Configurer et exécuter une analyse

Avant de commencer

  • Vérifiez si le capteur à utiliser a bien été installé, activé et démarré.
  • Vérifiez que toutes les exigences réseau sont remplies.
  • Vérifiez que toutes les exigences de déploiement sont remplies.
  • Vous devez disposer du rôle administrateur ou gestionnaire dans le compte CertCentral.

Consultez les pages Workflows Discovery et autorisations et Exigences d’installation d’un capteur.

Recueillir les informations nécessaires

Outre les actions ci-dessus, vous souhaiterez recueillir les informations suivantes :

  • Le nom du capteur à utiliser pour l’analyse
  • La division à laquelle le capteur est affecté (si vous utilisez des divisions dans votre compte)
  • Les ports que vous souhaitez utiliser pour analyser votre réseau
  • Les FQDN et adresses IP que vous souhaitez inclure dans l’analyse
  • Si vous utilisez l’indication du nom de serveur (Server Name Indication, SNI) pour desservir plusieurs domaines à partir d’une seule adresse IP*

Configurer et exécuter une analyse

  1. Dans votre compte CertCentral, depuis le menu latéral, cliquez sur Discovery > Manage Discovery (Discovery > Gérer Discovery).

  1. Sur la page « Manage Scan » (Gérer les analyses), cliquez sur Add scan (Ajouter une analyse).

  1. Configurez votre analyse.

    Sur la page « Add a scan » (Ajouter une analyse), sous « Set up scan » (Configurer une analyse), fournissez les informations nécessaires à l’analyse.

    1. Scan name
      Attribuez un nom à votre analyse de sorte que vous puissiez facilement l’identifier (cela devient d’autant plus important lorsque vous effectuez plusieurs analyses).
    2. Division
      Choisissez la division avec le capteur à utiliser pour l’analyse.
      Lors de l’installation, vous avez affecté le capteur à une division. Dans le menu déroulant « Sensor » (Capteur), vous ne pouvez voir que les capteurs affectés à la division sélectionnée.
      Remarque : Si vous n’utilisez pas de divisions dans votre compte, le nom de votre organisation sera affiché.
    3. Ports
      Spécifiez les ports à utiliser pour l’analyse de votre réseau à la recherche de certificats SSL/TLS.
      Sélectionnez All (Tous) pour inclure tous les ports d’une plage spécifiée
      Sélectionnez Default (Par défaut) pour inclure les ports couramment utilisés pour rechercher les certificats SSL/TLS : 80, 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. Enable SNI*
      Vous utilisez l’indication du nom de serveur (Server Name Indication, SNI) pour desservir plusieurs domaines à partir d’une seule adresse IP* ? Cochez cette case pour activer l’analyse SNI (limitée à 10 ports maximum par serveur).
      Remarque : Une analyse SNI peut ne pas renvoyer d’informations sur les adresses IP dans ses résultats.
    5. Sensor
      Choisissez le capteur à utiliser pour l’analyse. Dans le menu déroulant, vous ne pouvez voir que les capteurs affectés à la division sélectionnée dans le menu déroulant Division.
      Remarque : Si vous n’utilisez pas de divisions dans votre compte, les capteurs affectés à votre organisation seront affichés.
    6. FQDNs / IP to scan
      Incluez les FQDN et adresses IP :

      Saisissez les FQDN et les adresses IP que vous souhaitez inclure dans l’analyse et cliquez sur Include (Inclure). Vous pouvez inclure des adresses IP individuelles (10.0.0.1), une plage d’adresses IP (10.0.0.1-10.0.0.255) ou une plage IP au format CIDR (10.0.0.0/24).
      Exclude FQDNs and IP addresses:
      Saisissez les adresses IP que vous souhaitez exclure d’une plage et cliquez sur Exclude « Exclure ». Vous pouvez exclure une adresse IP individuelle (10.0.0.1), une plage d’adresses IP (10.0.0.1-10.0.0.255), ou une plage IP au format CIDR (10.0.0.0/24).
    7. Lorsque vous avez terminé, cliquez sur Next (Suivant).
  1. Quand lancer l’analyse

    Vous pouvez configurer votre analyse de sorte qu’elle s’exécute maintenant ou la programmer.

    Pour définir une limite de durée d’exécution pour l’analyse, cochez Stop of scan time exceeds (Arrêter l’analyse en cas de dépassement du délai d’exécution).

  1. Paramètres : options d’analyse

    L’analyse optimisée fournit des informations sur les certificats SSL/TLS de base, sur les serveurs, ainsi que sur les problèmes de serveur TLS/SSL critiques détectés. (Heartbleed, Poodle [SSLv3], FREAK, Logjam, DROWN, RC4 et POODLE [TLS]).

    Choisissez les informations à analyser

    Pour personnaliser les informations incluses dans vos résultats d’analyse, sélectionnez Choose what to scan (Choisir les informations à analyser). Ensuite, personnalisez l’analyse en fonction de vos besoins. Par exemple, si vous souhaitez spécifier les problèmes de serveur TLS/SSL à rechercher, tels que POODLE (TLS) ou BEAST, sélectionnez Choose what TLS/SSL server issues to scan for (Choisir les problèmes de serveur TLS/SSL à rechercher).

L’ajout d’options d’analyse supplémentaires accroît l’impact de l’analyse sur les ressources réseau et la durée d’exécution.

  1. Paramètres avancés : performance d’analyse

    Configurez les options de performance d’analyse pour déterminer la durée d’exécution de l’analyse ou limiter son impact sur les ressources réseau.

    • Agressive scans
      Les analyses agressives ont un impact plus important sur les ressources réseau, car elles envoient un grand nombre de paquets d’analyse. Discovery limite le nombre de paquets envoyés pour empêcher l’envoi d’un nombre de paquets imprévu.
      Remarque : L’option d’analyse agressive peut déclencher de fausses alertes dans les systèmes de détection d’intrusion (SDI) ou les systèmes de prévention d’intrusion (SPI).
    • Slow Scans
      L’option d’analyse lente limite l’impact de l’analyse sur les ressources réseau et réduit le nombre de fausses alertes des systèmes SDI et SPI. Elle envoie moins de paquets d’analyse à la fois et attend de recevoir une réponse avant d’envoyer d’autres paquets.
  1. Paramètres avancés : autres paramètres

    Reduce firewall alarms by restricting TLS/SSL server checks

    Utilisez cette option en tenant compte du fait qu’elle peut limiter l’efficacité de votre analyse en omettant de détecter des problèmes de serveur TLS/SSL.

    Pour identifier les problèmes de serveur TLS/SSL (par exemple, Heartbleed), les analyses peuvent parfois émuler un problème de serveur TLS/SSL pour vérifier si ce serveur est sécurisé ou non. De telles émulations déclenchent de fausses alertes de pare-feu sur votre réseau. Pour les éviter, vous pouvez limiter les contrôles de serveur TLS/SSL.

    Specify ports to scan to verify host availability

    Les ports que vous spécifiez ici ne sont utilisés que pour vérifier leur disponibilité.

    La première étape du processus d’analyse consiste à effectuer un test Ping sur l’hôte afin de vérifier sa disponibilité.
    Si les tests Ping basés sur le protocole ICMP (Internet Control Message Protocol) sont désactivés sur un hôte, sélectionnez cette option pour spécifier les ports à analyser pour vérifier la disponibilité de l’hôte. Moins vous spécifiez de ports et plus l’analyse est rapide.

  1. Enregistrer et programmer ou Enregistrer et exécuter

    Lorsque vous avez terminé, vous devez enregistrer votre analyse.

    • Si vous l’exécutez maintenant, cliquez sur Save and run (Enregistrer et exécuter).
    • Si vous avez programmé l’analyse, cliquez sur Save and schedule (Enregistrer et programmer).

Et ensuite ?

Votre analyse va s’exécuter maintenant ou au moment que vous avez programmé. Le délai d’exécution de l’analyse dépend de la taille du réseau et des paramètres de performance sélectionnés lors de la configuration de l’analyse.

Si une analyse déclenche une fausse alerte dans les système de détection d’intrusion (SDI) ou de prévention d’intrusion (SPI), assurez-vous de placer les analyses sur liste blanche dans vos utilitaires SDI/SPI. Choisissez également de configurer votre analyse de sorte qu’elle s’exécute lentement. Les analyses lentes sont moins susceptibles de déclencher de fausses alertes. Vous devrez peut-être aussi placer sur liste blanche le capteur de votre pare-feu pour permettre les communications avec digicert.com.

Pour gérer vos analyses, accédez à la page Scan (Analyse) en cliquant sur Discovery > Manage Discovery (Discovery > Gérer Discovery) depuis le menu latéral.

Pour afficher les détails de l’analyse ou en modifier les paramètres, accédez à la page des détails de l’analyse (sur la page « Scans », cliquez sur le nom de l’analyse).

  • Sur les onglets Discovery location (Emplacement Discovery) et Scan settings (Paramètres de l’analyse), affichez ou modifiez les paramètres de l’analyse.
  • Sur l’onglet Scan activity (Activités d’analyse), vous pouvez afficher les détails des analyses passées et futures tels que l’heure de début, la durée, le statut et les actions.