カスタム・スキャン・テンプレートを設定する

デフォルトのテンプレートの編集を開始するには、管理ページに移動し、スキャンテンプレートの管理をクリックします。コンソールにスキャンテンプレートページが表示されます。

内蔵テンプレートは直接編集できません。その代り当該テンプレートのコピーを作成して、そのコピーを編集します。当該ページにリストされているデフォルトテンプレートのコピーをクリックすると、コンソールにスキャンテンプレート設定パネルが表示されます。

カスタム・スキャン・テンプレートをゼロから作成するには、 管理ページ に移動して、スキャンテンプレート の 作成 をクリックします。

注意: PCI関連のスキャン・テンプレートおよびレポート・テンプレートは本アプリケーションに同梱されていますが、閲覧・利用可能にするにはライセンスを購入する必要があります。FDCCテンプレートは、FDCCポリシースキャンを有効化するライセンスがあって初めて利用可能となります。

コンソールにスキャンテンプレート設定パネルが表示されます。すべての属性フィールドは空欄になっています。

微調整：何を取り入れ/取り下げるか？

スキャンパフォーマンス微調整のためのテンプレート設定には試行錯誤がつきものであり、初めは予期せぬ結果が出る場合があります。これらは、ネットワークトポロジー、アセット目録、組織のスケジュールおよびビジネス慣行を把握することで、ある程度回避できます。また、常にバランスを念頭に置いてください。例えば、バックアップ作業が進行中であると知っていながら、同時スキャンタスクを急激に増やしてはいけません。使用量の急増は帯域幅に影響を与えます。

設定を変更する前に、またはテンプレートをゼロからカスタマイズする前に、内蔵スキャンテンプレートおよびそれらの仕組みを熟知しておきましょう。  スキャンテンプレートをご参照ください。

デフォルトおよびカスタム認証資格情報（credentials）チェック

多くの製品で、インストール時にデフォルトのログインユーザーIDおよびパスワードが提供されます。Oracleは、160を超えるデフォルトユーザーIDを利用して出荷しています。Windowsユーザーは、システム内のゲストアカウントを無効にできない場合があります。スキャンテンプレート作成時にデフォルトのアカウント脆弱性チェックのタイプを無効化しない場合、本アプリケーションはこれらの項目についてチェックを実行可能です。脆弱性チェックタイプ有効化/無効化の情報については、脆弱性のチェック設定のステップを設定するをご参照ください。

本アプリケーションは、以下のプロトコルを使用するデータベース、アプリケーション、オペレーティング・システム、およびネットワークハードウェアに対してチェックを実行します：

• CVS
• Sybase
• AS/400
• DB2
• SSH
• Oracle
• Telnet
• CIFS (Windows File Sharing)
• FTP
• POP
• HTTP
• SNMP
• SQL/Server
• SMTP

ログオン用のユーザーIDとパスワードを指定するには、サイト設定中に適切な認証資格情報（credentials）を入力しなければなりません。スキャン認証資格情報（credentials）を設定をご参照ください。特定のアセットについて認証試行の制限が選択されていない場合、本アプリケーションはすべてのアセット上のこれらの認証資格情報（credentials）を使用しようと試みます。特定のサービスが選択されていない場合、全サービスにアクセスするため提供された認証資格情報（credentials）を利用しようと試みます。

新規カスタムスキャンテンプレートを開始する

新規スキャンテンプレートをゼロから作成する場合、以下のステップから開始します：

1. 管理 ページで、スキャンテンプレート の 作成 リンクをクリックします。
   または
   サイト設定のスキャンテンプレートを参照するウィンドウが表示中である場合、作成をクリックします。
2. スキャンテンプレート設定：一般ページで、新規テンプレートの名前および説明を入力します。
3. 希望に応じて、その他のテンプレート設定を設定します。スキャンテンプレートの設定が終了したら、保存をクリックします。

希望のスキャンのタイプを選択します。

すべての利用可能なスキャンのタイプを含むよう、テンプレートを設定可能です。または、スキャンの範囲を制限してリソースを特定のセキュリティニーズに集中させることができます。希望のスキャンのタイプを選択するには、以下のステップを行います。

1. スキャンテンプレート設定：一般ページに移動します。
2. 以下のオプションから1つ以上を選択します：

• アセットの発見：アセットの発見はスキャンごとに起こりますので、このオプションは常に選択されます。アセットの発見のみを選択する場合、テンプレートに脆弱性チェックまたはポリシーチェックは含まれません。デフォルトではすべてのオプションが選択されていますので、アセットの発見のみを選択する場合は、その他のオプションチェックボックスのチェックを外す必要があります。
• 脆弱性：スキャンに脆弱性のチェックを含めることを希望する場合、本オプションを選択します。特定のチェックを選択または除外するには、設定パネルの左ナビゲーション・ペインの脆弱性のチェックリンクをクリックします。脆弱性のチェック設定のステップを設定するをご参照ください。
• ウェブスパイダー：ウェブスパイダーのプロセス中に実行されるチェックをスキャンに含める場合、本オプションを選択します。ウェブスパイダー型チェックのみを実行する場合、設定パネルの左ナビゲーション・ペイン内の脆弱性のチェックリンクをクリックして、非ウェブスパイダー型チェックを無効化する必要があります。脆弱性のチェック設定のステップを設定するをご参照ください。ウェブスパイダーを選択するには、まず脆弱性オプションを選択しなければなりません。
• ポリシー：ポリシー・マネージャーを含むポリシーチェックをスキャンに含める場合、本オプションを選択します。ポリシーによっては、個別のチェックを選択してその他の設定を設定する必要があります。ポリシー・マネージャーのチェックを選択する、規格ポリシーの検証を設定する、および設定アセスメントを実行するをご参照ください。

3. 希望に応じて、その他のテンプレート設定を設定します。スキャンテンプレートの設定が終了したら、保存をクリックします。

同時スキャンタスクによるパフォーマンスの調整

同時に進行するスキャンのプロセス/タスクの数を調整することにより、スキャンパフォーマンスの改善が可能です。

ポート数が過度に多いホストに対して同時スキャンプロセスの数を増やすことで、スキャン時間を削減可能です。「tar pits」または非常に多数のポート（60,000以上）がオープンであるターゲットを持つスキャン環境においては、複数ホストを同時にスキャンすることで、タイムアウトなしでスキャンをより迅速に完了可能です。

別の例として、単一アセット上での複数スキャンプロセスの実行がスキャンテンプレートにより許可されている場合は、プロトコルフィンガープリントおよび特定の脆弱性のチェックのパフォーマンスが向上します。これは、当該スキャンがより迅速に完了するという意味です。

注意: プロトコルフィンガープリントが1時間を超える場合は停止され、スキャンログにタイムアウトとしてレポートされます。

これらの設定はスキャンテンプレート内で設定可能です：

• 複数のホストを同時にスキャン
• 1アセット上で複数のスキャンプロセスを実行

これらの設定にアクセスするには、スキャンテンプレート設定パネルの一般タブをクリックします。当該設定は、一般ページ下部に表示されます。いずれかのデフォルト設定の値を変更するには、対応するテキストボックスに別の値を入力します。

同時スキャンプロセスのスキャンテンプレート設定

内蔵スキャンテンプレートについては、デフォルト値はスキャンテンプレートにより異なります。例えば発見スキャン（積極的テンプレート）では、スキャン・エンジン1つあたり同時にスキャンするホストのデフォルト数は25です。この設定は、ほとんどの内蔵テンプレートより高いものです。なぜなら、より高速なネットワークのために設計されているからです。

各ホストに対する同時スキャンプロセスの数を、環境内のオープンポートのホストあたり平均数にマッチするよう設定することで、スキャンのパフォーマンスを最適化可能です。

各ホストに対する同時スキャンプロセスを、環境内のあらゆるホスト上のオープンポート数のうち最も高いものにマッチさせるよう設定すると、スキャンのパフォーマンスをより最適化することが可能ですが、スキャン・エンジン・リソースの利用が非効率的になります。

リソース留意事項

多数のアセットを同時にスキャンすると、メモリに負担がかかる場合があります。メモリに短期的な問題が生じた場合には、数を減らすことを検討してください。一般ルールとして、ホストの同時スキャンの設定はスキャン・エンジン上の4GBにつき10以下にします。

ポリシースキャンまたはウェブスパイダーといった特定のスキャン操作は、ホストあたりのメモリをより多く消費します。そのような操作を有効化する場合は、並行スキャンされるホストの数を減らして補う必要があります。