数を指定します。 |
Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる) | 無効 | ネットワークの混雑が発生した場合にスキャナーでスキャンを調整するかどうかを指定します。 |
Network Timeout (In Seconds) (ネットワークタイムアウト (秒)) | 5 |
スキャナーがスキャンを中止する前にホストからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
Browser Timeout (In Seconds) (ブラウザタイムアウト (秒)) | 30 |
スキャナーがスキャンを中止する前にブラウザからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
Timeout Threshold (タイムアウトしきい値) | 100 | スキャナーがスキャンを中止するまでに許可される連続タイムアウト数を指定します。 |