Tenable Vulnerability Management スキャンの評価設定
注意: スキャンがユーザー定義テンプレートに基づいている場合、スキャンの [評価] 設定はできません。これらの設定は、関連するユーザー定義テンプレートでのみ変更できます。
[評価] 設定では、スキャンが脆弱性を識別する方法と識別される脆弱性を設定できます。これには、マルウェアの識別、総当たり攻撃に対するシステムの脆弱性の評価、ウェブアプリケーションの感染性が含まれます。
Tenable が提供するスキャナーテンプレートの一部には、設定済みの評価設定が含まれます。
[Custom] (カスタム) の事前設定オプションを選択した場合、または設定済みの評価設定を含まないスキャナーテンプレートを使用している場合、次のカテゴリに関する [Assessment] (評価) 設定を手動で設定できます。
注意: 次の表には、[高度なネットワークスキャン] テンプレートの設定が含まれます。選択したテンプレートによっては、特定の設定が使用できなかったり、デフォルト値が異なっていたりする場合があります。
一般
[General] (全般) セクションには、次の設定グループが含まれます。
| 設定 |
デフォルト値 |
説明 |
| 正確性 |
| 通常の冗長性をオーバーライド |
無効 |
場合によっては、欠陥が存在するかどうかをTenable Vulnerability Managementがリモートで判断できません。パラノイアレポートが [Show potential false alarms] (誤ったアラームの可能性を表示) に設定されている場合、リモートホストに影響があると疑われる場合でも、毎回欠陥が報告されます。反対に、パラノイアの設定が [Avoid potential false alarms] (誤ったアラームの可能性を回避) になっていると、リモートホストに関する不確実性の要素があるときには、Tenable Vulnerability Managementは常に欠陥を報告しません。これら2 つの設定の中間の場合は、この設定を無効にします。
|
| Perform thorough tests (may disrupt your network or impact scan speed) (徹底的なテストを実行する (ネットワークの混乱やスキャン速度への影響が生じる可能性あり)) |
Disabled (無効) |
さまざまなプラグインの動作が増加します。たとえば、SMB ファイル共有を調べる場合、プラグインは 1 つではなく 3 つのディレクトリレベルを深く分析します。そのため、状況によってはネットワークトラフィックと分析の負荷が増加する可能性があります。より詳細にすることにより、スキャンは介入的になり、ネットワークが中断する可能性が高くなりますが、より良い監査結果が出る見込みがあります。 |
| アンチウイルス |
| Antivirus definition grace period (in days) (アンチウイルス定義の猶予期間 (日)) |
0 |
日数 (0-7) を設定して、ウィルス対策ソフトウェアチェックの延期を設定します。ウィルス対策ソフトウェアチェックメニューを使用することで、ウィルス対策の署名が期限切れとみなされた場合に、特定の猶予期間を設けて報告するように Tenable Vulnerability Managementに指示できます。Tenable Vulnerability Management のデフォルト設定では、署名の期限切れは、更新ソフトが利用可能になった時期 (数時間前など) を考慮しません。このオプションでは、期限切れと報告されるまでの期間を最大 7 日間まで設定できます。 |
| SMTP |
| Third party domain (サードパーティのドメイン) |
Tenable Vulnerability Management は、各 SMTP デバイスを介してこのフィールドにリストされているアドレスにスパムを送信しようとします。このサードパーティのドメインアドレスは、スキャンされるサイトまたはスキャンを実行するサイトの範囲外にある必要があります。それ以外の場合は、SMTP サーバーによってテストが中止される場合があります。
|
| 送信元アドレス |
SMTP サーバーに送信されたテストメッセージは、このフィールドで指定されたアドレスから発信されたように表示されます。
|
| 送信先アドレス |
Tenable Vulnerability Management は、このフィールドにリストされているメール受信者宛てにメッセージの送信を試みます。ほとんどのメールサーバーで有効なアドレスであるため、ポストマスターのアドレスはデフォルト値になっています。
|
総当たり
[Brute Force] (ブルートフォース) セクションには、次の設定のグループが含まれます。
| 設定 |
デフォルト値 |
説明 |
| 全般設定 |
| Only use credentials provided by the user (ユーザーから提供された認証情報だけを使用します) |
Enabled (有効) |
状況によっては、Tenable Vulnerability Management はデフォルトアカウントと既知のデフォルトパスワードのテストに使用できます。そのような場合、試行が連続して無効になる回数が多すぎると、オペレーティングシステムまたはアプリケーションでセキュリティプロトコルがトリガーされ、アカウントがロックアウトされる可能性があります。デフォルトでは、Tenable Vulnerability Management がこれらのテストを実行できないよう、この設定は有効になっています。 |
| Oracle データベース |
| Test default accounts (slow) (テストのデフォルトアカウント (低速)) |
Disabled (無効) |
Oracle ソフトウェアの既知のデフォルトアカウントをテストします。 |
SCADA
| 設定 |
デフォルト値 |
説明 |
| ICCP/COTP TSAP アドレス指定の脆弱性 |
ICCP/COTP TSAP アドレス指定メニューは、可能な値を試すことにより、ICCP サーバー上の接続指向トランスポートプロトコル (COTP) トランスポートサービスアクセスポイント (TSAP) の値を決定します。
|
ウェブアプリケーション
[ウェブアプリケーション] セクションには、次の設定グループが含まれます。
| 設定 |
デフォルト値 |
説明 |
| ウェブアプリケーションのスキャン |
無効 |
デフォルトでは、Tenable Vulnerability Management はウェブアプリケーションをスキャンしません。次の設定を編集するには、この設定を有効にします。 |
| カスタムユーザーエージェントを使用 |
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
|
Tenable Vulnerability Management がスキャン中に偽装するウェブブラウザの種類を指定します。
|
| Web クローラ |
| クロールの開始点 |
/
|
テストされる最初のページの URL です。複数のページが必要な場合は、コロン区切り文字を使用してページを区切ります(例: /:/php4:/base)
|
| 除外されたページ (正規表現) |
/server_privileges\.php|logout |
クロール対象から除外するウェブサイトの一部を指定します。たとえば、/manual ディレクトリとすべての Perl CGI を除外するには、このフィールドを次のように設定します。(^/manual) <> (\.pl(\?.*)?$)
Tenable Vulnerability Management は文字列の照合と処理のため、Perl 互換の正規表現 (PCRE) と同様に POSIX の正規表現をサポートしています。
|
| クロールできる最大ページ |
1000
|
クロールするページの最大数です。
|
| Maximum depth to crawl (クロールできる最大深度) |
6
|
開始ページごとに Tenable Vulnerability Managementがたどるリンクの数を制限します。
|
| 動的に生成されたページに従う |
無効
|
選択すると、Tenable Vulnerability Management は動的リンクをたどり、上記設定のパラメーターを超える場合があります。
|
| アプリケーションテストの設定 |
| Enable generic web application tests (一般的なウェブアプリケーションテストを有効にする) |
無効 |
次の設定を有効にします。 |
| Abort web application tests if HTTP login fails |
Disabled (無効) |
Tenable Vulnerability Management が HTTP 経由でターゲットにログインできない場合、すべてのウェブアプリケーションのテストを実行しません。 |
| Try all HTTP methods (すべての HTTP メソッドを試行する) |
無効 |
このオプションは、Web フォームのテストを強化する目的で POST リクエストも使用するよう Tenable Vulnerability Management に指示します。デフォルトでは、このオプションを有効にしていない限り、ウェブアプリケーションのテストには GET リクエストのみが使用されます。一般的には、ユーザーがアプリケーションにデータを送信する際に、より複雑なアプリケーションで POST メソッドが使用されます。有効にすると、Tenable Vulnerability Management は GET リクエストと POST リクエストの両方で各スクリプトまたは変数をテストします。この設定により、より綿密なテストが提供されますが、所要時間が大幅に長くなる可能性があります。 |
| Attempt HTTP Parameter Pollution (HTTP パラメーター汚染を試行する) |
Disabled (無効) |
ウェブアプリケーションのテストを実行する場合、変数にコンテンツを挿入すると同時に、同じ変数に有効なコンテンツを提供することにより、フィルタリングメカニズムのバイパスを試みます。たとえば、通常の SQL インジェクションテストは/target.cgi?a='&b=2 のようになります。HTTP パラメーター汚染 (HPP) を有効にすると、リクエストは /target.cgi?a='&a=1&b=2 のようになります。 |
| Test embedded web servers (埋め込みウェブサーバーをテストする) |
Disabled (無効) |
組み込みウェブサーバーは多くの場合において静的であり、カスタマイズ可能な CGI スクリプトは含まれていません。さらに、組み込みウェブサーバーは、スキャン時に時々クラッシュしたり応答しなかったりする場合もあります。このオプションを使用して、組み込みウェブサーバーを他のウェブサーバーとは別にスキャンすることを Tenable は推奨します。 |
| Test more than one parameter at a time per form (フォームごとに 1 度に複数のパラメーターをテストする) |
Disabled (無効) |
この設定では、HTTP リクエストで使用される引数値の組み合わせを管理します。このオプションにチェックマークを入れないデフォルトでは、攻撃文字列で 1 つのパラメーターを一度にテストし、追加のパラメーターに対する非攻撃バリエーションを試すことはありません。たとえば Tenable Vulnerability Managementは、各組み合わせをテストせずに、b と c が他の値を許可する、
/test.php?arg1=XSS&b=1&c=1を試みます。これは、最小の結果セットを生成してテストする最速の方法です。
この設定には、次の 4 つのオプションがあります。
- Test random pairs of parameters: この形式のテストでは、パラメーターのランダムなペアの組み合わせがランダムにチェックされます。これは、複数のパラメーターをテストする最速の方法です。
- パラメーターのすべてのペアのテスト (低速): この形式のテストは、1 つの値のテストよりも若干低速になりますが、より効率的です。複数のパラメーターをテストしながら、攻撃文字列、単一変数の変化の関係をテストし、他のすべての変数に最初の値を使用します。たとえば、Tenable Vulnerability Management は /test.php?a=XSS&b=1&c=1&d=1 を試み、その後、ある変数に攻撃文字列が付与され、ある変数はあらゆる可能な値を循環し (ミラープロセス中に発見されるように)、その他の変数には最初の値が付与されるようにします。この例では、各変数の最初の値が 1 の場合、Tenable Vulnerability Managementは/test.php?a=XSS&b=3&c=3&d=3をテストしません。
- Test random combinations of three or more parameters (slower): この形式のテストでは、3 つ以上のパラメーターの組み合わせがランダムにチェックされます。ペアのパラメーターのみのテストよりも綿密にチェックされます。組み合わせの数を 3 つ以上に増やすと、ウェブアプリケーションのテスト時間は長くなります。
- パラメーターのすべての組み合わせのテスト (最も遅い): このテスト方法では、攻撃文字列と変数への有効な入力のあらゆる可能な組み合わせをチェックします。すべてのペアのテストが速度を上げるためにより少ないデータセットを作成しようとするのに対し、すべての組み合わせでは時間を妥協せずにテストの完全なデータセットを使用します。このテスト方法では、完了するまでに長時間かかる場合があります。
|
各ウェブページで最初の欠陥が見つかっても停止しないでください
|
Stop after one flaw is found per web server (fastest)
|
この設定により、新しい欠陥が対象となるタイミングが決まります。これはスクリプトレベルで適用されます。XSS の欠陥を検出しても、SQL インジェクションまたはヘッダーインジェクションの検索は無効になりませんが、特に指定しない限り特定のポートの種類ごとに最大 1 つのレポートがあります。同じ攻撃によってキャッチされた場合、同じ種類のいくつかの欠陥 (XSS、SQLi など) が報告される可能性があります。
このオプションが無効になっている場合、スキャンはウェブページ上で欠陥を発見するとすぐに、次のウェブページに移動します。
このオプションを有効にする場合は、次のいずれかのオプションを選択します。
- Stop after one flaw is found per web server (fastest) - (デフォルト) スクリプトによってウェブサーバー上で欠陥が検出されるとすぐに、Tenable Vulnerability Management は停止して別のポート上の異なるウェブサーバーに切り替えます。
- Stop after one flaw is found per parameter (slow) - CGI のパラメーターで1種類の欠陥 (XSS など) が検出されるとすぐに、Tenable Vulnerability Management は同じ CGI の次のパラメーター、次の既知の CGI、または次のポートもしくはサーバーに切り替えます。
- Look for all flaws (slowest) - 検出された欠陥にかかわらず、広範なテストを実行します。このオプションは非常に詳細なレポートを生成する可能性があるため、多くの場合において推奨されません。
|
| リモートファイルインクルード用の URL |
http://rfi.nessus.org/rfi.txt |
リモートファイルインクルージョン(RFI)のテスト中、この設定によりテストに使用するリモートホスト上のファイルが指定されます。デフォルトでは、Tenable Vulnerability Management は Tenable が RFI テスト用にホストする安全なファイルを使用します。スキャナーがインターネットに到達できない場合は、内部でホストされているファイルを使用して、より正確なRFIテストを実行できます。 |
| 最大ランタイム (分) |
5 |
このオプションでは、ウェブアプリケーションのテストの実行に費やされる時間を分単位で管理します。このオプションのデフォルトは 60 分で、所定のウェブサイトのすべてのポートと CGI に適用されます。通常、小規模なアプリケーションを使用するウェブサイトのローカルネットワークのスキャンは1時間以内に完了しますが、大規模なアプリケーションを使用するウェブサイトにはより大きい値が必要になる場合があります。 |
Windows
Windows セクションには、次の設定のグループが含まれます。
| 設定 |
デフォルト値 |
説明 |
| 全般設定 |
| Request information about the SMB Domain (SMBドメインに関する情報をリクエストする) |
無効 |
有効にすると、ローカルユーザーの代わりにドメインユーザーが照会されます。
|
| ユーザー列挙メソッド |
|
ユーザー検出に適した数のユーザー列挙メソッドを有効にできます。
|
| SAM Registry (SAM レジストリ) |
Enabled (有効) |
Tenable Vulnerability Management は、Security Account Manager (SAM) レジストリを介してユーザーを列挙します。 |
| ADSI Query (ADSI クエリ) |
Enabled (有効) |
Tenable Vulnerability Management は、Active Directory Service Interfaces (ADSI) を介してユーザーを列挙します。ADSI を使用するには、[認証情報] > [その他] > [ADSI] で認証情報を設定する必要があります。 |
| WMI Query (WMI クエリ) |
Enabled (有効) |
Tenable Vulnerability Management は、Windows Management Interface (WMI) を介してユーザーを列挙します。 |
| RID Brute Forcing |
有効 |
Tenable Vulnerability Management は、相対識別子 (RID) ブルートフォースを介してユーザーを列挙します。この設定を有効にすると、[Enumerate Domain Users] (ドメインユーザーを列挙する) および [Enumerate Local User] (ローカルユーザーを列挙する) 設定を有効にします。 |
| Enumerate Domain Users (RIDブルートフォースが有効な場合に利用可能) |
| Start UID (開始 UID) |
1000 |
Tenable Vulnerability Management がドメインユーザーの列挙を試みる ID 範囲の開始部分です。 |
| End UID (終了 UID) |
1200 |
Tenable Vulnerability Management がドメインユーザーの列挙を試みる ID 範囲の終了部分です。 |
| ローカルユーザーを列挙する (RID ブルートフォースが有効な場合に利用可能) |
| Start UID (開始 UID) |
1000 |
Tenable Vulnerability Management がローカルユーザーの列挙を試みる ID 範囲の開始部分です。 |
| End UID (終了 UID) |
1200 |
Tenable Vulnerability Management がローカルユーザーの列挙を試みる ID 範囲の終了部分です。 |
マルウェア
[Malware] (マルウェア) セクションには、次の設定のグループが含まれます。
| 設定 |
デフォルト値 |
説明 |
| ハッシュおよび許可リストファイル |
| カスタム Netstat IP 脅威リスト |
None (なし) |
検出する既知の不良 IP アドレスのリストを含むテキストファイルです。
ファイルの各行は、IPv4 アドレスで始める必要があります。オプションとして、IP アドレスの後にコンマを追加してその後に説明を続けると、説明を追加できます。コンマ区切りのコメントに加えて、ハッシュ区切りのコメント (# など) も使用できます。
注意: Tenable は、テキストファイル内のプライベート IP 範囲を検出しません。
|
| Provide your own list of known bad MD5 hashes (既知の不正な MD5 ハッシュのリストを指定する) |
なし |
追加の既知の不良な MD5 ハッシュを指定する、1 行に 1 つの MD5 ハッシュを含むテキストファイル
オプションとして、ハッシュの後にコンマを追加してその後に説明を続けると、ハッシュの説明を含めることができます。ターゲットのスキャン中に一致するものが見つかった場合、スキャン結果に説明が表示されます。コンマ区切りのコメントに加えて、ハッシュ区切りのコメント (fop など) も使用できます。
|
| 既知の正しい MD5 ハッシュのリストを指定する |
なし |
追加の既知の良好な MD5 ハッシュを指定する、1 行に 1 つの MD5 ハッシュを含むテキストファイル
オプションとして、ハッシュの後にコンマを追加してその後に説明を続けると、各ハッシュの説明を含めることができます。ターゲットのスキャン中に一致するものが見つかり、ハッシュの説明が提供された場合、スキャン結果に説明が表示されます。コンマ区切りのコメントに加えて、ハッシュ区切りのコメント (# など) も使用できます。
|
| ホストファイル許可リスト |
なし |
Tenable Vulnerability Management は、システムホストファイルに侵害の兆候がないかチェックします (例: 侵害された Windows システム (ホストファイルチェック) というタイトルのプラグイン ID 23910)。このオプションを使用すると、スキャン中に Tenable Vulnerability Managementに無視させる IP とホスト名のリストを含むファイルをアップロードできます。通常のテキストファイルの行ごとに 1 つの IP と 1 つのホスト名 (ターゲット上のホストファイルと同じ形式) を含めます。
|
| Yara Rules (Yara ルール) |
| Yara Rules (Yara ルール) |
None (なし) |
スキャンに適用される YARA ルールを含む .yar ファイルです。1 回のスキャンでアップロードできるファイルは 1 つのみであるため、すべてのルールを 1 つのファイルに含めてください。詳細は、yara.readthedocs.io を参照してください。
|
| ファイルシステムスキャン |
| ファイルシステムのスキャン |
無効 |
有効にすると、Tenable Vulnerability Management はホストコンピューターのシステムディレクトリとファイルをスキャンできます。
警告: 10 台以上のホストを対象としたスキャンでこの設定を有効にすると、パフォーマンスが低下する可能性があります。
|
| Windows のディレクトリ ([ファイルシステムのスキャン] が有効な場合に利用可能) |
| %Systemroot% のスキャン |
無効 |
ファイルシステムのスキャンを有効にして、%Systemroot% をスキャンします。 |
| %ProgramFiles% スキャン |
無効 |
ファイルシステムのスキャンを有効にして、%ProgramFiles% をスキャンします。 |
| %ProgramFiles(x86)% スキャン |
無効 |
ファイルシステムのスキャンを有効にして、%ProgramFiles(x86)% をスキャンします。 |
| %ProgramData% スキャン |
無効 |
ファイルシステムのスキャンを有効にして、%ProgramData% をスキャンします。 |
| ユーザープロファイルのスキャン |
無効 |
ファイルシステムのスキャンを有効にして、ユーザープロファイルをスキャンします。 |
| カスタムファイルスキャンディレクトリ |
None (なし) |
マルウェアファイルスキャンによってスキャンされるディレクトリをリストするカスタムファイルです。各ディレクトリを 1 行にリストします。 |
| Linux ディレクトリ |
| $PATH をスキャンする |
無効 |
ファイルシステムスキャンを有効にして、$PATH をスキャンします。 |
| スキャン/ホーム |
無効 |
スキャン/ホームをスキャンするファイルシステムを有効にする。 |
| MacOS ディレクトリ |
| $PATH をスキャンする |
無効 |
ファイルシステムスキャンを有効にして、$PATH をスキャンします。 |
| スキャン/ユーザー |
無効 |
スキャン/ユーザーをスキャンするファイルシステムを有効にする。 |
| スキャン/アプリケーション |
無効 |
スキャン/アプリケーションをスキャンするファイルシステムを有効にする。 |
| スキャン/ライブラリ |
無効 |
スキャン/ライブラリをスキャンするファイルシステムを有効にする。 |
データベース
| 設定 |
デフォルト値 |
説明 |
| Oracle データベース |
| Use detected SIDs (検出した SID を使用する) |
無効 |
有効にすると、少なくとも 1 つのホスト認証情報と 1 つの Oracle データベース認証情報が設定されている場合、スキャナーはホスト認証情報を使用してターゲットのスキャンを認証してから、ローカルでの Oracle システム ID (SID) の検出を試行します。次に、指定された Oracle データベース認証情報と検出された SID の使用の認証を試行します。
スキャナーがホスト認証情報を使用したターゲットのスキャンを認証できないか、ローカルで SID を検出しない場合、スキャナーは Oracle データベース認証情報の手動で指定された SID を使用して Oracle データベースを認証します。
|