Configurer et exécuter une analyse
Avant de commencer
Vérifiez si le capteur à utiliser est bien installé, activé et démarré.
Vérifiez que votre réseau répond à toutes les exigences.
Vérifiez que vous répondez à toutes les exigences de déploiement.
Des privilèges d'administrateur ou de gestionnaire sont requis.
Consultez Workflow et autorisations Discovery et Exigences d'installation d'un capteur.
Recueillir les informations nécessaires
Le nom du capteur que vous voulez utiliser.
La division à laquelle le capteur est affecté (si vous utilisez des divisions dans votre compte).
Les ports que vous souhaitez utiliser pour analyser votre réseau.
Les FQDN et adresses IP que vous souhaitez inclure dans l’analyse.
Si vous utilisez l’indication du nom de serveur (Server Name Indication, SNI) pour desservir plusieurs domaines à partir d’une seule adresse IP.
Configurer et exécuter une analyse
Dans votre compte CertCentral, depuis le menu latéral, sélectionnez Discovery > Manage Discovery (Discovery > Gérer Discovery).
Sur la page Manage Scan (Gérer les analyses), sélectionnez Add scan (Ajouter une analyse).
Configurez votre analyse.
Sur la page Add a scan (Ajouter une analyse), dans la section Create a scan (Créer une analyse), fournissez les informations nécessaires à l’analyse :
Nom de l’analyse
Attribuez un nom à votre analyse de sorte que vous puissiez facilement l’identifier (cela devient d’autant plus important lorsque vous effectuez plusieurs analyses).
Division
Choisissez la division associée au capteur à utiliser pour l’analyse.
Vous affectez un capteur à une division au cours de l’installation. Vous ne pouvez voir que les capteurs affectés à la division sélectionnée.
Note
Vous verrez le nom de l’organisation sur le compte n’utilise pas de divisions.
Ports
Indiquez les ports que vous souhaitez utiliser pour analyser votre réseau à la recherche de certificats SSL/TLS.
Utilisez All (Tous) pour inclure tous les ports d'une plage spécifiée.
Utilisez Default (par défaut) pour inclure les ports habituellement utilisés pour les certificats SSL/TLS : 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
Activer SNI (facultatif)
Si vous utilisez l'indication de nom de serveur (SNI) pour servir plusieurs domaines à partir d'une seule adresse IP, activez l’analyse SNI pour votre analyse (limité à 10 ports maximum par serveur).
Note
Une analyse SNI peut ne pas renvoyer d’informations sur les adresses IP dans ses résultats.
Capteur
Choisissez le capteur à utiliser pour l’analyse. Vous ne pouvez voir que les capteurs affectés à la division sélectionnée.
Note
Vous verrez le nom de l’organisation sur le compte n’utilise pas de divisions.
IP/FQDN à analyser
Inclure des FQDN et des adresses IP :
Saisissez les FQDN et les adresses IP que vous souhaitez inclure dans l’analyse et cliquez sur Include (Inclure). Vous pouvez exclure des adresses IP individuelles (10.0.0.1), une plage d’adresses IP (10.0.0.1-10.0.0.255), ou une plage IP au format CIDR (10.0.0.0/24).
Exclure des FQDN et des adresses IP :
Saisissez les adresses IP que vous souhaitez exclure d’une plage et cliquez sur Exclude (Exclure). Vous pouvez exclure une adresse IP individuelle (10.0.0.1), une plage d’adresses IP (10.0.0.1-10.0.0.255), ou une plage IP au format CIDR (10.0.0.0/24).
Dans la liste d'analyse, recherchez les domaines et sous-domaines que vous souhaitez inclure ou exclure de l'analyse. Puis, choisissez le lien approprié dans la colonne Actions.
Inclure tous les sous-domaines – Inclut tous les sous-domaines du domaine analysé.
Exclure tous les sous-domaines – Exclut tous les sous-domaines du domaine analysé.
Ajouter des sous-domaines ou Modifier des sous-domaines – Choisir parmi les sous-domaines disponibles ceux que vous souhaitez inclure ou exclure de l’analyse.
Supprimer – Supprime les IP/FQDN de la liste d'analyse.
Lorsque vous avez terminé, cliquez sur Next (Suivant).
Note
Remarques concernant l'utilisation des sous-domaines :
Vous pouvez toujours ajouter des sous-domaines de n'importe quel niveau à une analyse.
Le système n'affiche qu'un seul sous-domaine qui se trouve à un niveau inférieur à celui du domaine.
Seuls les sous-domaines répertoriés publiquement sont disponibles pour la sélection. Par exemple, vous ne pouvez ajouter à l'analyse que les sous-domaines disponibles sur le serveur DNS public ou enregistrés dans le CT.
Quand analyser
Vous pouvez configurer votre analyse de sorte qu’elle s’exécute maintenant ou la programmer.
Pour définir une limite de durée d’exécution pour l’analyse, sélectionnez Stop of scan time exceeds (Arrêter l’analyse en cas de dépassement du délai d’exécution).
Paramètres : Options d'analyse
L’analyse optimisée fournit des informations sur les certificats SSL/TLS de base, sur les serveurs, ainsi que sur les problèmes de serveur TLS/SSL critiques détectés. (Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), Cross-site scripting, injection SQL, cross-domain policy, et CSRF).
Choisissez les informations à analyser
Personnalisez les informations incluses dans les résultats de votre analyse.
Rechercher les suites de chiffrement configurées : Découvrez les suites de chiffrement et les protocoles TLS/SSL configurés sur votre serveur pour établir une communication client-serveur sécurisée pendant l’établissement de la liaison TLS/SSL.
Activer SSLv2, SSLv3, TLSv1.0 et TLSv1.1 : Activez ces protocoles TLS/SSL disponibles pour une utilisation dans l'établissement de la liaison.
Mettre à jour les adresses IP des hôtes à chaque analyse : Mettez à jour les adresses IP de l'hôte à chaque analyse si les adresses IP de l'hôte changent fréquemment.
Vous pouvez également sélectionner les options OS et Application serveur pour obtenir des informations actualisées sur :
Système d'exploitation
Type de serveur
Application serveur
Version de l'application
Autoriser clé SSH discovery Découvrez les clés SSH configurées sur votre serveur. L'analyse identifie les empreintes de clés SSH, les algorithmes et les méthodes d'authentification des clés SSH configurées pour votre serveur sur le port SSH activé (port 22 par défaut).
Pour de plus amples informations sur les clés SSH, rendez-vous sur Clés d'SSH.
Analyser uniquement à la recherche de problèmes de serveur TLS/SSL critiques (plus rapide) Découvrez uniquement les problèmes critiques des serveurs TLS/SSL tels que Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), Anti-script de site à site, injection de code SQL, stratégie inter-domaines, et CSRF.
Sélectionner quels problèmes de serveur TLS/SSL rechercher : Personnalisez votre analyse en spécifiant les problèmes de serveur TLS/SSL (critiques et/ou non critiques) que vous souhaitez analyser, tels que POODLE, BEAST, SWEET32, etc.
Note
L'ajout d'options d'analyse supplémentaires augmente le poids de l'analyse sur les ressources du réseau, ce qui se traduit par une durée d'analyse plus longue.
Paramètres avancés : Performances d'analyse
Utilisez les options de performance d'analyse ci-dessous pour configurer la rapidité de l'analyse ou pour limiter l'impact des analyses sur les ressources du réseau :
Les analyses agressives occupent davantage de ressources réseau et envoient de grandes quantités de paquets d'analyse sur le réseau. Discovery limite le nombre de paquets envoyés pour empêcher l’envoi d’un nombre de paquets imprévu.
Note
L’option d’analyse agressive peut déclencher de fausses alertes dans les systèmes de détection d’intrusion (SDI) ou les systèmes de prévention d’intrusion (SPI).
Les analyses lentes limite l’impact de l’analyse sur les ressources réseau et réduit le nombre de fausses alertes des systèmes SDI et SPI. Elles envoient moins de paquets d’analyse à la fois et attendent de recevoir une réponse avant d’envoyer d’autres paquets.
Paramètres avancés : Ajouter des balises à l’analyse
Servez-vous de cette option pour ajouter des balises à votre analyse. Les balises s'appliquent à tous les certificats trouvés lors de l'analyse du réseau. Servez-vous de cette option pour identifier et gérer les certificats configurés sur votre réseau ou sur tout autre réseau que vous gérez.
Paramètres avancés : Plus de paramètres
Réduire les alertes des pare-feu en limitant les vérifications serveur TLS/SSL
Utilisez cette option en tenant compte du fait qu’elle peut limiter l’efficacité de votre analyse en omettant de détecter des problèmes de serveur TLS/SSL.
Pour identifier les problèmes de serveur TLS/SSL (par exemple, Heartbleed), les analyses peuvent parfois émuler un problème de serveur TLS/SSL pour vérifier si ce serveur est sécurisé ou non. De telles émulations déclenchent de fausses alertes de pare-feu sur votre réseau. Pour les éviter, vous pouvez limiter les contrôles de serveur TLS/SSL.
Indiquez les ports à analyser pour vérifier la disponibilité de l’hôte
Les ports que vous spécifiez ici ne sont utilisés que pour vérifier leur disponibilité.
La première étape d'un processus d'analyse consiste à pinger l'hôte pour vérifier qu'il est disponible.
Si les tests Ping basés sur le protocole ICMP (Internet Control Message Protocol) sont désactivés sur un hôte, sélectionnez cette option pour spécifier les ports à analyser pour vérifier la disponibilité de l’hôte. Moins vous spécifiez de ports et plus l’analyse est rapide.
Activer le débogage des ports
Utilisez cette option pour consigner et récolter les données concernant les ports fermés et protégés par le pare-feu.
Enregistrer et programmer ou Enregistrer et exécuter
Lorsque vous avez terminé, vous devez enregistrer votre analyse.
Si vous l’exécutez maintenant, sélectionnez Save and run (Enregistrer et exécuter).
Si vous souhaitez l’exécuter plus tard, sélectionnez Save and schedule (Enregistrer et programmer).
Et ensuite ?
Votre analyse va s’exécuter maintenant ou au moment que vous avez programmé. Le délai d’exécution de l’analyse dépend de la taille du réseau et des paramètres de performance sélectionnés lors de la configuration de l’analyse.
Important
Si une analyse déclenche une fausse alerte dans les système de détection d’intrusion (SDI) ou de prévention d’intrusion (SPI), assurez-vous de placer les analyses sur liste blanche dans vos utilitaires SDI/SPI.
Les analyses lentes sont moins susceptibles de déclencher de fausses alertes. Vous devrez peut-être aussi placer sur liste blanche le capteur de votre pare-feu pour permettre les communications avec digicert.com.
Pour gérer vos analyses, accédez à la page Manage scans (Gérer les analyses) en cliquant sur Discovery > Manage Discovery (Discovery > Gérer Discovery) depuis le menu latéral.
Pour afficher les détails de l’analyse ou en modifier les paramètres, accédez à la page des détails de l’analyse [sur la page Manage scans (Gérer les analyses), cliquez sur le nom de l’analyse].
Sur les onglets Discovery location (Emplacement Discovery) et Scan settings (Paramètres de l’analyse), affichez ou modifiez les paramètres de l’analyse.
Sur l’onglet Scan activity (Activités d’analyse), vous pouvez afficher les détails des analyses passées et futures tels que l’heure de début, la durée, le statut et les actions.
Pour afficher les détails des certificats analysés, sélectionnez View certificates (Afficher les certificats).
Pour obtenir des informations sur les ports bloqués et fermés, sélectionnez Download debug report (Télécharger le rapport de débogage).
Pour afficher les détails des clés découvertes, sélectionnez View keys (Afficher les clés).