詳細なスキャン設定
注意: スキャンがポリシーに基づいている場合、スキャンの [Advanced] (詳細) 設定はできません。これらの設定は、関連するポリシーでのみ変更できます。
The Advanced settings provide increased control over scan efficiency and the operations of a scan, as well as the ability to enable plugin debugging.
Certain Tenable-provided scanner templates include
If you select the Custom preconfigured setting option, or if you are using a Nessus Scanner template that does not include preconfigured advanced settings, you can manually configure Advanced settings in the following categories:
- 全般設定
- パフォーマンス
- Unix Find コマンドの除外
- エージェントのパフォーマンス (エージェントスキャンのみ)
- Windows ファイル検索オプション
- デバッグ設定
- スキャン開始のシフト
- コンプライアンスの出力オプション
- 脆弱性オプション
- ウェブアプリテンプレートの詳細設定
Note: The following tables include settings for the Advanced Scan template. Depending on the template you select, certain settings may not be available, and default values may vary.
| 設定 | デフォルト値 | 説明 |
|---|---|---|
| 全般設定 | ||
| Enable Safe Checks (安全なチェックを有効化) | Enabled (有効) |
When enabled, disables all plugins that may have an adverse effect on the remote host. |
| Stop scanning hosts that become unresponsive during the scan (スキャン中に反応しなくなるホストのスキャンを停止する) | 無効 |
When enabled, Tenable Nessus stops scanning if it detects that the host has become unresponsive. This may occur if users turn off their PCs during a scan, a host has stopped responding after a denial of service plugin, or a security mechanism (for example, an IDS) has started to block traffic to a server. Normally, continuing scans on these machines sends unnecessary traffic across the network and delay the scan. |
| Scan IP addresses in a random order (ランダムに IP アドレスをスキャンする) | 無効 |
By default, Tenable Nessus scans a list of IP addresses in sequential order. When this option is enabled, Tenable Nessus scans the list of hosts in a random order within an IP address range. This approach is typically useful in helping to distribute the network traffic during large scans. |
| Automatically accept detected SSH disclaimer prompts (検出された SSH の免責メッセージを自動的に受け入れる) | 無効 |
When enabled, if a credentialed scan tries to connect via SSH to a host that presents a disclaimer prompt, the scanner provides the necessary text input to accept the disclaimer prompt and continue the scan. When disabled, credentialed scans on hosts that present a disclaimer prompt fail because the scanner cannot connect to the device and accept the disclaimer. The error appears in the plugin output. |
| Scan targets with multiple domain names in parallel (複数のドメイン名からなるターゲットを並列にスキャンする) | 無効 |
When disabled, to avoid overwhelming a host, When enabled, a Tenable Nessus scanner can simultaneously scan multiple targets that resolve to a single IP address within a single scan task or across multiple scan tasks. Scans complete more quickly, but hosts could potentially become overwhelmed, causing timeouts and incomplete results. |
| Trusted CAs (信頼できる CA) | なし |
Tenable Nessus がスキャンを許可する認証局 (CA) を指定します。[Trusted CAs] (信頼できる CA) ボックスに、1 つまたは複数の CA のテキストを入力します。 注意: 開始テキスト -----BEGIN CERTIFICATE----- と終了テキスト -----END CERTIFICATE----- を含めます。 ヒント: 1 つのテキストファイルに証明書を 1 つ以上保存することができます。それぞれについて、開始テキストと終了テキストを含めます。 スキャナーレベルで信頼できる CA を指定することもできます。詳細は、カスタム CA を信頼するを参照してください。 |
| パフォーマンス | ||
|
Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる) |
無効 |
When enabled, Tenable detects when it is sending too many packets and the network pipe is approaching capacity. If network congestion is detected, throttles the scan to accommodate and alleviate the congestion. Once the congestion has subsided, Tenable automatically attempts to use the available space within the network pipe again. |
| 5 |
Specifies the time that Tenable waits for a response from a host unless otherwise specified within a plugin. If you are scanning over a slow connection, you may want to set this to a higher number of seconds. |
|
|
Max simultaneous checks per host (ホストごとの同時チェックの最大数) |
5 |
Specifies the maximum number of checks a Tenable scanner will perform against a single host at one time. |
|
Max simultaneous hosts per scan (スキャンごとの同時ホストの最大数) |
30 か、または Tenable Nessus スキャナーの詳細設定 max_hosts のうち小さい方の値。 |
Specifies the maximum number of hosts that a scanner scans at the same time. If you set Max simultaneous hosts per scan to more than scanner’s max_hosts setting, Nessus caps Max simultaneous hosts per scan at the max_hosts value. For example, if you set the Max simultaneous hosts per scan to 150 and scanner's max_hosts is set to 100, with more than 100 targets, Nessus scans 100 hosts simultaneously. |
|
Max number of concurrent TCP sessions per host (ホストあたりに同時に実行できるの最大 TCP セッション数) |
なし |
Specifies the maximum number of established TCP sessions for a single host. |
|
Max number of concurrent TCP sessions per scan (スキャンごとの同時 TCP セッションの最大数) |
なし |
Specifies the maximum number of established TCP sessions the entire scan, regardless of the number of hosts being scanned.
Note: The MAX NUMBER OF CONCURRENT TCP SESSIONS PER SCAN setting is not enforceable in a Discovery scan. The global.max_simult_tcp_sessions Nessus Engine setting (that you set on each scanner) is an absolute cap that applies across all running scans on a scanner. (For example, if you have four scanners and do not want them to generate more than 10000 simultaneous TCP sessions in total at any point in time, you can set that global setting to 2500 for each individual scanner.) |
| Unix find コマンドのオプション | ||
|
コマンドタイムアウト |
240 |
Unix システムで find コマンドを実行できる最大秒数です。すべての Find コマンドでこのタイムアウトが使用されるわけではありません。 注意: プラグインのすべての Find コマンドの実行を完了し、プラグインのタイムアウトを回避するには、スキャナーの [Advanced Settings] (詳細設定) にある timeout_<plugin ID> でそのプラグインのタイムアウトを調整する必要があります。 |
| 除外するファイルパス | なし |
A plain text file containing a list of filepaths to exclude from all plugins that search using the find command on Unix systems. In the file, enter one filepath per line, formatted per patterns allowed by the Unix find command -path argument. For more information, see the find command man page. |
| Exclude Filesystem (ファイルシステムを除外) | なし |
A plain text file containing a list of filesystems to exclude from all plugins that search using the find command on Unix systems. In the file, enter one filesystem per line, using filesystem types supported by the Unix find command -fstype argument. For more information, see the find command man page. |
| Include Filepath (ファイルパスを含める) | なし |
A plain text file containing a list of filepaths to include from all plugins that search using the find command on Unix systems. In the file, enter one filepath per line, formatted per patterns allowed by the Unix find command -path argument. For more information, see the find command man page. Including filepaths increases the locations that are searched by plugins, which extends the duration of the scan. Make your inclusions as specific as possible. Tip: Avoid having the same filepaths in Include Filepath and Exclude Filepath. This conflict may result in the filepath being excluded from the search, though results may vary by operating system. |
| エージェントのパフォーマンスオプション | ||
| Tenable が提供したバイナリを「find」および「unzip」に使用します | 無効 |
有効にすると、find および unzip のオペレーティングシステムのネイティブコマンドを実行する代わりに、プラグインはエージェントベースのスキャン用のプラグインフィード内に含まれるバイナリを使用します。これにより、Tenable Agent find コマンドの CPU 消費を制御できます。この設定を有効にするもう 1 つの利点は、find または unzip がオペレーティングシステムでネイティブに見つからない場合に、フィードからコマンドを使用すると、これらのコマンドでプラグインの完全な実行を続行できることです。 この設定は、エージェントでローカルに設定できる [Scan Performance] (スキャンパフォーマンス) 設定と連携して機能します。この設定を有効にして、[Scan Performance] (スキャンパフォーマンス) 設定をデフォルト ([高]) 以外の設定に調整した場合、スキャン結果は、同じ設定の以前のスキャンとは異なる場合があります。これは、CPU リソースが減少しているため、スキャンでファイルを見つける際にタイムアウトが発生する可能性があるためです。 注意: 詳細で完全な結果が必要なため、監査では Tenable フィードからの find や unzip バイナリを利用しません。
注意: この設定を有効にすると、プラグインが結果のバッチ処理をリクエストした際に、CPU 使用率が急激に上昇するか、100% に近くなる可能性があります。その後、次のバッチ処理がリクエストされるまで、CPU は低いレベルに低下します。 |
| Windows ファイル検索オプション | ||
| Windows Exclude Filepath (Windows で除外するファイルパス) | なし |
Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインから除外するファイルパスのリストが含まれた、プレーンテキストファイルです。 ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、\Testdir\ など、絶対または相対ディレクトリ名を含めることができます。 ヒント: この設定を行わない場合、デフォルトの除外パスには \Windows\WinSxS\ と \Windows\servicing\ が含まれます。この設定を行う場合、Tenable はこれらの 2 つのパスをファイルに追加することを推奨します。これらのディレクトリは非常に遅く、管理されていないソフトウェアは含まれていません。 |
| Windows で含めるファイルパス | なし |
Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインに含めるファイルパスのリストが含まれた、プレーンテキストファイルです。 ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、C:\ など、絶対または相対ディレクトリ名だけを含めることができます。 注意: Windows のインクルードファイルパス は、デフォルトのインクルードディレクトリ (Windows の ドライブなど) よりも優先されます。そのため、他のディレクトリに加えてデフォルトのディレクトリを含める場合には、追加のファイルパス行にデフォルトのディレクトリをリストする必要があります。 警告: Windows Include Filepath (Windows で含めるファイルパス) と Windows Exclude Filepath (Windows で除外するファイルパス) の設定に同じファイルパスを含めないようにしてください。この競合により、ファイルパスは検索から除外されます。 |
| デバッグ設定 | ||
| Log scan details (スキャンの詳細を記録する) | 無効 | nessusd.messages へのスキャン中に使用される各プラグインの開始時間と終了時間を記録します。 |
|
Enable plugin debugging (プラグインのデバッグを有効化) |
無効 |
Attaches available debug logs from plugins to the vulnerability output of this scan. |
| Audit Trail Verbosity (監査証跡の詳細) | |
Controls verbosity of the plugin audit trail. All audit trail data includes the reason why plugins were not included in the scan.
|
| Include the KB (KB を含む) | デフォルト |
追加のデバッグデータを含むスキャン KB を、スキャン結果に含めるかどうかを制御します。 Tenable Nessus スキャンでは、デフォルトで KB が含まれます。エージェントスキャンでは、Default (デフォルト) で 詳細設定 で設定されたグローバル設定の Include KB Data (KB データを含む) (agent_merge_kb)を使用します。 |
| Enumerate launched plugins (起動されたプラグインを列挙) | 無効 |
スキャン中に Tenable Nessus が起動したプラグインのリストを表示します。プラグイン 112154 のスキャン結果でリストを表示できます。 注意: プラグイン 112154 を無効にすると、この設定が正しく機能しません。 |
| スキャン開始のシフト | ||
| Maximum delay (minutes) (最大遅延 (分)) | 0 |
(Agents 8.2 and later) If set, each agent in the agent group delays starting the scan for a random number of minutes, up to the specified maximum. Staggered starts can reduce the impact of agents that use a shared resource, such as virtual machine CPU. If the maximum delay you set exceeds your scan window, Tenable shortens your maximum delay to ensure that agents begin scanning at least 30 minutes before the scan window closes. |
| コンプライアンス出力設定 | ||
| Maximum Compliance Output Length in KB (コンプライアンスの最大出力長 (KB)) | 128,000 KB |
ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Nessus は結果を切り捨てます。 注意: コンプライアンススキャン処理が遅い場合、この設定の値を小さくして処理速度を向上させることを推奨します。
|
| コンプライアンスチェックの最大タイムアウト (秒) | 300 秒 |
コンプライアンスチェックの最大タイムアウト期間を制御します。 この設定は、実行時間が長いチェック、特に Windows と Unix の監査の削除対象に対してコマンドを実行するチェックにおいて使用されます。このタイムアウト設定が利用可能な場合、他のすべてのタイムアウト設定よりも優先されます。 |
| 脆弱性オプション | ||
| パッチ未適用の脆弱性をスキャン (利用可能なパッチまたは軽減策なし) | 無効 |
スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより修正されないものとしてマークされた CVE が含まれます。 この設定を有効にすると、全体的な検出結果数が増える可能性があります。各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成されます。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。
注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Nessus は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。 |
| カスタム Red Hat リポジトリマッピング | 無効の場合は、.json ファイルをアップロードする必要があります。 | 内部のカスタムリポジトリやミラーリングされたリポジトリを、対応する公式の Red Hat リポジトリにマップするための .json ファイルをアップロードしてください。この動作方法の詳細については、How Red Hat Local Vulnerability Checks Use Repositories To Determine Scope (Red Hat のローカル脆弱性チェックがリポジトリを使用して範囲を決定する方法) を参照してください。 |
ウェブアプリテンプレートの詳細設定
以降のセクションで、Tenable Nessus ウェブアプリスキャンテンプレートで構成できる詳細設定について説明します。詳細は、Tenable Nessus でのウェブアプリケーションスキャンを参照してください。
[Advanced Settings] (詳細設定) オプションを使用して、スキャンの効率とパフォーマンスを制御することができます。
一般事項
スキャンおよびユーザー定義スキャンテンプレートの [General] (一般事項) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
| 設定 | デフォルト | 説明 |
|---|---|---|
| Target Scan Max Time (HH:MM:SS) (対象資産スキャン最大時間 (HH:MM:SS)) | 08:00:00 |
スキャナーがスキャンジョブが停止するまでの実行最長時間を指定します。時間、分、秒で表示されます。
注意: 設定できる最大期間は 99:59:59 (時間:分:秒) です。 |
| Maximum Queue Time (HH:MM:SS) (最大キュー時間 (HH:MM:SS)) | 08:00:00 |
スキャンが Queued 状態を続ける最大期間を指定します。時間、分、秒で表示されます。
注意: 設定できる最大期間は 48:00:00 (時間:分:秒) です。 |
|
Enable Debug logging for this scan (このスキャンのデバッグログを有効にする) |
無効 | プラグインから利用可能なデバッグログを、スキャナーがこのスキャンの脆弱性出力に添付するかどうかを指定します。 |
|
Debug Flags (デバッグフラグ) |
無効 | ([Enable Debug logging for this scan] (このスキャンのデバッグログを有効にします) を有効にしたときのみ表示)デバッグ用に、サポートから提供されるキーと値のペアを指定できます。 |
HTTP 設定
これらの設定では、スキャナーで識別するユーザーエージェント、およびスキャナーでウェブアプリケーションに対するリクエストに含める必要がある HTTP レスポンスヘッダーを指定します。
| 設定 | デフォルト | 説明 |
|---|---|---|
| Use a different User Agent to identify scanner (異なるユーザーエージェントを使用してスキャナを特定する) | 無効 |
スキャナーで HTTP リクエストを送信するときに Chrome 以外のユーザーエージェントヘッダーを使用するかどうかを指定します。 |
| User Agent (ユーザーエージェント) | Chrome's user-agent (Chrome のユーザーエージェント) |
スキャナーが HTTP リクエストを送信するときに使用するユーザーエージェントヘッダーの名前を指定します。 このオプションは、[Use a different User Agent to identify scanner] (別のユーザーエージェントを使用してスキャナーを識別する) チェックボックスを選択した後にのみ設定できます。 デフォルトでは、Tenable Nessus での Tenable Web App Scanning は、使用中のマシンのオペレーティングシステムとプラットフォームに対応するオペレーティングシステムとプラットフォーム用に Chrome が使用するユーザーエージェントを使用します。Chrome のユーザーエージェントの詳細については、Google Chrome のドキュメントを参照してください。 注意: スキャナーからのすべてのリクエストが、ユーザーエージェントによって送信されるわけではありません。
|
| Add Scan ID HTTP Header (スキャン ID HTTP ヘッダーを追加する) | 無効 |
スキャナーがターゲットに送信するすべての HTTP リクエストにもう 1 つ X-Tenable-Was-Scan-Id ヘッダー (スキャン ID で設定されている) を追加するかどうかを指定します。これにより、ウェブサーバーのログでスキャンジョブを特定し、スキャン設定を変更してサイトを保護することができます。 |
| Custom Headers (カスタムヘッダー) | なし |
リクエストおよびレスポンスの形式の各 HTTP リクエストに挿入するカスタムヘッダーを指定します。
注意: ユーザーエージェントのカスタムヘッダーを入力した場合、その値は [User Agent] (ユーザーエージェント) 設定ボックスに入力された値よりも優先されます。 |
ボタンをクリックし、各追加のヘッダーの値を入力することで、カスタムヘッダーを追加することができます。制限
スキャンおよびユーザー定義スキャンテンプレートの [Limits] (制限) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
| 設定 | デフォルト | 説明 |
|---|---|---|
| Number of URLS to Crawl and Browse (クロールおよびブラウズする URL の数) | 10000 | スキャナーでクロールを試行する URL の最大数を指定します。 |
| Path Directory Depth (パスディレクトリの深さ) | 10 |
スキャナーでクロールするサブディレクトリの最大数を指定します。 たとえば、ターゲットが www.example.com で、スキャナーで www.example.com/users/myname をクロールしたい場合、テキストボックスに「2」と入力します。 |
| Path Directory Depth (ページ DOM 要素の深さ) | 5 | スキャナーでクロールする HTML にネストされた要素のレベルの最大数を指定します。 |
| Max Response Size (最大レスポンスサイズ) | 500000 | スキャナーで分析するページの最大読み込みサイズ (バイト単位) を指定します。 スキャナーで URL をクロールし、応答が制限を超えた場合、スキャナーはページの脆弱性を分析しません。 |
| Request Direct Limit (ダイレクト制限のリクエスト) | 1 | スキャナーでページのクロールの試行を停止するまでに、スキャナーが従うリダイレクトの数を指定します。 |
画面設定
スキャンおよびユーザー定義スキャンテンプレートの [Screen Settings] (画面設定) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
| 設定 | デフォルト | 説明 |
|---|---|---|
|
Screen Width (画面の幅) |
1600 |
スキャナーに埋め込まれたブラウザの画面の幅 (ピクセル単位) を指定します。 |
|
Screen Height (画面の高さ) |
1200 |
スキャナーに埋め込まれたブラウザの画面の高さ (ピクセル単位) を指定します。 |
|
Ignore Images (画像を無視する) |
無効 |
埋め込まれたブラウザがターゲットのウェブページ上の画像をクロールするか無視するかを指定します。 |
Selenium の設定
この設定では、記録されている Selenium 認証情報を使用してウェブアプリケーションに対する認証を試行するときのスキャナーの動作を指定します。
これらのオプションは、Selenium 認証情報を使用してウェブアプリケーションに認証されるようにスキャンを設定している場合に設定します。詳細は、認証情報を参照してください。
スキャンおよびユーザー定義スキャンテンプレートの [Selenium Settings] (Selenium の設定) オプションは、[Web App Overview] (ウェブアプリケーションの概要) および [Scans] (スキャン) テンプレートのみを基にして設定できます。
| 設定 | デフォルト | 説明 |
|---|---|---|
| Page Rendering Delay (ページレンダリング遅延) | 30000 | スキャナーがページの表示を待機する時間 (ミリ秒単位) を指定します。 |
| Command Execution Delay (コマンド実行遅延) | 500 |
スキャナーがコマンドを処理してから次のコマンドを実行する前に待機する時間 (ミリ秒単位) を指定します。 |
| Script Completion Delay (スクリプト完了遅延) | 5000 | スキャナーがすべてのコマンドが新しいコンテンツを表示して処理を終了するのを待機する時間 (ミリ秒単位) を指定します。 |
| 設定 | デフォルト | 説明 |
|---|---|---|
| Max Number of Concurrent HTTP Connections (同時 HTTP 接続の最大数) | 10 | 単一ホストに許可される確立された HTTP セッションの最大数を指定します。 |
| Max Number of HTTP Requests Per Second (1 秒当たりの最大 HTTP リクエスト数) | 25 | スキャンの期間中に単一ホストに許可される HTTP リクエストの最大数を指定します。 |
| ネットワーク輻輳の検出時にスキャンを減速させる | 無効 | ネットワークの混雑が発生した場合にスキャナーでスキャンを調整するかどうかを指定します。 |
| Network Timeout (In Seconds) (ネットワークタイムアウト (秒)) | 5 |
スキャナーがスキャンを中止する前にホストからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
| Browser Timeout (In Seconds) (ブラウザタイムアウト (秒)) | 30 |
スキャナーがスキャンを中止する前にブラウザからの応答を待機する時間 (秒単位) を指定します。プラグイン内で特に指定されていない場合に有効になります。 インターネット接続の速度が遅い場合、Tenable は長い待機時間を指定することを推奨します。 |
| Timeout Threshold (タイムアウトしきい値) | 100 | スキャナーがスキャンを中止するまでに許可される連続タイムアウト数を指定します。 |