詳細なデバッグ - パケットキャプチャ
スキャン結果を理解するために Tenable Nessus と連携する際は、スキャナーとスキャンされたホスト間の通信について理解する必要が生じる場合があります。その場合、Tenable サポートは、スキャナーとターゲットホスト間のネットワークトラフィックのキャプチャをリクエストします。Tenable Nessus では現在、Tenable Nessus ユーザーインターフェースを使用して、こうしたキャプチャを生成およびダウンロードできるようになっています。
- パケットキャプチャは、Tenable Security Center にリンクされている Tenable Nessus スキャナーには適用されません。
- パケットキャプチャは TCP および UDP トラフィックだけに制限されます。ICMP (ping) のようなその他のプロトコルはキャプチャされません。
- [Target to capture] (キャプチャするターゲット) フィールドの値は、スキャンのターゲットリストに含まれるホストと一致している必要があります。一致していないと、キャプチャは行われません。
- Tenable Nessusはパケットキャプチャのデータに割り当て可能なディスク容量を制限します。パケットキャプチャサブシステムで使用される可能性があるディスクの総容量は、次の 2 つのパラメーターのうち小さい方となります。Tenable Nessus がインストールされるパーティションサイズの 10% もしくは 20 GB。
- 単一のパケットキャプチャファイルの最大サイズは次の 2 つのパラメーターのうち小さい方となります。パケットキャプチャのディスクの総容量値の 10% もしくは 1 GB。
- キャプチャのセッション中にデータ総量が単一のキャプチャファイルの制限を超えた場合、当該キャプチャは終了し、一部の結果が保存されます。これらの制限は、Tenable Nessus 管理者が global.network_capture.max_disk_mb や global.network_capture.max_file_mb の詳細な環境設定を使用して調整している可能性があります。
- これらの変更を適用するには、Tenable Nessus を再起動する必要があります。
Tenable Nessus ユーザーインターフェースでパケットキャプチャをスキャンに使用できるようにする方法
-
上部のナビゲーションバーで、[Scans] (スキャン) をクリックします。
[My Scans] (マイスキャン) ページが表示されます。
-
右上の [New Scan] (新しいスキャン) ボタンをクリックします。
[Scan Templates] (スキャンテンプレート) ページが表示されます。
-
使用するスキャンテンプレートをクリックします。
[New Scan] (新しいスキャン) ページが表示されます。
-
[Advanced] (アドバンス) 設定タブをクリックします。
-
[Scan Type] (スキャンタイプ) のドロップダウンから [Custom] (カスタム) を選択します。
-
[General] (全般) をクリックします。
-
[General] (全般) 設定ウィンドウの最下部までスクロールして、 [Packet Capture] (パケットキャプチャ) を [ON] (オン) に設定します。
-
[Target to capture] (キャプチャするターゲット) フィールドで、単一ホストの IP アドレスまたはホスト名を入力します。
-
[Ports to capture] (キャプチャするポート) フィールドで、ポートまたはポートの範囲を入力します。
-
[Save] (保存) ボタンをクリックします。
-
スキャンを起動します。
パケットキャプチャを取得する方法
スキャンの完了後、パケットキャプチャを含む圧縮されたアーカイブは、ダウンロード可能となります。
パケットキャプチャをダウンロードする方法
-
上部のナビゲーションバーから [Settings] (設定) を選択します。
-
横のナビゲーションバーから [Debug Logs] (デバッグログ) を選択します。
[Debug Logs] (デバッグログ) ウィンドウではパケットキャプチャのリストが表示されます。例としては、pcap_SCANNAME_SCANID
-
スキャンに一致するアーカイブを選択します。
-
[Download] (ダウンロード) ボタンをクリックします。
スキャナーからローカルのホストにファイルがダウンロードされます。