アセスメントスキャン設定
注意: スキャンがポリシーに基づいている場合、スキャンの [Assessment] (評価) 設定は設定できません。これらの設定は、関連するポリシーでのみ変更できます。
[評価] 設定では、スキャンが脆弱性を識別する方法と識別される脆弱性を設定できます。これには、マルウェアの識別、総当たり攻撃に対するシステムの脆弱性の評価、ウェブアプリケーションの感染性が含まれます。
Tenable が提供するスキャナーテンプレートの一部には、
[Custom] (カスタム) の事前設定オプションを選択した場合、または設定済みの評価設定を含まないスキャナーテンプレートを使用している場合、次のカテゴリに関する [Assessment] (評価) 設定を手動で設定できます。
注意: 次のテーブルには、[Advanced Scan] (詳細スキャン) テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。
一般
[General] (全般) セクションには、次の設定グループが含まれます。
総当たり
[Brute Force] (ブルートフォース) セクションには、次の設定のグループが含まれます。
SCADA
設定 | デフォルト値 | 説明 |
---|---|---|
Modbus/TCP コイルアクセス |
Modbus は、1 の機能コードを使用して Modbus サーバーのコイルを読み取ります。コイルはバイナリ出力設定を表し、通常はアクチュエータにマッピングされます。コイルを読み取る機能により、攻撃者がシステムをプロファイルし、書き込みコイルメッセージを介して変更するレジスタの範囲を特定できます。 |
|
Start at Register (レジスタで開始) |
0 |
スキャンを開始するレジスタです。 |
End at Register (レジスタで終了) | 16 | スキャンを停止するレジスタです。 |
ICCP/COTP TSAP アドレス指定の脆弱性 |
ICCP/COTP TSAP アドレス指定メニューは、可能な値を試すことにより、ICCP サーバー上の接続指向トランスポートプロトコル (COTP) トランスポートサービスアクセスポイント (TSAP) の値を決定します。 |
|
Start COTP TSAP (開始 COTP TSAP) | 8 | 試行する開始 TSAP 値を指定します。 |
Stop COTP TSAP (終了 COTP TSAP) | 8 | 試行する終了 TSAP 値を指定します。Tenable Nessus は、開始値と停止値の間のすべての値を試します。 |
ウェブアプリケーション
デフォルトでは、Tenable Nessus はウェブアプリケーションをスキャンしません。[Web Application] (ウェブアプリケーション) セクションへの初回アクセス時に表示される [Scan Web Applications] (ウェブアプリケーションのスキャン) 設定は、[Off] (オフ) に設定されています。次の表にリストされているウェブアプリケーションの設定を変更するには、[Off] (オフ) ボタンをクリックします。その他の設定が表示されます。
[Web Applications] (ウェブアプリケーション) セクションには、次の設定のグループが含まれます。
Windows
Windows セクションには、次の設定のグループが含まれます。
設定 | デフォルト値 | 説明 |
---|---|---|
全般設定 | ||
Request information about the SMB Domain (SMBドメインに関する情報をリクエストする) | 無効 |
有効にすると、センサーがローカルユーザーの代わりにドメインユーザーをクエリします。この設定を有効にすると、プラグイン 10892 および 10398 を実行できるようになり、プラグイン 72684 および 10907 がドメインユーザーをクエリできるようになります。 |
ユーザー列挙メソッド | ||
ユーザー検出に適した数のユーザー列挙メソッドを有効にできます。 |
||
SAM Registry (SAM レジストリ) | Enabled (有効) | Tenable Nessus は、Security Account Manager (SAM) レジストリを介してユーザーを列挙します。 |
ADSI Query (ADSI クエリ) | Enabled (有効) | Tenable Nessus は、Active Directory Service Interfaces (ADSI) を介してユーザーを列挙します。ADSI を使用するには、[Credentials] (認証情報) > [Miscellaneous] (その他) > [ADSI] で認証情報を設定する必要があります。 |
WMI Query (WMI クエリ) | Enabled (有効) | Tenable Nessus は、Windows Management Interface (WMI) を介してユーザーを列挙します。 |
RID Brute Forcing (RID ブルートフォース) | 無効 | Tenable Nessus は、相対識別子 (RID) ブルートフォースを介してユーザーを列挙します。この設定を有効にすると、[Enumerate Domain Users] (ドメインユーザーを列挙する) および [Enumerate Local User] (ローカルユーザーを列挙する) 設定を有効にします。 |
ドメインユーザーを列挙する |
||
Start UID (開始 UID) | 1000 | Tenable Nessus がドメインユーザーの列挙を試みる ID 範囲の開始部分です。 |
End UID (終了 UID) | 1200 | Tenable Nessus がドメインユーザーの列挙を試みる ID 範囲の終了部分です。 |
ローカルユーザーを列挙する |
||
Start UID (開始 UID) | 1000 | Tenable Nessus がローカルユーザーの列挙を試みる ID 範囲の開始部分です。 |
End UID (終了 UID) | 1200 | Tenable Nessus がローカルユーザーの列挙を試みる ID 範囲の終了部分です。 |
マルウェア
[Malware] (マルウェア) セクションには、次の設定のグループが含まれます。
設定 | デフォルト値 | 説明 |
---|---|---|
ハッシュと許可リストファイル | ||
Custom Netstat IP Threat List (カスタム Netstat IP 脅威リスト) | None (なし) |
検出する既知の不良 IP アドレスのリストを含むテキストファイルです。 ファイルの各行は、IPv4 アドレスで始める必要があります。オプションとして、IP アドレスの後にコンマを追加してその後に説明を続けると、説明を追加できます。コンマ区切りのコメントに加えて、ハッシュ区切りのコメント (# など) も使用できます。 注意: Tenable は、テキストファイル内のプライベート IP 範囲を検出しません。 |
Provide your own list of known bad MD5 hashes (既知の不正な MD5 ハッシュのリストを指定する) | None (なし) |
追加の不良 MD5 ハッシュをテキストファイル (MD5 ハッシュを 1 行につき 1 つ入力) を介してアップロードすることができます。任意でハッシュの説明を含めることもできます。その場合は、ハッシュの後にコンマを追加し、続けて説明を入力します。ターゲットのスキャン中に一致するものを Tenable Nessus が見つけた場合、スキャン結果に説明が表示されます。コンマ区切りのコメントに加えて、標準のハッシュ区切りのコメント (例: #) も使用できます。 |
Provide your own list of known good MD5 hashes (既知の正常な MD5 ハッシュのリストを指定する) | None (なし) | 追加の正常な MD5 ハッシュをテキストファイル (MD5 ハッシュを 1 行につき 1 つ入力) を介してアップロードすることができます。アップロードされたファイル内に各ハッシュの説明を追加できます (オプション)。ハッシュの後にコンマを追加すると、その後に説明を続けることができます。Tenable Nessus によりターゲットのスキャン中に一致するものが見つかり、ハッシュの説明が提供された場合、スキャン結果に説明が表示されます。コンマ区切りのコメントに加えて、標準のハッシュ区切りのコメント (例: #) も使用できます。 |
Hosts file allowlist (ホストファイル許可リスト) | None (なし) |
Tenable Nessus は、システムホストファイルに侵害の兆候がないかチェックします (例: 侵害された Windows システム (ホストファイルチェック) というタイトルのプラグイン ID 23910)。このオプションを使用すると、スキャン中に Tenable Nessusに無視させる IP とホスト名のリストを含むファイルをアップロードできます。通常のテキストファイルの行ごとに 1 つの IP と 1 つのホスト名 (ターゲット上のホストファイルと同じ形式) を含めます。 |
Yara Rules (Yara ルール) | ||
Yara Rules (Yara ルール) | None (なし) |
スキャンに適用される YARA ルールを含む .yar ファイルです。1 回のスキャンでアップロードできるファイルは 1 つのみであるため、すべてのルールを 1 つのファイルに含めてください。詳細は、yara.readthedocs.io を参照してください。 |
ファイルシステムスキャン | ||
Scan file system (ファイルシステムのスキャン) | Off (オフ) |
このオプションを有効にすると、ホストコンピューターのシステムディレクトリとファイルをスキャンできます。 警告: 10 台以上のホストを対象としたスキャンでこの設定を有効にすると、パフォーマンスが低下する可能性があります。 |
Windows ディレクトリ | ||
Scan %Systemroot% (%Systemroot% スキャン) | Off (オフ) | ファイルシステムのスキャンを有効にして、%Systemroot% をスキャンします。 |
Scan %ProgramFiles% (%ProgramFiles% スキャン) | Off (オフ) | ファイルシステムのスキャンを有効にして、%ProgramFiles% をスキャンします。 |
Scan %ProgramFiles(x86)% (%ProgramFiles(x86)% スキャン) | Off (オフ) | ファイルシステムのスキャンを有効にして、%ProgramFiles(x86)% をスキャンします。 |
Scan %ProgramData% (%ProgramData% スキャン) | Off (オフ) | ファイルシステムのスキャンを有効にして、%ProgramData% をスキャンします。 |
Scan User Profiles (ユーザープロファイルのスキャン) | Off (オフ) | ファイルシステムのスキャンを有効にして、ユーザープロファイルをスキャンします。 |
Linux ディレクトリ | ||
Scan $PATH ($PATH のスキャン) | Off (オフ) | $PATH の場所をスキャンするファイルシステムスキャンを有効にします。 |
Scan /home (/home のスキャン) | Off (オフ) | /home をスキャンするファイルシステムスキャンを有効にします。 |
MacOS ディレクトリ | ||
Scan $PATH ($PATH のスキャン) | Off (オフ) | $PATH の場所をスキャンするファイルシステムスキャンを有効にします。 |
Scan /Users (/Users のスキャン) | Off (オフ) | /Users をスキャンするファイルシステムスキャンを有効にします。 |
Scan /Applications (/Applications のスキャン) | Off (オフ) | /Applications をスキャンするファイルシステムスキャンを有効にします。 |
Scan /Library (/Library のスキャン) | Off (オフ) | /Library をスキャンするファイルシステムスキャンを有効にします。 |
カスタムディレクトリ | ||
Custom Filescan Directories (カスタムファイルスキャンディレクトリ) | None (なし) | マルウェアファイルスキャンでスキャンするディレクトリをリストしたカスタムファイルです。ファイル内には、ディレクトリを 1 つずつ改行してリストします。Tenable Nessus では、C:\ や / などのルートディレクトリや、%Systemroot% などの変数を使用できません。 |
データベース
設定 | デフォルト値 | 説明 |
---|---|---|
Oracle データベース | ||
Use detected SIDs (検出した SID を使用する) | 無効 |
有効にすると、少なくとも 1 つのホスト認証情報と 1 つの Oracle データベース認証情報が設定されている場合、スキャナーはホスト認証情報を使用してターゲットのスキャンを認証してから、ローカルでの Oracle システム ID (SID) の検出を試行します。次に、指定された Oracle データベース認証情報と検出された SID の使用の認証を試行します。 スキャナーがホスト認証情報を使用したターゲットのスキャンを認証できないか、ローカルで SID を検出しない場合、スキャナーは Oracle データベース認証情報の手動で指定された SID を使用して Oracle データベースを認証します。 |
ウェブアプリテンプレートの評価設定
次の表に、Tenable Web App Scanning で設定できる Tenable Nessus のスキャン設定を記載します。詳細は、Tenable Nessus でのウェブアプリケーションスキャンを参照してください。
設定 | デフォルト値 | 説明 |
---|---|---|
Detection Level (検出レベル) |
Most Detected Pages (最も検出されたページ) |
スキャナーにクロールさせるページを指定します。
|
Credentials Bruteforcing (認証情報ブルートフォース攻撃) |
無効 |
有効にすると、[Plugins] (プラグイン) 設定に含まれるブルートフォース攻撃を実行するすべてのプラグインが実行されます。 無効にすると、[Plugins] (プラグイン) 設定に含まれていても、ブルートフォース攻撃プラグインは実行されません。 |
Elements to Audit (監査する要素) | All elements except Parameter Names (パラメーター名を除くすべての要素) |
Tenable Nessus に脆弱性を分析させるウェブアプリケーションの要素を指定します。次の要素を任意の組み合わせで選択できます。
|
URL for Remote Inclusion (リモートファイルインクルード用の URL) |
None (なし) |
Tenable Nessus がリモートファイルインクルージョン (RFI) の脆弱性をテストするために使用できるリモートホスト上のファイルを指定します。 スキャナーがインターネットに到達できない場合、スキャナーはこの内部でホストされているファイルを使用して、より正確な RFI テストを実行します。 注意: ファイルを指定しない場合、Tenable Nessus は安全な Tenable でホストされたファイルを使用して RFI テストを実行します。 |
JSON Containing Attribute Types and Values (属性の型と値を含む JSON) | None (なし) |