Tenable Vulnerability Management スキャンの詳細設定

有効にすると、リモートホストに悪影響を及ぼす可能性のあるすべてのプラグインが無効になります。

スキャンでパッチ未適用の脆弱性を検索するかどうかを指定します。これには、関連ベンダーにより「修正されない」ものとしてマークされた CVE が含まれます。

この設定を有効にすると、全体的な検出結果数が増える可能性があります。各プラットフォームとパッケージの組み合わせごとに個別のプラグインが生成されます。プラットフォームとパッケージの組み合わせに影響を与える CVE が他にも見つかった場合、その CVE は既存のプラグインに追加されます。

注意: パッチ未適用の脆弱性の検出結果を生成するようにスキャンを設定した後にこの設定をオフにすると、Tenable Vulnerability Management は次回のスキャンでパッチ未適用の検出結果を修正します。さらに、複数のスキャンが同じデバイスをターゲットとし、1 つのスキャンではパッチ未適用の脆弱性の検出が有効で、別のスキャンでは有効になっていない場合、検出結果はスキャンごとに異なる可能性があります。

有効にすると、ホストの無応答状態が検出された場合に Tenable Vulnerability Management はスキャンを停止します。この状況は、スキャン中にユーザーがPCをオフにした場合、サービス拒否プラグイン後にホストが応答を停止した場合、またはセキュリティメカニズム (IDS など) がサーバーへのトラフィックのブロックを開始した場合に発生することがあります。通常これらのマシンでスキャンを継続すると、ネットワーク全体に不要なトラフィックが送信され、スキャンが遅延します。

デフォルトでは、Tenable Vulnerability Management は IP アドレスのリストを順番にスキャンします。有効にすると、Tenable Vulnerability Management は IP アドレス範囲内のホストのリストをランダムな順番でスキャンします。通常このアプローチは、大規模なスキャン中にネットワークトラフィックを分散するのに有用です。

有効にすると、認証スキャンが免責事項要求のある FortiOS ホストに SSH 経由で接続を試みる場合に、スキャナーが免責事項要求の了承に必要なテキスト入力を行い、スキャンを継続します。

スキャンは、サポートされている認証方法を取得するために、最初に不良 ssh リクエストをターゲットに送信します。これにより、ターゲットへの接続方法を決定できます。この方法は、カスタム ssh バナーを設定してから、ホストへの接続方法を決定する際に便利です。

無効にすると、スキャナーがデバイスに接続して免責事項を了承することができないため、免責事項要求のあるホストに対する認証スキャンは失敗します。プラグインの出力にエラーが表示されます。

無効になっている場合、Tenable Vulnerability Management は、単一の IP アドレスに解決される複数のターゲットを 同時にスキャンしないよう抑止し、こうしてホストの過負荷を防ぎます。代わりに Tenable Vulnerability Management スキャナーは、IP アドレスのスキャンの試行を、それがそのスキャナー上の同じスキャンタスクや複数のスキャンタスクに一度以上現れた場合でも順番に実行します。スキャン完了までの時間が長くなる可能性があります。

有効になっている場合、Tenable Vulnerability Management スキャナーは、1 つの IP アドレスに解決される複数のターゲットを同じスキャンタスク内で、または複数のスキャンタスクにまたがって同時にスキャン可能です。スキャンの完了までの時間は短くなりますが、ホストに負荷が掛かり、タイムアウトおよび不完全な結果が生じる可能性があります。

有効にすると、スキャナーは一意の識別子 (Tenable UUID) を作成します。Tenable Vulnerability Management および Tenable Security Center は、Tenable UUID を使用して受信スキャンデータを資産の履歴結果と統合し、ライセンス数が正確に反映されるようにします。

詳細については、Why Tenable Tags and Agent IDs are created during authenticated scans (認証スキャン中に Tenable タグとエージェント ID が作成される理由) をご覧ください。

スキャンで信頼できると見なされる CA 証明書を指定します。これにより、Tenable Vulnerability Management 環境の脆弱性であるプラグイン 51192 をトリガーすることなく、SSL 認証に自己署名証明書を使用することができます。

注意: この設定に加えて、個別のスキャナーレベルで信頼できる CA を設定できます (詳細については、Tenable Nessus ユーザーガイドのカスタム CA を信頼するを参照してください)。Tenable Vulnerability Management スキャン設定で設定された信頼できる CA と、Tenable Nessus スキャナーで設定された信頼できる CA の間には、優先順位や階層はありません。Tenable Vulnerability Management は、どの製品で設定されているかにかかわらず、スキャンを完了するために必要な適切な証明書を使用し、無関係の証明書を無視します。

ネットワーク輻輳の検出時にスキャンを減速させる

有効にすると、Tenable は、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出できます。ネットワーク輻輳を検出すると、スキャンを調整して輻輳に対応し、緩和します。輻輳が緩和されると、Tenable は自動的にネットワークパイプ内の使用可能なスペースを再び使用しようとします。

Linux カーネル輻輳検出を使用する

この設定を有効にすると、Tenable Vulnerability Management は Linux カーネルを使用して、送信パケットが多すぎてネットワークパイプが限界に近づいていることを検出します。検出すると、Tenable Vulnerability Management はスキャンにスロットルをかけて輻輳状態を緩和します。輻輳状態が緩和すると、Tenable Vulnerability Management は自動的にネットワークパイプ内の使用可能なスペースの再使用を試みます。

ネットワークタイムアウト (秒)

プラグイン内で特に指定されていない場合に、Tenable がホストからの応答を待機する時間を指定します。低速接続でスキャンしている場合、この値を高い秒数に設定しても構いません。

Max simultaneous checks per host (ホストごとの同時チェックの最大数)

Tenable スキャナーが 1 つのホストに対して同時に実行するチェックの最大数を指定します。

スキャンごとの同時ホストの最大数

スキャンに使用される Tenable 提供のテンプレートに依存

Tenable Vulnerability Management が個別のスキャンタスクでの同時スキャンの対象として送信するホストの最大数を指定します。

ホスト制限を使用してスキャンパフォーマンスをさらに改善するために、Tenable は、個々のスキャナーの詳細設定 (たとえば、max_hosts、global.max_hosts、global.max_scans) を調整することを推奨しています。詳細は、Tenable Nessus ユーザーガイド の詳細設定を参照してください。

[スキャンごとの同時ホストの最大数] に、スキャナーの max_hosts 設定より大きな値を設定すると、Tenable Vulnerability Management は [スキャンごとの同時ホストの最大数] を max_hosts の値に制限します。たとえば、[スキャンごとの同時ホストの最大数] を 150 に設定した場合、スキャナーの max_hosts が 100 に設定されていると、ターゲット数が 100 を超えるときに Tenable Vulnerability Management は 100 個のホストを同時にスキャンします。

注意: 所属している企業が管理しているスキャナーの個別のスキャナー設定のみを調整できます。Tenable でホストされているスキャナーの設定は変更できません。

ホストあたりに同時に実行できるの最大 TCP セッション数

単一ホストに対して確立された TCP セッションの最大数を指定します。

この TCP スロットリングオプションは、SYN スキャナーが送信する 1 秒あたりのパケット数も制御し、その数は TCP セッションの 10 倍になります。たとえば、このオプションが 15 に設定されている場合、SYN スキャナーは最大で毎秒 150 パケットを送信します。

スキャンごとの同時 TCP セッションの最大数

なし

スキャンされるホストの数に関係なく、各スキャンタスクで確立される TCP セッションの最大数を指定します。

注意: [スキャンごとの同時 TCP セッションの最大数] 設定は、検出スキャンでは強制できません。global.max_simult_tcp_sessions Nessus Engine 設定 (各スキャナーで設定) は、1 つのスキャナーで実行されるすべてのスキャンの合計に適用される絶対上限です(たとえば、4 つのスキャナーがあり、それらが同時に生成する TCP セッションの数が合計で 10000 を超えないようにするには、個々のスキャナーのグローバル設定を 2500 に設定します)。

Windows ホストにインストールされたスキャナーの場合、正確な結果を得るには、この値を 19 以下に設定する必要があります。

除外するファイルパス

Unix システムで find コマンドを使用して検索する、すべてのプラグインから除外するファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

除外するファイルシステム

Unix システムで find コマンドを使用して検索するすべてのプラグインから除外するファイルシステムのリストを含むプレーンテキストファイル。

ファイルでは、Unix の find コマンド -fstype 引数でサポートされるファイルシステムの種類を使用して、1 行ごとに 1 つのファイルシステムを入力します。詳細については、find コマンドの man page を参照してください。

Unix システムで find コマンドを使用して検索する、すべてのプラグインから含めるファイルパスのリストを含むプレーンテキストファイルです。

ファイルでは、Unix の find コマンド -path 引数で許可されているパターンごとにフォーマットされた、1 行ごとに 1 つのファイルパスを入力します。詳細については、find コマンドの man page を参照してください。

ファイルパスを含めると、プラグインで検索される場所が増えるため、スキャンの継続時間が延びます。対象ができるだけ固有となるように指定してください。

ヒント: [Include Filepath] (ファイルパスを含める) と [Exclude Filepath] (ファイルパスを除外する) に同じファイルパスを含めないようにしてください。この競合によって、結果はオペレーティングシステムによって異なる場合がありますが、ファイルパスが検索から除外される可能性があります。

有効にすると、find および unzip のオペレーティングシステムのネイティブコマンドを実行する代わりに、プラグインはエージェントベースのスキャン用のプラグインフィード内に含まれるバイナリを使用します。これにより、Tenable Nessus Agent find コマンドの CPU 消費を制御できます。この設定を有効にするもう 1 つの利点は、find または unzip がオペレーティングシステムでネイティブに見つからない場合に、フィードからコマンドを使用すると、これらのコマンドでプラグインの完全な実行を続行できることです。

この設定は、エージェントでローカルに設定できる [スキャンのパフォーマンス] 設定と連携して機能します。この設定を有効にして、[スキャンパフォーマンス] 設定をデフォルト ([高]) 以外の設定に調整した場合、スキャン結果は、同じ設定の以前のスキャンとは異なる場合があります。これは、CPU リソースが減少しているため、スキャンでファイルを見つける際にタイムアウトが発生する可能性があるためです。

注意: 詳細で完全な結果が必要なため、監査では Tenable フィードからの find や unzip バイナリを利用しません。

注意: この設定を有効にすると、プラグインが結果のバッチ処理をリクエストした際に、CPU 使用率が急激に上昇するか、100% に近くなる可能性があります。その後、次のバッチ処理がリクエストされるまで、CPU は低いレベルに低下します。

Windows で除外するファイルパス

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインから除外するファイルパスのリストを含む、プレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、\Testdir\ など、絶対または相対ディレクトリ名を含めることができます。

ヒント: この設定を行わない場合、デフォルトの除外パスには \Windows\WinSxS\ と \Windows\servicing\ が含まれます。この設定を行う場合、Tenable はこれらの 2 つのパスをファイルに追加することを推奨します。これらのディレクトリは非常に遅く、管理されていないソフトウェアは含まれていません。

Windows で含めるファイルパス

Tenable の管理されていないソフトウェアのディレクトリスキャンを使用して検索するすべてのプラグインに含めるファイルパスのリストが含まれる、プレーンテキストファイルです。

ファイルに、除外するリテラル文字列としてフォーマットされた絶対または部分ファイルパスを 1 行につき 1 つ入力します。E:\、E:\Testdir\、C:\ など、絶対または相対ディレクトリ名だけを含めることができます。

注意: Windows のインクルードファイルパス は、デフォルトのインクルードディレクトリ (Windows の C: ドライブなど) よりも優先されます。そのため、他のディレクトリに加えてデフォルトのディレクトリを含める場合には、追加のファイルパス行にデフォルトのディレクトリをリストする必要があります。

警告: Windows Include Filepath (Windows で含めるファイルパス) と Windows Exclude Filepath (Windows で除外するファイルパス) の設定に同じファイルパスを含めないようにしてください。この競合により、ファイルパスは検索から除外されます。

プラグインのデバグ処理を有効にする

無効

プラグインから利用可能なデバッグログを、このスキャンの脆弱性出力に添付します。

(Agents 8.2 以降) 設定されている場合、エージェントグループ内の各エージェントは、指定された時間の値 (分) を最大値とするランダムな時間、スキャンの開始を遅らせます。同時に開始しないようにすることで、仮想マシン CPU などの共有リソースを使用するエージェントの影響を低減できます。

設定した最大遅延時間がスキャンウィンドウを超過する場合、Tenableは、スキャンウィンドウがクローズする最低 30 分前にエージェントがスキャンを開始するよう、最大遅延時間を短縮します。

ターゲットから返される各コンプライアンスチェック値の最大出力長を制御します。コンプライアンスチェック値がこの設定の値より大きい場合、Tenable Vulnerability Management は結果を切り捨てます。

コンプライアンスチェックの最大タイムアウト期間を制御します。

この設定は、実行時間が長いチェック、特に Windows と Unix 監査のリモートターゲットに対してコマンドを実行するチェックで使用されます。このタイムアウト設定が利用可能な場合、他のすべてのタイムアウト設定よりも優先されます。

Tenable Vulnerability Management がコンプライアンスゴールドイメージ .audit ファイルをスキャン結果に添付するかどうかを決定します。[コンプライアンスゴールドイメージ監査] というラベルの付いた [脆弱性] タブから、ゴールドイメージ監査をダウンロードできます。

詳細は、コンプライアンスゴールドイメージを参照してください。

Tenable Vulnerability Management が XCCDF 結果ファイルをスキャン結果に添付するかどうかを決定します。生成された XCCDF 結果ファイルは、[コンプライアンス結果を XCCDF にエクスポートする] というラベルの付いた [脆弱性] タブからダウンロードできます。

詳細は、コンプライアンスエクスポート XCCDF 結果を参照してください。

Tenable Vulnerability Management が .audit JSON ファイルをスキャン結果に添付するかどうかを決定します。JSON ファイルは、[コンプライアンス結果を JSON にエクスポートする] というラベルの付いた [脆弱性] タブからダウンロードできます。

詳細は、コンプライアンスエクスポート JSON 結果を参照してください。