詳細なスキャン設定

注意: スキャンがポリシーに基づいている場合、スキャンの [Advanced] (詳細) 設定はできません。これらの設定は、関連するポリシーでのみ変更できます。

[詳細] 設定により、スキャン効率とスキャン動作をより詳細に制御でき、プラグインのデバッグも有効にできます。

Tenable が提供するスキャナーテンプレートの一部には、設定済みの詳細設定が含まれます。

[カスタム] の事前設定オプションを選択した場合、または詳細設定が事前設定されていない Nessus スキャナーテンプレートを使用している場合、次のカテゴリの [詳細] 設定を手動で設定できます。

注意: 次のテーブルには、[Advanced Scan] (詳細スキャン) テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。

設定 デフォルト値 説明
全般設定
Enable Safe Checks (安全なチェックを有効化) Enabled (有効)

有効にすると、リモートホストに悪影響を及ぼす可能性のあるすべてのプラグインが無効になります。

Stop scanning hosts that become unresponsive during the scan (スキャン中に反応しなくなるホストのスキャンを停止する) Disabled (無効)

有効にすると、ホストの無応答状態が検出された場合に Tenable Nessus はスキャンを停止します。この状況は、スキャン中にユーザーがPCをオフにした場合、サービス拒否プラグイン後にホストが応答を停止した場合、またはセキュリティメカニズム (IDS など) がサーバーへのトラフィックのブロックを開始した場合に発生することがあります。通常これらのマシンでスキャンを継続すると、ネットワーク全体に不要なトラフィックが送信され、スキャンが遅延します。

Scan IP addresses in a random order (ランダムに IP アドレスをスキャンする) 無効

デフォルトでは、Tenable Nessus は IP アドレスのリストを順番にスキャンします。有効にすると、Tenable Nessus は IP アドレス範囲内のホストのリストをランダムな順番でスキャンします。通常このアプローチは、大規模なスキャン中にネットワークトラフィックを分散するのに有用です。

Automatically accept detected SSH disclaimer prompts (検出された SSH の免責メッセージを自動的に受け入れる) 無効

有効にすると、認証スキャンが免責事項要求のある FortiOS ホストに SSH 経由で接続を試みる場合に、スキャナーが免責事項要求の了承に必要なテキスト入力を行い、スキャンを継続します。

スキャンは、サポートされている認証方法を取得するために、最初に不良 ssh リクエストをターゲットに送信します。これにより、ターゲットへの接続方法を決定できます。この方法は、カスタム ssh バナーを設定してから、ホストへの接続方法を決定する際に便利です。

無効にすると、スキャナーがデバイスに接続して免責事項を了承することができないため、免責事項要求のあるホストに対する認証スキャンは失敗します。プラグインの出力にエラーが表示されます。

Scan targets with multiple domain names in parallel (複数のドメイン名からなるターゲットを並列にスキャンする) 無効

無効になっている場合、Tenable Nessus の 1 つのスキャナーが同時にスキャンしないよう抑止し、こうしてホストの過負荷を防ぎます。代わりに Tenable Nessus スキャナーは、IP アドレスのスキャンの試行を、それがそのスキャナー上の同じスキャンタスクや複数のスキャンタスクに一度以上現れた場合でも順番に実行します。スキャン完了までの時間が長くなる可能性があります。

有効になっている場合、Tenable Nessus スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、ホストに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。

Trusted CAs (信頼できる CA) なし

Tenable Nessus がスキャンを許可する認証局 (CA) を指定します。[Trusted CAs] (信頼できる CA) ボックスに、1 つまたは複数の CA のテキストを入力します。

注意: 開始テキスト -----BEGIN CERTIFICATE----- と終了テキスト -----END CERTIFICATE----- を含めます。

ヒント: 1 つのテキストファイルに証明書を 1 つ以上保存することができます。それぞれについて、開始テキストと終了テキストを含めます。

スキャナーレベルで信頼できる CA を指定することもできます。詳細は、カスタム CA を信頼するを参照してください。

パフォーマンス

Slow down the scan when network congestion is detected (ネットワーク輻輳の検出時にスキャンを減速させる)

無効

有効にすると、Tenable は、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出できます。ネットワーク輻輳を検出すると、スキャンを調整して輻輳に対応し、緩和します。輻輳が緩和されると、Tenable は自動的にネットワークパイプ内の使用可能なスペースを再び使用しようとします。

Network timeout (in seconds) (ネットワークタイムアウト (秒))

5

プラグイン内で特に指定されていない場合に、Tenable がホストからの応答を待機する時間を指定します。低速接続でスキャンしている場合、この値を高い秒数に設定しても構いません。

Max simultaneous checks per host (ホストごとの同時チェックの最大数)

5

Tenable スキャナーが 1 つのホストに対して同時に実行するチェックの最大数を指定します。

Max simultaneous hosts per scan (スキャンごとの同時ホストの最大数)

30 か、または Tenable Nessus スキャナーの詳細設定 max_hosts のうち小さい方の値。

スキャナーが同時にスキャンするホストの最大数を指定します。

[Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) に、スキャナーの max_hosts の設定値より大きい値を設定すると、Nessus は [Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を max_hosts の値に制限します。たとえば、[Max simultaneous hosts per scan] (スキャンごとの同時ホストの最大数) の値を 150 に設定した場合、スキャナーの max_hosts が 100 に設定されているとしたら、この値は 100 ターゲットを超えています。したがって、Nessus が同時にスキャンするホストの最大数は 100 となります。

Max number of concurrent TCP sessions per host (ホストあたりに同時に実行できるの最大 TCP セッション数)

なし

単一ホストに対して確立された TCP セッションの最大数を指定します。

この TCP スロットリングオプションは、SYN スキャナーが送信する 1 秒あたりのパケット数も制御し、その数は TCP セッションの 10 倍になります。たとえば、このオプションが 15 に設定されている場合、SYN スキャナーは最大で毎秒 150 パケットを送信します。

Max number of concurrent TCP sessions per scan (スキャンごとの同時 TCP セッションの最大数)

なし

スキャンされるホストの数に関係なく、スキャン全体で確立される TCP セッションの最大数を指定します。

注意: [MAX NUMBER OF CONCURRENT TCP SESSIONS PER SCAN] (スキャンあたりの同時 TCP セッションの最大数) 設定は、ディスカバリースキャンでは強制できません。global.max_simult_tcp_sessions Nessus Engine 設定 (各スキャナーで設定) は、1 つのスキャナーで実行されるすべてのスキャンの合計に適用される絶対上限です(たとえば、4 つのスキャナーがあり、それらが同時に生成する TCP セッションの数が合計で 10000 を超えないようにするには、個々のスキャナーのグローバル設定を 2500 に設定します)。

Unix find コマンドのオプション

コマンドタイムアウト

240

Unix システムで find コマンドを実行できる最大秒数です。すべての Find コマンドでこのタイムアウトが使用されるわけではありません。

注意: プラグインのすべての Find コマンドの実行を完了し、プラグインのタイムアウトを回避するには、スキャナーの [Advanced Settings] (詳細設定) にある timeout_<plugin ID> でそのプラグインのタイムアウトを調整する必要があります。

除外するファイルパス なし

Unix システムで find コマンドを使用して検索する、すべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

Exclude Filesystem (ファイルシステムを除外) なし

Unix システムで find コマンドを使用して検索するすべてのプラグインから除外するファイルシステムのリストを含むプレーンテキストファイル。

ファイルでは、Unix の find コマンド -fstype 引数でサポートされるファイルシステムの種類を使用して、1 行ごとに 1 つのファイルシステムを入力します。詳細については、find コマンドの man page を参照してください。

Include Filepath (ファイルパスを含める) なし

Unix システムで find コマンドを使用して検索する、すべてのプラグインから含めるファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

ファイルパスを含めると、プラグインで検索される場所が増えるため、スキャンの継続時間が延びます。対象ができるだけ固有となるように指定してください。

ヒント: [Include Filepath] (ファイルパスを含める) と [Exclude Filepath] (ファイルパスを除外する) に同じファイルパスを含めないようにしてください。この競合によって、結果はオペレーティングシステムによって異なる場合がありますが、ファイルパスが検索から除外される可能性があります。

エージェントのパフォーマンスオプション
Tenable が提供したバイナリを「find」および「unzip」に使用します 無効

有効にすると、find および unzip のオペレーティングシステムのネイティブコマンドを実行する代わりに、プラグインはエージェントベースのスキャン用のプラグインフィード内に含まれるバイナリを使用します。これにより、Tenable Nessus Agent find コマンドの CPU 消費を制御できます。この設定を有効にするもう 1 つの利点は、find または unzip がオペレーティングシステムでネイティブに見つからない場合に、フィードからコマンドを使用すると、これらのコマンドでプラグインの完全な実行を続行できることです。

この設定は、エージェントでローカルに設定できる [Scan Performance] (スキャンパフォーマンス) 設定と連携して機能します。この設定を有効にして、[Scan Performance] (スキャンパフォーマンス) 設定をデフォルト ([高]) 以外の設定に調整した場合、スキャン結果は、同じ設定の以前のスキャンとは異なる場合があります。これは、CPU リソースが減少しているため、スキャンでファイルを見つける際にタイムアウトが発生する可能性があるためです。

注意: 詳細で完全な結果が必要なため、監査では Tenable フィードからの findunzip バイナリを利用しません。

注意: この設定を有効にすると、プラグインが結果のバッチ処理をリクエストした際に、CPU 使用率が急激に上昇するか、100% に近くなる可能性があります。その後、次のバッチ処理がリクエストされるまで、CPU は低いレベルに低下します。

Windows ファイル検索オプション
Windows Exclude Filepath (Windows で除外するファイルパス) なし

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインから除外するファイルパスのリストが含まれた、プレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\E:\Testdir\\Testdir\ など、絶対または相対ディレクトリ名を含めることができます。

ヒント: この設定を行わない場合、デフォルトの除外パスには \Windows\WinSxS\\Windows\servicing\ が含まれます。この設定を行う場合、Tenable はこれらの 2 つのパスをファイルに追加することを推奨します。これらのディレクトリは非常に遅く、管理されていないソフトウェアは含まれていません。

Windows で含めるファイルパス なし

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインに含めるファイルパスのリストが含まれた、プレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\E:\Testdir\C:\ など、絶対または相対ディレクトリ名だけを含めることができます。

注意: Windows のインクルードファイルパス は、デフォルトのインクルードディレクトリ (Windows の C: ドライブなど) よりも優先されます。そのため、他のディレクトリに加えてデフォルトのディレクトリを含める場合には、追加のファイルパス行にデフォルトのディレクトリをリストする必要があります。

警告: Windows Include Filepath (Windows で含めるファイルパス) と Windows Exclude Filepath (Windows で除外するファイルパス) の設定に同じファイルパスを含めないようにしてください。この競合により、ファイルパスは検索から除外されます。

デバッグ設定
Log scan details (スキャンの詳細を記録する) 無効 nessusd.messages へのスキャン中に使用される各プラグインの開始時間と終了時間を記録します。

Enable plugin debugging (プラグインのデバッグを有効化)

無効

プラグインから利用可能なデバッグログを、このスキャンの脆弱性出力に添付します。

Audit Trail Verbosity (監査証跡の詳細) Default (デフォルト)

プラグイン監査証跡の詳細度を制御します。All audit trail data は、スキャンにプラグインが含まれなかった理由を含みます。

Default では、詳細設定 で設定された監査証跡の詳細のグローバル設定を使用します。Tenable Nessus スキャンでは、スキャンは高度な設定の監査証跡の詳細 (audit_trail) を使用します。エージェントスキャンでは、スキャンは詳細な設定の監査証跡データを含める (agent_merge_audit_trail) を使用します。

Include the KB (KB を含む) デフォルト

追加のデバッグデータを含むスキャン KB を、スキャン結果に含めるかどうかを制御します。

Tenable Nessus スキャンでは、デフォルトで KB が含まれます。エージェントスキャンでは、Default (デフォルト) で 詳細設定 で設定されたグローバル設定の Include KB Data (KB データを含む) (agent_merge_kb)を使用します。

Enumerate launched plugins (起動されたプラグインを列挙) 無効

スキャン中に Tenable Nessus が起動したプラグインのリストを表示します。プラグイン 112154 のスキャン結果でリストを表示できます。

注意: プラグイン 112154 を無効にすると、この設定が正しく機能しません。

スキャン開始のシフト
Maximum delay (minutes) (最大遅延 (分)) 0

(Agents 8.2 以降) 設定されている場合、エージェントグループ内の各エージェントは、指定された時間の値 (分) を最大値とするランダムな時間、スキャンの開始を遅らせます。同時に開始しないようにすることで、仮想マシン CPU などの共有リソースを使用するエージェントの影響を低減できます。

設定した最大遅延時間がスキャンウィンドウを超過する場合、Tenableは、スキャンウィンドウがクローズする最低 30 分前にエージェントがスキャンを開始するよう、最大遅延時間を短縮します。

コンプライアンス出力設定
Maximum Compliance Output Length in KB (コンプライアンスの最大出力長 (KB)) 128,000 KB

ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Nessus は結果を切り捨てます。

注意: コンプライアンススキャン処理が遅い場合、この設定の値を小さくして処理速度を向上させることを推奨します。
コンプライアンスチェックの最大タイムアウト (秒) 300 秒

コンプライアンスチェックの最大タイムアウト期間を制御します。

この設定は、実行時間が長いチェック、特に Windows と Unix の監査の削除対象に対してコマンドを実行するチェックにおいて使用されます。このタイムアウト設定が利用可能な場合、他のすべてのタイムアウト設定よりも優先されます。

脆弱性オプション
パッチ未適用の脆弱性をスキャン (利用可能なパッチまたは軽減策なし) 無効

スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより修正されないものとしてマークされた CVE が含まれます。

この設定を有効にすると、全体的な検出結果数が増える可能性があります。各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成されます。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。

注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Nessus は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。