Tenable Vulnerability Management スキャンの検出設定

注意: スキャンがユーザー定義テンプレートに基づいている場合、スキャンの [検出] 設定は設定できません。これらの設定は、関連するユーザー定義テンプレートでのみ変更できます。

[検出] 設定では、検出とポートスキャン (ポート範囲や方法など) に関連した設定を行います。

Tenable が提供するスキャナーテンプレートの一部には、設定済みの検出設定が含まれます。

[カスタム] の事前設定オプションを選択した場合、または設定済みの検出設定を含まないスキャナーテンプレートを使用している場合、次のカテゴリに関する [検出] 設定を手動で設定できます。

ホスト検出

[ホスト検出] セクションのいくつかの設定は、デフォルトで有効です。最初に [ホスト検出] セクションにアクセスすると、[リモートホストに ping を実行] オプションが [オン] に設定された状態で表示されます。

設定 デフォルト値 説明
Ping the Remote Host(リモートホストへの ping) 日付を指定

[オン] に設定すると、ホストがアクティブかどうかを確認するために、スキャナーはリモートホストの複数のポートに ping を送信します。追加のオプション [全般設定][ping メソッド] が表示されます。

[オフ] に設定すると、スキャン時にスキャナーはリモートホストの複数のポートに ping を送信しません。

注意: VMwareゲストシステムをスキャンするには、[リモートホストの ping][オフ] に設定する必要があります。

応答しないホストのスキャン

無効

Nessus スキャナーが ping メソッドに応答しないホストをスキャンするかどうかを指定します。このオプションは、PCI 四半期外部スキャンテンプレートを使用するスキャンでのみ使用できます。

全般設定

高速ネットワーク検出を使用

Disabled (無効)

無効になっている場合、ホストが ping に応答した際に Tenable Vulnerability Management は、誤検出を回避するために追加のテストを実行して、応答がプロキシやロードバランサーからのものでないことを確認しようとします。これらのチェックは、特にリモートホストがファイヤーウォールで保護されている場合には時間が掛かります。

有効になっている場合、Tenable Vulnerability Management はこれらのチェックを行いません。

ping メソッド

ARP

Enabled (有効)

アドレス解決プロトコル (ARP) を介して、ハードウェアアドレスを使ってホストに ping を実行します。これはローカルネットワークでのみ機能します。

TCP

有効

TCP を使用してホストに ping を実行します。

Destination Ports (TCP)

ビルトイン

TCP ping に特定のポートを使用するように宛先ポートを設定できます。ここでは、TCP ping でチェックするポートのリストを指定します。

built-in、1 つのポート、またはポートのコンマ区切りリストのいずれかを入力します。

built-in で指定されるポートに関する詳細は、ナレッジベースの記事を参照してください。

ICMP

有効

Internet Control Message Protocol (ICMP) を使用してホストに ping を実行します。

Assume ICMP Unreachable From the Gateway Means the Host is Down 無効

ゲートウェイからの ICMP 到達不能は、ホストがダウンしていることを意味するものと想定します。ダウンしているホストに ping が送信されると、そのゲートウェイが ICMP 到達不能メッセージを返すことがあります。このオプションが有効になっている場合に ICMP 到達不能メッセージを受信すると、スキャナーはターゲットとなるホストがアクティブでないと見なします。このアプローチは、一部のネットワークで検出を高速化するのに役立ちます。

注意: 一部のファイヤーウォールとパケットフィルターは、アクティブになっているものの、フィルタリング対象のポートまたはプロトコルに接続されているホストに対してこれと同じ動作を使用します。そのため、このオプションが有効になっていると、ホストが実際はアクティブであってもダウンしていると見なされることがあります。

UDP

無効

User Datagram Protocol (UDP) を使用してホストに ping を実行します。UDPはステートレスプロトコルであるため、通信はハンドシェイクダイアログによって実行されません。UDPベースの通信は、必ずしも信頼できるものではありません。また、UDPサービスとスクリーニングデバイスの性質のため、リモートから検出できるとは限りません。

Maximum Number of Retries 2

リモートホストに ping を再試行する回数を指定します。

脆弱なデバイス

ネットワークプリンターをスキャン

無効

有効になっている場合、スキャナーはネットワークプリンターをスキャンします。

Scan Novell Netware Hosts

無効

有効になっている場合、スキャナーは Novell NetWare ホストをスキャンします。

Scan Operational Technology Devices 無効

有効になっている場合、スキャナーは、環境要因や機器のアクティビティと状態を監視するオペレーショナルテクノロジー (OT) デバイス (プログラマブルロジックコントローラー (PLC) やリモート端末装置 (RTU) など) のフルスキャンを実行します。

無効になっている場合、スキャナーは ICS/SCADA Smart Scanning を使用して OT デバイスを慎重に識別し、それらのデバイスが検出された場合にはそのデバイスのスキャンを停止します。

ウェイクオン LAN

MAC アドレスの一覧

なし

[Wake-on-LAN (WOL)] メニューでは、スキャンを実行する前にマジックパケットを送信するホストを制御します。

スキャンの前に開始するホストは、1 行ごとに 1 つの MAC が記載されたテキストファイルをアップロードすることによって指定します。

33:24:4C:03:CC:C7

FF:5C:2C:71:57:79

Boot Time Wait (In Minutes)

5 分

スキャンを実行する前にホストが起動するのを待機する時間。

ポートスキャン

[ポートスキャン] セクションには、ポートスキャナーの動作とスキャンするポートを定義する設定が含まれています。

設定 デフォルト値 説明
ポート
スキャンされていないポートを閉じていると見なす Disabled (無効)

有効にすると、ポートが選択されたポートスキャナーでスキャンされていない場合 (たとえば、ポートが指定された範囲から外れている場合)、スキャナーはそのポートを閉じていると見なします。

Port Scan Range (ポートのスキャン範囲) Default (デフォルト)

スキャンされるポートの範囲を指定します。

サポートされている範囲は次のとおりです。

  • default (デフォルト) — nessus-services ファイルで指定した約 4,790 個のよく使用されるポートをスキャンするようにスキャナーに指示します。default キーワードを他のポートおよびポート範囲と組み合わせることはできません。

    注意: すべて置換の操作に対応するテキストエディターで、次の 4 つの連続した正規表現に対してすべて置換操作を実行することで、nessus-services ファイルをカスタムのポートリストに変換できます。

    • .*\s+(\d+)\/(tcp|udp)(\r\n|\r|\n) を $1\/$2 に

    • (\d+)\/(tcp|udp) を $2:$1 に

    • tcp を T に

    • udp を U に

    nessus-services ファイルは、オペレーティングシステムに応じた次のディレクトリにあります。

    • Linux — /opt/nessus/var/nessus/nessus-services

    • Windows — C:\ProgramData\Tenable\Nessus\nessus\nessus-services

    • macOS — /Library/Nessus/run/var/nessus/nessus-services

  • all (すべて) — ポート 0 を含む 65,536 個のポートをすべてスキャンするようにスキャナーに指示します。all キーワードを他の範囲と組み合わせることはできません。
  • コンマ区切りのポートのリスト (例: 21,23,25,80,110) やポート範囲 (例: 1-1024,9000-9200、0 を除くすべてのポートをスキャンする場合は 1-65535、個別の範囲または重複する TCP および UDP ポート範囲をスキャンする場合は T:1-1024,U:300-500 または 1-1024,T:1024-65535,U:1025)、またはそれらの組み合わせ。

スキャンポリシーの [Discovery] (検出) 設定で UDP、SYN、または TCP ポートスキャナー設定を無効にすると、指定したポートの範囲にかかわらず、それらのポートがスキャンされません。UDP および TCP のポートスキャナー設定は、デフォルトでは無効になっています。SYN ポートスキャナー設定はデフォルトで有効になっています。

ローカルポートの列挙子
SSH (netstat) Enabled (有効)

有効にすると、スキャナーはローカルマシンから netstat を使用して開いているポートをチェックします。このオプションを使用するには、ターゲットへの SSH 接続を介して netstat コマンドを実行できる必要があります。このスキャンは、Linux ベースのシステムを対象としており、認証認証情報を必要とします。この設定を使用するには、最初に SSH 認証情報を設定する必要があります。

WMI (netstat) Enabled (有効)

有効にすると、スキャナーは WMI ベースのスキャン中に netstat を使用して開いているポートを特定します。

さらに、スキャナーは次のように動作します。

  • [Port Scan Range] (ポートのスキャン範囲) 設定で指定されたカスタム範囲を無視します。
  • [Consider unscanned ports as closed] (スキャンされていないポートを閉じていると見なす) 設定が有効な場合には、スキャンされていないポートを引き続き閉じていると見なします。

ポート列挙子 (netstat または SNMP) が正常に機能すると、ポート範囲は [all] (すべて) になります。この設定を使用するには、最初に Windows 認証情報を設定する必要があります。

SNMP 有効

有効にすると、ユーザーが適切な認証情報を入力した場合に、スキャナーはリモートホストをより効果的にテストし、より詳細な監査結果を生成できます。たとえば、返された SNMP 文字列のバージョンを調べることで、脆弱性が存在するかどうかを判断する Cisco ルーターチェックが多数あります。この情報はこのような監査に必要です。

ローカルポートの列挙が失敗した場合にのみネットワークポートスキャンを実行 有効

ローカルポート列挙子が実行されると、その資産に対してすべてのネットワークポートスキャナーが無効になります。

ローカルポートエニュメレーターによって検出された開いている TCP ポートを確認 無効

有効にすると、ローカルポートエニュメレーター (WMI や netstat など) によってポートが検出された場合、スキャナーはリモートからもそのポートが開いていることを確認します。このアプローチは、何らかの形のアクセス制御 (TCP ラッパー、ファイヤーウォールなど) が使用されているかどうかを確認するのに役立ちます。

ネットワークポートスキャナー
TCP Disabled (無効)

内蔵の Tenable Nessus TCP スキャナーを使用して、完全な TCP 3 ウェイハンドシェイクを利用してターゲットの開いている TCP ポートを特定します。このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。

SYN 有効

内蔵の Tenable Nessus SYN スキャナーを使用して、ターゲットとなるホストの開いている TCP ポートを特定します。SYN スキャンは、完全な TCP 3 ウェイハンドシェイクを開始しません。スキャナーは、SYN パケットをポートに送信して SYN-ACK 応答を待機し、応答、または応答がないことに基づいてポートの状態を判断します。

このオプションが有効になっている場合、[ファイヤーウォールの自動検出をオーバーライド] オプションも設定できます。

ファイヤーウォールの自動検出をオーバーライド 無効

この設定は、[TCP] または [SYN] のどちらかのオプションが有効になっている場合に有効化できます。

有効になっている場合、この設定は自動ファイヤーウォール検出をオーバーライドします。

この設定には、次の3 つのオプションがあります。

  • 積極的な検出を使用: ポートが閉じているように見える場合でもプラグインの実行を試みます。このオプションは、本番環境のネットワークでは使用しないことをお勧めします。
  • ソフト検出を使用: リセットが設定される頻度を監視する機能とダウンストリームのネットワークバイスで制限が設定されているかどうかを確認する機能を無効にします。

  • 検出機能を無効化: ファイヤーウォール検出機能を無効にします。

UDP Disabled (無効)

このオプションは、Tenable Nessus のビルトイン UDP スキャナーを使用して、ターゲットの開いている UDP ポートを特定します。

プロトコルの性質により、ポートスキャナーが開いている UDP ポートとフィルタリングされている UDP ポートの違いを見分けるのは通常は不可能です。UDP ポートスキャナーを有効にすると、スキャン時間が大幅に増加し、信頼できない結果が検出される場合があります。可能な場合は、代わりに netstat または SNMP ポート列挙オプションを使用することを検討してください。

サービス検出

[サービス検出] セクションには、開いている各ポートにそのポートで実行されているサービスをマッピングしようとする設定があります。

設定

デフォルト値

説明
全般設定
すべてのポートをプローブしてサービスを見つける 有効

有効にすると、スキャナーは、[Port scan range] (ポートのスキャン範囲) オプションで定義されているように、開いている各ポートをそのポートで実行されているサービスにマップしようとします。

警告: まれに、調査によって一部のサービスが中断され、予期しない副作用が生じることがあります。

Search for SSL/TLS Based Services 日付を指定

スキャナーが SSL ベースのサービスをテストする方法を制御します。

警告: すべてのポートで SSL 機能をテストすると、テスト対象のホストに破壊的な影響を与える可能性があります。

SSL/TLS/DTLS サービスの検索 (有効)
SSL/TLS を検索 既知の SSL/TLS ポート

SSL/TLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。

この設定には、次の2 つのオプションがあります。

  • 既知の SSL/TLS ポート
  • すべての TCP ポート
Search for DTLS On None (なし)

DTLS サービスの検索時に、スキャナーがターゲットとなるホストのどのポートを検索するかを指定します。

この設定には、次のオプションがあります。

  • なし

  • 既知の DTLS ポート

  • すべての UPD ポート

x 日以内に期限切れになる証明書を特定 60

有効にすると、スキャナーは、指定した日数内に有効期限が切れる SSL および TLS 証明書を特定します。

SSL/TLS 暗号をすべて列挙

有効になっている場合、スキャナーは SSL/TLS サービスによってアドバタイズされた暗号のリストを無視し、すべての可能性のある暗号を使用して接続の確立を試みることで暗号を列挙します。

Enable CRL Checking (Connects to the Internet) False

有効になっている場合、スキャナーは特定されたどの証明書についても失効していないかどうかをチェックします。

ID

ID セクションでは、Active Directory データの収集を有効または無効にできます。

注意: このセクションは、Tenable One Enterprise 環境にのみ適用されます。

     
全般設定
Collect Identity Data from Active Directory (Active Directory から ID データを収集する) 無効

この設定を有効にすると、Tenable Vulnerability Management は Active Directory からユーザー、コンピューター、グループのオブジェクトを収集できるようになります。

この設定では、スキャン用の Active Directory ユーザーアカウントを指定する必要があります。また、スキャンの対象となっているドメインコントローラーで LDAPS を有効にする必要があります。