Imposta ed esegui una scansione

Prima di iniziare

  • Verifica che il sensore che vuoi usare sia stato installato, attivato e avviato
  • Verifica di soddisfare tutti i requisiti di rete
  • Verifica di soddisfare tutti i requisiti di utilizzo
  • Devi essere un amministratore o un manager nell'account CertCentral

Consulta Flusso di lavoro Discovery e autorizzazioni e Requisiti di installazione sensore.

Raccogli le informazioni necessarie

Inoltre, vorrai raccogliere alcune informazioni:

  • Il nome del sensore da usare per la scansione
  • La divisione a cui è assegnato il sensore (se usi le divisioni nel tuo account)
  • Le porte che vuoi usare per eseguire la scansione della rete
  • Gli FQDN e gli indirizzi IP che vuoi includere nella scansione
  • Scopri se utilizzi l’Indicazione nome server (SNI) per servire più domini da un solo indirizzo IP*

Imposta ed esegui la scansione

  1. Nel tuo account CertCentral, nel menu della barra laterale, fai clic su Discovery > Gestisci Discovery.

  1. Nella pagina Gestisci scansione, fai clic su Aggiungi scansione.

  1. Imposta la tua scansione

    Nella pagina Aggiungi scansione, sotto Imposta scansione, fornisci le informazioni di scansione necessarie.

    1. Nome scansione
      Assegna un nome alla tua scansione in modo da poterla facilmente identificare (i nomi diventano più importanti quando hai più scansioni).
    2. Divisione
      Scegli la divisione con il sensore che vuoi usare per la scansione.
      Durante l’installazione, assegna il sensore ad una divisione. Nell’elenco a discesa Sensore, puoi vedere solo i sensori assegnati alla divisione selezionata.
      Nota: Se non utilizzi delle divisioni nel tuo account, vedrai il nome della tua organizzazione.
    3. Porte
      Specifica le porte che vuoi usare per eseguire la scansione della rete per i certificati SSL/TLS.
      Usa Tutto per includere tutte le porte in un intervallo specificato
      Usa Predefinito per includere le porte comunemente usate per i certificati SSL/TLS: 80, 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. Abilita SNI*
      Utilizzi l’Indicazione nome server (SNI) per servire più domini da un solo indirizzo IP? Seleziona questa casella per abilitare la scansione SNI per la scansione (limite di max 10 porte per server).
      Nota: Una scansione SNI non può avere delle informazioni IP come parte dei risultati.
    5. Sensore
      Scegli il sensore che vuoi usare per la scansione. Nell’elenco a discesa, puoi vedere solo i sensori assegnati alla divisione divisione selezionata nel menu a discesa Divisione.
      Nota: Se non utilizzi delle divisioni nel tuo account, vedrai i sensori assegnati alla tua organizzazione.
    6. FQDN / IP per scansione
      Includi gli FQDN e gli indirizzi IP:

      Inserisci gli FQDN e gli indirizzi IP che vuoi includere nella scansione e fai clic su Includi. Puoi includere indirizzi IP singoli (10.0.0.1), un intervallo di indirizzi IP (10.0.0.1-10.0.0.255) o un intervallo IP in formato CIDR (10.0.0.0/24).
      Escludi FQDN e indirizzi IP:
      Inserisci l’indirizzo IP che vuoi escludere da un intervallo di indirizzi IP e fai clic su Escludi. Puoi escludere un singolo indirizzo IP (10.0.0.1), un intervallo di indirizzi IP (10.0.0.1-10.0.0.255) o un intervallo IP in formato CIDR (10.0.0.0/24).
    7. Al termine, fai clic su Avanti.
  1. Quando eseguire la scansione

    Configura la tua scansione per eseguirla adesso o per programmarla.

    Per impostare un limite per la durata con cui una scansione non completata deve essere eseguita prima che si arresti, seleziona Il tempo di arresto scansione viene superato e seleziona un tempo di esecuzione massimo.

  1. Impostazioni: Opzioni scansione

    La scansione ottimizzata fornisce un certificato SSL/TLS base e le informazioni server insieme a tutti i problemi critici del server TLS/SSL rilevati. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 e POODLE[TLS]).

    Scegli cosa sottoporre a scansione

    Per personalizzare le informazioni incluse nei tuoi risultati di scansione, seleziona Scegli cosa sottoporre a scansione. Dopodiché, personalizza la scansione in base alle tue esigenze. Ad esempio, se vuoi specificare quali problemi del server TLS/SSL sono sottoposti a scansione, come POODLE (TLS) o BEAST, seleziona Scegli quali problemi del server TLS/SSL sottoporre a scansione.

L’aggiunta di altre opzioni di scansione aumenta l’impatto della scansione sulle risorse di rete nonché su quanto tempo viene impiegato per il suo completamento.

  1. Impostazioni avanzate: Performance scansione

    Usa le opzioni Performance scansione per configurare la velocità con cui viene completata la scansione o per limitare l’impatto della scansione sulle risorse di rete.

    • Scansioni aggressive
      Hanno un impatto maggiore sulle risorse di rete. Invia molti pacchetti di scansione alla rete. Discovery definisce quanti pacchetti vengono inviati per evitare l’invio di un numero imprevisto di pacchetti.
      Nota: L’uso dell’impostazione aggressiva può attivare falsi allarmi sul Sistema di rilevamento intrusioni (IDS) o sul sistema di prevenzione delle intrusioni (IPS).
    • Rallenta scansioni
      Limita l’impatto della scansione sulle risorse di rete e riduci il numero di falsi allarmi IDS o IPS. Invia qualche pacchetto di scansione alla volta e attende una risposta prima di inviare più pacchetti.
  1. Impostazioni avanzate: Altre impostazioni

    Riduci gli allarmi firewall limitando i controlli del server TLS/SSL

    Usa questa opzione con la consapevolezza che può limitare l’efficacia della tua scansione, poiché può generare problemi del server TLS/SSL saltati.

    Per identificare i problemi del server TLS/SSL (ad esempio Heartbleed), le scansioni talvolta emulano un problema del server TLS/SSL per verificare che il server sia sicuro. Tali emulazioni potrebbero attivare falsi allarmi firewall sulla rete. Per evitare tali allarmi, puoi limitare i controlli del server TLS/SSL.

    Specifica le porte da sottoporre a scansione per verificare la disponibilità host

    Le porte che specifichi qui vengono usate solo per verificare la disponibilità host.

    La prima fase del processo di scansione effettua il ping dell’host per verificarne la disponibilità.
    Se i ping dell’Internet Control Message Protocol (ICMP) sono disabilitati su un host, usa questa impostazione per specificare le porte che possono essere sottoposte a scansione per verificare la disponibilità host. Meno porte vengono specificate, più veloce sarà la scansione.

  1. Salva e programma/Salva ed esegui

    Al termine, salva la scansione.

    • Se la esegui adesso, fai clic su Salva ed esegui.
    • Se hai programmato la scansione, fai clic su Salva e programma.

Passaggi successivi

La tua scansione sarà eseguita adesso o in base alla programmazione. Il tempo di completamento scansione dipende dalla dimensione della rete e dalle impostazioni di performance scansione selezionate durante la configurazione.

Se una scansione attiva un falso allarme nei sistemi di rilevamento intrusioni (IDS) o nei sistemi di prevenzione delle intrusioni (IPS), accertati di aggiungere le scansioni all’elenco degli elementi consentiti nelle tue utility IDS/IPS. Inoltre, configura la tua scansione per eseguirla Lenta. Le scansioni più lente hanno meno probabilità di attivare falsi allarmi. Potresti dover aggiungere il sensore all’elenco degli elementi consentiti dal tuo firewall per consentire la comunicazione con digicert.com.

Per gestire le scansioni, vai nella pagina Scansione (nel menu della barra laterale, fai clic su Discovery > Gestisci Discovery).

Per visualizzare i dettagli della scansione o modificare le impostazioni scansione, vai nella pagina dei dettagli della scansione (nella pagina Scansioni, fai clic sul link del nome scansione).

  • Nelle schede Posizione Discovery e Impostazioni scansione, visualizza o modifica le impostazioni di scansione.
  • Nella scheda Attività di scansione, visualizza i dettagli delle scansioni attuali e passate come l’ora di inizio, la durata, lo stato della scansione e le azioni.