スキャンの起動

スケジュールした時間に起動するようにスキャンの [スケジュール] を設定するほか、手動でスキャンを起動することもできます。新しいスキャンを起動できるのは、前回のスキャンのステータスが [完了][中止]、または [キャンセル] である場合のみです (詳細は、スキャンステータスを参照してください)。

標準スキャンを手動で起動するには、スキャンの起動を参照してください。

または、ロールオーバースキャンを起動して、途中で終了した前回のスキャンの残りのターゲットをスキャンすることもできます (詳細は、ロールオーバースキャンを起動するを参照してください)。修正スキャンを起動して、既存のスキャン結果に対してフォローアップスキャンを実行することもできます (詳細は、修正スキャンの起動 を参照してください)。

注意: Tenable Vulnerability Management で Linux マシンをスキャンする場合、Linux マシンのシェル設定ファイルには 4 文字以上の PS1 変数 (例: PS1='\u@\h:~\$ ') が必要です。4 文字未満の PS1 変数 (例: PS1='\$ ') があると、全体のスキャン時間が大幅に増加する可能性があります。

注意: Tenable Vulnerability Management のスキャンの制限については、スキャン制限事項を参照してください。

スキャンの起動

必要な Tenable Vulnerability Management ユーザーロール: スキャンオペレーター、標準、スキャンマネージャー、または管理者

必要なスキャンのアクセス許可: 制御可

次の手順を使用して、スキャンを手動で起動します。スキャンに設定されているターゲットを使用してスキャンを開始できます。または、設定されたターゲットをオーバーライドするカスタムターゲットを使用してスキャンを開始することもできます。

スキャンを起動する方法

  1. 左側のナビゲーションで、 [スキャン] をクリックします。

    [スキャン] ページが表示されます。

  2. [スキャン] で、[脆弱性管理スキャン][ウェブアプリケーションスキャン] の表示を選択します。

  3. [フォルダー] セクションで、表示するスキャンを読み込むフォルダーをクリックします。

    選択したフォルダーでスキャンを表示するようスキャンテーブルが更新されます。

    スキャンフォルダーについての詳細は、スキャンをフォルダー別に整理するを参照してください。

  4. スキャンの表で、起動するスキャンにカーソルを合わせます。

    アクションボタンが行に表示されます。

  5. 次のいずれかを行います。

    • スキャン内で設定されたターゲットを使用してスキャンを開始するには、行の上で 起動 ボタンをクリックします。
    • すでにスキャンを起動していて、設定されたターゲットにオーバーライドされるカスタムターゲットを使用したい場合には、次を行います。
      1. 行の上で ボタンをクリックします。

        [カスタム起動スキャン] プレーンが開きます。

      2. [ターゲット] ボックスに、ターゲットのコンマ区切り文字列を入力します。
      3. [起動] をクリックします。

    Tenable Vulnerability Management がスキャンを起動します。

    [スキャン] ページでスキャンステータス確認して、スキャンの進行状況を把握できます。

ロールオーバースキャンを起動する

必要な Tenable Vulnerability Management ユーザーロール: スキャンオペレーター、標準、スキャンマネージャー、または管理者

必要なスキャンのアクセス許可: 制御可

ロールオーバースキャンを起動すると、以前に Tenable Vulnerability Management でスキャンされなかったターゲットとホストに対してのみスキャンが実行されます。これは、割り当てられたすべてのターゲットを調べる前にスキャンが終了したときに発生します。次のような場合です。

  • ユーザーがスキャンを手動で停止した時

  • スキャン期間の設定により、スキャンがタイムアウトした時

  • スキャナーがスキャンタスクを中止するか、適切に初期化しなかった時

場合によっては、ロールオーバースキャンを実行できる対象として 完了済みスキャンが表示されることがあります。これは、割り当てられたすべてのターゲットがスキャンされたものの、一部のスキャンタスクが失敗した可能性があることを示しています。

繰り越しスキャンにより、すべての資産を完全にカバーするスキャンを達成でき、ネットワークに影響を与える大規模なスキャンを、ロールオーバー機能を使用して分割実行できます。[スキャン] ページからロールオーバースキャンを起動できます。Tenable Vulnerability Management は、スキャン表にあるロールオーバースキャンを起動できるスキャンの [名前] 列に [ロールオーバー] タグでマークを付けます。

ロールオーバースキャンが実行される残りのターゲットを表示するには、Download Rollover Targetsを参照してください。スキャンを再起動してすべてのターゲットを再スキャンする場合は、スキャンの起動を参照してください。

注意: ロールオーバーウェブアプリケーションスキャンを起動することはできません。

ロールオーバースキャンを起動する方法

  1. 左側のナビゲーションで、 [スキャン] をクリックします。

    [スキャン] ページが表示されます。

  2. [スキャン] で、[脆弱性管理スキャン][ウェブアプリケーションスキャン] の表示を選択します。

  3. [フォルダー] セクションで、表示するスキャンを読み込むフォルダーをクリックします。

    選択したフォルダーでスキャンを表示するようスキャンテーブルが更新されます。

    スキャンフォルダーについての詳細は、スキャンをフォルダー別に整理するを参照してください。

  4. スキャンの表で、起動するスキャンにカーソルを合わせます。

  5. 行にある 多く表示 ボタンをクリックします。

    メニューが表示されます。

  6. [ロールオーバーを起動] オプションをクリックします。

    Tenable Vulnerability Management がロールオーバースキャンを起動します。

    [スキャン] ページでスキャンステータス確認して、スキャンの進行状況を把握できます。

修正スキャンの起動

必要な Tenable Vulnerability Management ユーザーロール: 標準、スキャンマネージャー、または管理者

必要なアクセスグループのアクセス許可: スキャン可

既存のスキャン結果に対するフォローアップスキャンを実行するための修正スキャンを作成することができます。修正スキャンは、以前のアクティブなスキャンで脆弱性が存在した特定のスキャンターゲットに対して特定のプラグインを評価します。

修正スキャンを使用して、スキャンターゲット上の脆弱性の修正アクションが成功したかどうかを検証することができます。以前に脆弱性が特定されたターゲット上の脆弱性を修正スキャンで特定できない場合、システムはその脆弱性のステータスを [修正済み] に変更します。

スキャン結果の修正スキャンは、次の特定のセンサーからのみ実行できます。

センサータイプ サポート対象
Tenable Vulnerability Management クラウドセンサー
オンプレミス Tenable Nessus

Amazon Web Services (AWS) 向け Tenable Nessus スキャナー

Tenable Web App Scanning

Tenable Nessus Network Monitor
Tenable Nessus Agent

注意: Tenable Vulnerability Management のスキャンの制限については、スキャン制限事項を参照してください。

修正スキャンを起動する方法

  1. 修正スキャンの範囲を設定します。

    修正スキャンの範囲 アクション
    脆弱性を有するすべての資産で検出

    この範囲はサポートされていません。

    脆弱性を有する個別の資産で検出

    この範囲を設定する方法

    1. 資産の詳細を表示します。
    2. [資産の詳細] ページで、[検出結果] タブをクリックします。

      [検出結果] タブが表示されます。

    3. [検出結果] の表のリボン ([脆弱性]/[ホスト監査] ドロップダウンメニューの横) で、空のチェックボックスを選択してすべての脆弱性を選択します。

    4. [検出結果] の表のリボンで、スキャン[修正スキャンの起動] をクリックします。
    複数の資産のすべての脆弱性

    この範囲はサポートされていません。

    個別の資産の個別の脆弱性

    この範囲を設定する方法

    1. 資産の詳細を表示します。
    2. [資産の詳細] ページで、[検出結果] タブをクリックします。

      [検出結果] タブが表示されます。

    3. [検出結果] の表で、選択する脆弱性の横にあるチェックボックスを選択します。
    4. [検出結果] の表のリボンで、スキャン[修正スキャンの起動] をクリックします。
    影響を受けるすべての資産の複数の脆弱性 この範囲はサポートされていません。
    個別の資産の複数の脆弱性

    この範囲を設定する方法

    1. 資産の詳細を表示します。
    2. [資産の詳細] ページで、[検出結果] タブをクリックします。

      [検出結果] タブが表示されます。

    3. [検出結果] の表で、選択する各脆弱性の横にあるチェックボックスを選択します。
    4. [検出結果] の表のリボンで、スキャン[修正スキャンの起動] をクリックします。
    複数の資産の複数の脆弱性 この範囲はサポートされていません。
    個別の検出結果

    この範囲を設定する方法

    1. ホストの脆弱性の検出結果またはウェブアプリケーションの脆弱性の検出結果の詳細を表示します。
    2. [検出結果の詳細] ページの右上にある [アクション] ボタンをクリックします。

      アクションメニューが表示されます。

    3. アクションメニューで、スキャン[修正スキャンの起動] をクリックします。

    [スキャンの作成 - 修正スキャン] が表示されます。

    Tenable Vulnerability Management は、Tenable 提供の [高度なネットワークスキャン] テンプレートから自動的に修正スキャンを作成し、選択された資産と脆弱性を基にして特定の設定を入力します。

  2. [スキャンの作成] ページで次の操作を実行します。

    1. 選択した脆弱性と資産を基にして Tenable Vulnerability Management によって入力された設定を確認します。
    2. スキャンの追加の設定を設定します。

      実行する必要がある手動による変更の数は、修正スキャンに含まれているプラグインによって異なります。

    次の表に、修正スキャンの設定の継承される値とデフォルト値の定義を示します。

    設定カテゴリ 設定 修正スキャンの値
    基本 名前 「Remediation scan of plugin # number」の形式で修正可能なスキャン名を指定します。「number」は、脆弱性を特定したプラグインの番号です。
    フォルダー 設定できません。修正スキャンは、[修正スキャン] フォルダーにのみ表示されます。
    スキャナー

    スキャンを実行するスキャナーを指定します。

    選択するスキャナーは、修正スキャンに含まれているターゲットの場所に応じて異なります。例

    • デフォルトでは、この値は地域の クラウドスキャナー になります (たとえば、US クラウドスキャナー)。ただし、クラウドスキャナーは、ルーティングできない IP アドレスをスキャンできません。スキャンターゲットにルーティングできない IP アドレスが含まれている場合は、代わりに [リンクされたスキャナー] を選択してください。
    • 次の場合は、スキャナーグループを選択してください。

      • 複数のスキャナーの間でスキャンの負荷を分散し、スキャンスピードを上げる場合
      • スキャン設定でスキャナーの指定を更新する必要なしに、将来スキャナーを再構築して新しいスキャナーをリンクする場合
    ネットワーク (スキャナーが [自動選択] に設定されている場合に必要) 次のいずれかの操作を実行します。
    • スキャンが重複する IP 範囲を持つ別々の環境に関係する場合、スキャンのルーティング用に設定したスキャナーグループを含むネットワークを選択します。
    • スキャンが重複する IP 範囲を持つ別々の環境に関係しない場合は、[デフォルト] ネットワークのままにします。
    ターゲット

    修正スキャンで選択した資産を基にしてスキャンターゲットを指定します。

    ユーザーアクセス許可

    [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。

    デフォルトでは、修正スキャンの個別のスキャン結果にのみアクセスできます。[デフォルト] ユーザーアクセス許可は [アクセスなし] に設定されます。修正スキャンを他のユーザーと共有する場合は、[ユーザーアクセス許可] を設定します。

    スケジュール

    設定できません。修正スキャンを作成した時に起動しない場合は、スキャンを後で手動で起動することができます。

    その他すべての設定 [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。
    検出 すべて

    [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。

    注意: デフォルトの [ポートスキャン範囲] は、共通ポートのみをスキャンします。修正スキャンで使用されているプラグインに特定のポートが必要な場合は、それらのポートが含まれる範囲に対してこの設定をします。

    資産 すべて [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。
    レポート すべて [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。
    詳細 すべて [高度なネットワークスキャン] テンプレートのデフォルト設定を指定します。
    認証情報 すべて

    デフォルトでは、認証情報は設定されません。修正スキャンのプラグインに認証情報が必要な場合は、修正スキャンでそれらを設定します。

    注意: 修正スキャンは認証情報のないネットワークスキャン結果に対して最適に動作します。スキャン認証情報を必要とするプラグインに対して修正スキャンを実行するときには注意してください。特定のプラグインに必要なスキャン認証情報を追加し忘れた場合、または認証情報を誤って入力した場合、システムは関連する脆弱性を修正済みとして特定する場合があります。事実、システムは認証スキャンを完了できないため、脆弱性はスキャン結果に表示されません。

    コンプライアンス すべて

    デフォルトでは、コンプライアンス監査は設定されません。認証スキャンのプラグインにコンプライアンス監査の設定が必要な場合は、適切な設定を設定してください。

    プラグイン 制限あり

    以下に制限されるプラグインを指定します。

    • 修正スキャン用に選択されたプラグイン
    • 選択したプラグインが依存している任意のプラグイン
  3. 次のいずれかを行います。

    • スキャンを起動せずに保存する場合は、[保存] をクリックします。

      Tenable Vulnerability Management がスキャンを保存します。

    • 今すぐスキャンを保存して起動する場合は、[保存して起動] をクリックします。

      注意: スキャンを後で実行するようにスケジュールした場合は、[保存して起動] オプションは利用できません。

      Tenable Vulnerability Management がスキャンを保存して起動します。

次の手順

  • [スキャン] ページの [修正スキャン] フォルダーで次の操作を実行します。
      スキャンステータスを
    • 表示して、スキャンが完了したタイミングを特定します。
    • スキャン設定を編集します。
    • スキャン結果の読み取りステータスを
    • 変更します。
    • スキャンを起動します。
  • スキャンが完了したら次の操作を実行します
    1. [検出結果] ページで、プラグインを検索します。
    2. 修正スキャンのターゲットとなった資産上で選択した脆弱性のステータスが [修正済み] になったことを確認します。