[スキャンの開始元イベント(Scan Which Address(es) From Event?)]
|
Nmap スキャンを相関ルールに対する応答として使用する場合、イベント内の送信元ホスト、宛先ホスト、またはその両方のどのアドレスをスキャンするのか制御する次のいずれかのオプションを選択します。
-
[送信元アドレスと宛先アドレスのスキャン(Scan Source and Destination Addresses)] は、イベントの送信元 IP アドレスと宛先 IP アドレスによって表されるホストをスキャンします。
-
[送信元アドレスのみのスキャン(Scan Source Address Only)] は、イベントの送信元 IP アドレスによって表されるホストをスキャンします。
-
[宛先アドレスのみのスキャン(Scan Destination Address Only)] は、イベントの宛先 IP アドレスによって表されるホストをスキャンします。
|
該当なし
|
[スキャン タイプ(Scan Types)]
|
Nmap がポートをスキャンする方法を選択します。
-
[TCP 同期(TCP Syn)] スキャンは、完全な TCP ハンドシェイクを使用せずに数千のポートにただちに接続します。このオプションを使用すると、TCP 接続が開始されますが完了はしていない状態で、admin アカウントが raw パケット アクセス権を持つホストや IPv6 が実行されていないホスト上でステルス モードでクイック スキャンできます。ホストが TCP Syn スキャンで送信される Syn パケットを確認応答すると、Nmap は接続をリセットします。
-
[TCP 接続(TCP Connect)] スキャンは、connect() システム コールを使用して、ホスト上のオペレーティング システムを介して接続を開きます。TCP Connect スキャンは、Firepower Management Center 上の admin ユーザや管理対象デバイスがホストに対する raw パケット特権を持っていない場合や、IPv6 ネットワークをスキャンしている場合に使用できます。つまり、このオプションは TCP Syn スキャンを使用できない状況で使用します。
-
[TCP ACK] スキャンは、ACK パケットを送信して、ポートがフィルタ処理されているかいないかを検査します。
-
[TCP ウィンドウ(TCP Window)] スキャンは、TCP ACK スキャンと同じ機能に加えて、ポートが開いているか閉じているかも判別します。
-
[TCP Maimon] スキャンは、FIN/ACK プローブを使用して BSD 派生システムを識別します。
|
TCP Syn:-sS
TCP Connect:-sT
TCP ACK:-sA
TCP Window:-sW
TCP Maimon:-sM
|
[UDP ポートのスキャン(Scan for UDP ports)]
|
TCP ポートに加えて UDP ポートのスキャンも有効にします。UDP ポートのスキャンには時間がかかることがあるので、クイック スキャンする場合はこのオプションを使用しないように注意してください。
|
-sU
|
[イベントからのポートの使用(Use Port From Event)]
|
相関ポリシー内で応答として修復を使用する計画の場合に、修復によるスキャンの対象として、相関応答をトリガーするイベントで指定されたポートのみを有効にします。
-
相関イベント内のポートをスキャンし、Nmap 修復構成中に指定するポートをスキャンしない場合は、[オン(On)] を選択します。相関イベント内のポートをスキャンする場合は、Nmap 修復構成中に指定する IP アドレス上のポートが修復によりスキャンされることに注意してください。これらのポートも修復の動的スキャンのターゲットに追加されます。
-
Nmap 修復構成中に指定するポートのみスキャンするには、[オフ(Off)] を選択します。
Nmap がオペレーティング システムやサーバに関する情報を収集するかどうかも制御できます。新しいサーバに関連付けられたポートをスキャンするには、[イベントからのポートの使用(Use Port From Event)] オプションを有効にします。
|
該当なし
|
[レポート検出エンジンからのスキャン(Scan from reporting detection engine)]
|
ホストを報告した検出エンジンがあるアプライアンスからホストへのスキャンを有効にします。
|
該当なし
|
[高速ポート スキャン(Fast Port Scan)]
|
スキャン元デバイス上の /var/sf/nmap/share/nmap/nmap-services ディレクトリ内にある nmap-services ファイルにリストされている TCP ポートのみに対するスキャンを有効にし、その他のポート設定を無視できるようにします。このオプションと [ポート範囲とスキャンの順序(Port Ranges and Scan Order)] オプションを併用できないことに注意してください。
|
-F
|
[ポート範囲とスキャンの順序(Port Ranges and Scan Order)]
|
Nmap ポート仕様シンタックスを使用して、スキャンする特定のポートを設定し、スキャンする順序も設定します。このオプションと [高速ポート スキャン(Fast Port Scan)] オプションを併用できないことに注意してください。
|
-p
|
[オープン ポートでベンダーとベンダー情報を調査(Probe open ports for vendor and version information)]
|
サーバ ベンダーとバージョン情報の検出を有効にします。オープン ポートでサーバ ベンダーとバージョン情報を調査する場合、Nmap はサーバの識別に使用するサーバ データを取得します。次に、シスコのサーバ データをそのサーバに置き換えます。
|
-sV
|
[サービス バージョンの強度(Service Version Intensity)]
|
サービス バージョンに対する Nmap プローブの強度を選択します。
|
--version-intensity <intensity>
|
[オペレーティング システムの検出(Detect Operating System)]
|
ホストのオペレーティング システム情報の検出を有効にします。
ホストでのオペレーティング システムの検出を設定した場合、Nmap はホストをスキャンし、その結果を使用してオペレーティング システムごとに評価を作成します。この評価は、ホスト上でそのオペレーティング システムが実行されている可能性を反映します。
|
-o
|
[すべてのホストをオンラインとして処理(Treat All Hosts As Online)]
|
ホスト ディスカバリ プロセスを省略し、ターゲット範囲内のすべてのホスト上でのポート スキャンを有効にします。このオプションを有効にすると、Nmap は [ホスト ディスカバリ方式(Host Discovery Method)] と [ホスト ディスカバリポート リスト(Host Discovery Port List)] の設定を無視するので注意してください。
-
ホスト ディスカバリ プロセスを省略し、ターゲット範囲内のすべてのホスト上でのポート スキャンを実行するには、[オン(On)] を選択します。
-
[ホスト ディスカバリ方式(Host Discovery Method)] と [ホスト ディスカバリ ポート リスト(Host Discovery Port List)] の設定を使用してホスト ディスカバリを実行し、使用不能なホスト上でのポート スキャンを省略するには、[オフ(Off)] を選択します。
|
-PN
|
[ホスト ディスカバリ方式(Host Discovery Method)]
|
ホスト ディスカバリを、ターゲット範囲内のすべてのホストに対して実行するか、[ホスト ディスカバリ ポート リスト(Host Discovery Port List)] にリストされているポートを経由して実行するか、または、ポートがリストされていない場合にそのホスト ディスカバリ方式のデフォルト ポートを経由するかを選択します。
ここで、[すべてのホストをオンラインとして処理(Treat All Hosts As Online)] も有効にすると、[ホスト ディスカバリ方式(Host Discovery Method)] オプションは無効になり、ホスト ディスカバリが実行されないことに注意してください。
ホストが存在していて利用可能であるかどうかを Nmap がテストする際に使用する方式を以下から選択します。
-
[TCP SYN] オプションは、SYN フラグが設定された空の TCP パケットを送信し、応答を受信するとホストが利用可能であると認識します。デフォルトでは TCP SYN はポート 80 をスキャンします。TCP SYN スキャンは、ステートフル ファイアウォール
ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
-
[TCP ACK] オプションは、ACK フラグが設定された空の TCP パケットを送信し、応答を受信するとホストが利用可能であると認識します。デフォルトでは TCP ACK もポート 80 をスキャンします。TCP ACK スキャンは、ステートレス ファイアウォール
ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
-
[UDP] オプションは、UDP パケットを送信し、クローズ ポートからポート到達不能応答が戻されるとホストが利用可能であると想定します。デフォルトでは UDP はポート 40125 をスキャンします。
|
TCP SYN:-PS
TCP ACK:-PA
UDP:-PU
|
[ホスト ディスカバリ ポート リスト(Host Discovery Port List)]
|
ホスト ディスカバリの実行時にスキャンするポートを、カスタマイズしたカンマ区切りリストで指定します。
|
ホスト ディスカバリ方式に応じたポート リスト
|
[デフォルト NSE スクリプト(Default NSE Scripts)]
|
ホスト ディスカバリを行い、サーバ、オペレーティング システム、脆弱性を検出する Nmap スクリプトのデフォルト セットを実行できるようにします。デフォルト スクリプトのリストについては、https://nmap.org/nsedoc/categories/default.html を参照してください。
|
-sC
|
[タイミング テンプレート(Timing Template)]
|
スキャン プロセスのタイミングを選択します。選択する数値が大きいほど、スキャンは高速になり包括的ではなくなります。
|
0:T0 (paranoid)
1:T1 (sneaky)
2:T2 (polite)
3:T3 (normal)
4:T4 (aggressive)
5:T5 (insane)
|