Tenable Vulnerability Management スキャンの詳細設定
注意: スキャンがユーザー定義テンプレートに基づいている場合、スキャンの [詳細] 設定は設定できません。これらの設定は、関連するユーザー定義テンプレートでのみ変更できます。
[Advanced] (詳細) 設定により、スキャン効率とスキャン動作の管理能力が向上し、プラグインのデバッグも有効にできます。
Tenable が提供するスキャナーテンプレートの一部には、
[カスタム] の事前設定オプションを選択した場合、または詳細設定が事前設定されていない Nessus スキャナーテンプレートを使用している場合、次のカテゴリの [詳細] 設定を手動で設定できます。
- 全般設定
- パフォーマンスオプション
- Unix find コマンドのオプション
- エージェントのパフォーマンス (エージェントスキャンのみ)
- Windows ファイル検索オプション
- デバッグ設定
- スキャン開始のシフト (エージェントスキャンのみ)
- コンプライアンス出力設定
注意: 次の表には、[高度な
| 設定 | デフォルト値 | 説明 |
|---|---|---|
| 全般設定 | ||
| Enable Safe Checks (安全なチェックを有効化) | Enabled (有効) |
有効にすると、リモートホストに悪影響を及ぼす可能性のあるすべてのプラグインが無効になります。 |
| パッチ未適用の脆弱性をスキャン (利用可能なパッチまたは軽減策なし) | 無効 |
スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより「修正されない」ものとしてマークされた CVE が含まれます。 この設定を有効にすると、全体的な検出結果数が増える可能性があります。各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成されます。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。
注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Vulnerability Management は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。 |
| Stop scanning hosts that become unresponsive during the scan (スキャン中に反応しなくなるホストのスキャンを停止する) | Disabled (無効) |
有効にすると、ホストの無応答状態が検出された場合に Tenable Vulnerability Management はスキャンを停止します。この状況は、スキャン中にユーザーがPCをオフにした場合、サービス拒否プラグイン後にホストが応答を停止した場合、またはセキュリティメカニズム (IDS など) がサーバーへのトラフィックのブロックを開始した場合に発生することがあります。通常これらのマシンでスキャンを継続すると、ネットワーク全体に不要なトラフィックが送信され、スキャンが遅延します。 |
| Scan IP addresses in a random order (ランダムに IP アドレスをスキャンする) | 無効 |
デフォルトでは、Tenable Vulnerability Management は IP アドレスのリストを順番にスキャンします。有効にすると、Tenable Vulnerability Management は IP アドレス範囲内のホストのリストをランダムな順番でスキャンします。通常このアプローチは、大規模なスキャン中にネットワークトラフィックを分散するのに有用です。 |
| SSH の免責メッセージを自動的に受け入れる | 無効 |
有効にすると、認証スキャンが免責事項要求のある FortiOS ホストに SSH 経由で接続を試みる場合に、スキャナーが免責事項要求の了承に必要なテキスト入力を行い、スキャンを継続します。 スキャンは、サポートされている認証方法を取得するために、最初に不良 ssh リクエストをターゲットに送信します。これにより、ターゲットへの接続方法を決定できます。この方法は、カスタム ssh バナーを設定してから、ホストへの接続方法を決定する際に便利です。 無効にすると、スキャナーがデバイスに接続して免責事項を了承することができないため、免責事項要求のあるホストに対する認証スキャンは失敗します。プラグインの出力にエラーが表示されます。 |
| Scan targets with multiple domain names in parallel (複数のドメイン名からなるターゲットを並列にスキャンする) | 無効 |
無効になっている場合、 有効になっている場合、Tenable Vulnerability Management スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、ホストに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。 |
| 認証スキャンを実行したホストに一意的な識別子を作成して付与する | Enabled (有効) |
有効にすると、スキャナーは一意の識別子 (Tenable UUID) を作成します。Tenable Vulnerability Management および Tenable Security Center は、Tenable UUID を使用して受信スキャンデータを資産の履歴結果と統合し、ライセンス数が正確に反映されるようにします。 詳細については、Why Tenable Tags and Agent IDs are created during authenticated scans (認証スキャン中に Tenable タグとエージェント ID が作成される理由) をご覧ください。 |
| Trusted CAs (信頼できる CA) | なし |
スキャンで信頼できると見なされる CA 証明書を指定します。これにより、Tenable Vulnerability Management 環境の脆弱性であるプラグイン 51192 をトリガーすることなく、SSL 認証に自己署名証明書を使用することができます。 注意: この設定に加えて、個別のスキャナーレベルで信頼できる CA を設定できます (詳細については、Tenable Nessus ユーザーガイドのカスタム CA を信頼するを参照してください)。Tenable Vulnerability Management スキャン設定で設定された信頼できる CA と、Tenable Nessus スキャナーで設定された信頼できる CA の間には、優先順位や階層はありません。Tenable Vulnerability Management は、どの製品で設定されているかにかかわらず、スキャンを完了するために必要な適切な証明書を使用し、無関係の証明書を無視します。 |
| パフォーマンスオプション | ||
|
ネットワーク輻輳の検出時にスキャンを減速させる |
無効 |
有効にすると、Tenable は、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出できます。ネットワーク輻輳を検出すると、スキャンを調整して輻輳に対応し、緩和します。輻輳が緩和されると、Tenable は自動的にネットワークパイプ内の使用可能なスペースを再び使用しようとします。 |
|
Linux カーネル輻輳検出を使用する |
無効 |
この設定を有効にすると、Tenable Vulnerability Management は Linux カーネルを使用して、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出します。検出すると、Tenable Vulnerability Management はスキャンにスロットルをかけて輻輳状態を緩和します。輻輳状態が緩和すると、Tenable Vulnerability Management は自動的にネットワークパイプ内の使用可能なスペースの再使用を試みます。 |
|
ネットワークタイムアウト (秒) |
5 |
プラグイン内で特に指定されていない場合に、Tenable がホストからの応答を待機する時間を指定します。低速接続でスキャンしている場合、この値を高い秒数に設定しても構いません。 |
|
Max simultaneous checks per host (ホストごとの同時チェックの最大数) |
5 |
Tenable スキャナーが 1 つのホストに対して同時に実行するチェックの最大数を指定します。 |
|
スキャンごとの同時ホストの最大数 |
スキャンに使用される Tenable 提供のテンプレートに依存 |
Tenable Vulnerability Management が個別のスキャンタスクでの同時スキャンの対象として送信するホストの最大数を指定します。 ホスト制限を使用してスキャンパフォーマンスをさらに改善するために、Tenable は、個々のスキャナーの詳細設定 (たとえば、max_hosts、global.max_hosts、global.max_scans) を調整することを推奨しています。詳細は、Tenable Nessus ユーザーガイド の詳細設定を参照してください。 [スキャンごとの同時ホストの最大数] に、スキャナーの max_hosts 設定より大きな値を設定すると、Tenable Vulnerability Management は [スキャンごとの同時ホストの最大数] を max_hosts の値に制限します。たとえば、[スキャンごとの同時ホストの最大数] を 150 に設定した場合、スキャナーの max_hosts が 100 に設定されていると、ターゲット数が 100 を超えるときに Tenable Vulnerability Management は 100 個のホストを同時にスキャンします。 注意: 所属している企業が管理しているスキャナーの個別のスキャナー設定のみを調整できます。Tenable でホストされているスキャナーの設定は変更できません。 |
|
ホストあたりに同時に実行できるの最大 TCP セッション数 |
なし |
単一ホストに対して確立された TCP セッションの最大数を指定します。 |
|
スキャンごとの同時 TCP セッションの最大数 |
なし |
スキャンされるホストの数に関係なく、各スキャンタスクで確立される TCP セッションの最大数を指定します。
注意: [スキャンごとの同時 TCP セッションの最大数] 設定は、検出スキャンでは強制できません。global.max_simult_tcp_sessions Nessus Engine 設定 (各スキャナーで設定) は、1 つのスキャナーで実行されるすべてのスキャンの合計に適用される絶対上限です (たとえば、4 つのスキャナーがあり、それらが同時に生成する TCP セッションの数が合計で 10000 を超えないようにするには、個々のスキャナーのグローバル設定を 2500 に設定します)。 Windows ホストにインストールされたスキャナーの場合、正確な結果を得るには、この値を 19 以下に設定する必要があります。 |
| Unix find コマンドのオプション | ||
|
除外するファイルパス |
なし |
Unix システムで find コマンドを使用して検索する、すべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。 ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。 |
|
除外するファイルシステム |
なし |
Unix システムで find コマンドを使用して検索するすべてのプラグインから除外するファイルシステムのリストを含むプレーンテキストファイル。 ファイルでは、Unix の find コマンド -fstype 引数でサポートされるファイルシステムの種類を使用して、1 行ごとに 1 つのファイルシステムを入力します。詳細については、find コマンドの man page を参照してください。 |
| 含めるファイルパス | なし |
Unix システムで find コマンドを使用して検索する、すべてのプラグインから含めるファイルパスのリストを含むプレーンテキストファイルです。 ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。 ファイルパスを含めると、プラグインで検索される場所が増えるため、スキャンの継続時間が延びます。対象ができるだけ固有となるように指定してください。 ヒント: [Include Filepath] (ファイルパスを含める) と [Exclude Filepath] (ファイルパスを除外する) に同じファイルパスを含めないようにしてください。この競合によって、結果はオペレーティングシステムによって異なる場合がありますが、ファイルパスが検索から除外される可能性があります。 |
| エージェントのパフォーマンスオプション | ||
| Tenable が提供したバイナリを「find」および「unzip」に使用します | 無効 |
有効にすると、find および unzip のオペレーティングシステムのネイティブコマンドを実行する代わりに、プラグインはエージェントベースのスキャン用のプラグインフィード内に含まれるバイナリを使用します。これにより、Tenable Nessus Agent find コマンドの CPU 消費を制御できます。この設定を有効にするもう 1 つの利点は、find または unzip がオペレーティングシステムでネイティブに見つからない場合に、フィードからコマンドを使用すると、これらのコマンドでプラグインの完全な実行を続行できることです。 この設定は、エージェントでローカルに設定できる [スキャンのパフォーマンス] 設定と連携して機能します。この設定を有効にして、[スキャンパフォーマンス] 設定をデフォルト ([高]) 以外の設定に調整した場合、スキャン結果は、同じ設定の以前のスキャンとは異なる場合があります。これは、CPU リソースが減少しているため、スキャンでファイルを見つける際にタイムアウトが発生する可能性があるためです。 注意: 詳細で完全な結果が必要なため、監査では Tenable フィードからの find や unzip バイナリを利用しません。
注意: この設定を有効にすると、プラグインが結果のバッチ処理をリクエストした際に、CPU 使用率が急激に上昇するか、100% に近くなる可能性があります。その後、次のバッチ処理がリクエストされるまで、CPU は低いレベルに低下します。 |
| Windows ファイル検索オプション | ||
|
Windows で除外するファイルパス |
なし |
Windows システムでの検索から除外するファイルパスのリストを含むプレーンテキストファイルです。 ファイルには、1 行に 1 つのファイルパスを入力します。この設定で、デフォルトの除外をオーバーライドしたり、デフォルトの除外を削除したりします。 注意: Windows のファイルの除外は、そのオペレーティングシステムによって管理されているプラグインには適用されません。 |
|
Windows インクルードファイルパス |
なし |
Windows システムでの再帰的な検索に含めるファイルパスのリストを含むプレーンテキストファイルです。 ファイルには、1 行に 1 つのファイルパスを入力します。この設定により、デフォルトが完全に置き換えられます。 |
| デバッグ設定 | ||
|
プラグインのデバグ処理を有効にする |
無効 |
プラグインから利用可能なデバッグログを、このスキャンの脆弱性出力に添付します。 |
| Audit Trail Verbosity | デフォルト |
プラグイン監査証跡の詳細度を制御します。 次のオプションがあります。
|
| スキャン開始のシフト | ||
| Maximum delay (minutes) | 0 |
(Agents 8.2 以降) 設定されている場合、エージェントグループ内の各エージェントは、指定された時間の値 (分) を最大値とするランダムな時間、スキャンの開始を遅らせます。同時に開始しないようにすることで、仮想マシン CPU などの共有リソースを使用するエージェントの影響を低減できます。 設定した最大遅延時間がスキャンウィンドウを超過する場合、Tenableは、スキャンウィンドウがクローズする最低 30 分前にエージェントがスキャンを開始するよう、最大遅延時間を短縮します。 |
| コンプライアンス出力設定 | ||
| Maximum Compliance Output Length in KB (コンプライアンスの最大出力長 (KB)) | 128,000 KB |
ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Vulnerability Management は結果を切り捨てます。 注意: コンプライアンススキャン処理が遅い場合、Tenable ではこの設定の値を小さくして処理速度を向上させることを推奨します。
|
| ゴールドイメージ .audit を生成 | 無効 |
Tenable Vulnerability Management がコンプライアンスゴールドイメージ .audit ファイルをスキャン結果に添付するかどうかを決定します。[コンプライアンスゴールドイメージ監査] というラベルの付いた [脆弱性] タブから、ゴールドイメージ監査をダウンロードできます。 詳細は、コンプライアンスゴールドイメージを参照してください。 |
| XCCDF 結果ファイルを生成 | 無効 |
Tenable Vulnerability Management が XCCDF 結果ファイルをスキャン結果に添付するかどうかを決定します。生成された XCCDF 結果ファイルは、[コンプライアンス結果を XCCDF にエクスポートする] というラベルの付いた [脆弱性] タブからダウンロードできます。 詳細は、コンプライアンスエクスポート XCCDF 結果を参照してください。 |
| JSON 結果ファイルを生成 | 無効 |
Tenable Vulnerability Management が .audit JSON ファイルをスキャン結果に添付するかどうかを決定します。JSON ファイルは、[コンプライアンス結果を JSON にエクスポートする] というラベルの付いた [脆弱性] タブからダウンロードできます。 詳細は、コンプライアンスエクスポート JSON 結果を参照してください。 |