スキャンを編集する

開始する前に

  • 編集するスキャン名がある
  • CertCentral アカウントで管理者またはマネージャになる

スキャンを編集する

  1. サイドバーメニューの CertCentral アカウントで、[Discovery] > [Discovery を管理する] の順でクリックします。

  1. [スキャンを管理する]ページで、編集するスキャンの [スキャン名] リンクをクリックします。

  1. Discovery 場所設定

    [Discovery 場所]タブの[スキャン名]ページで、必要に応じて、スキャン場所情報を更新します。

    1. スキャン名
      お使いのスキャンがすぐに特定できるように名前を付けます(名前は、複数のスキャンがある場合はより重要です)。
    2. 管理グループ
      スキャンに使用するセンサのある管理グループを選択します。インストール中、センサを管理グループに割り当てます。[センサ]ドロップダウンで、選択した管理グループに割り当てられたセンサのみを表示します。
      注意:お使いのアカウントで管理グループを使用していない場合は、組織名が表示されます。
    3. ポート
      SSL/TLS 証明書用にお使いのネットワークをスキャンするのに使用するポートを指定します。
      すべて を使用して、指定範囲にすべてのポートを含めます
      デフォルト を使用して、SSL/TLS 証明書に一般的に使用される以下のポートを含めます。80、443、389、636、22、143、110、465、8443、3389
    4. SNI* を有効にする
      センサ名表示 (SNI) を使用して、単一の IP アドレスから複数のドメインに対応しますか?このボックスにチェックを入れ、スキャン用に SNI スキャンを有効にします (サーバーにつき最大 10 ポートに制限).
      注意:SNI スキャンには、結果の一部として IP 情報がない場合があります。
    5. センサ
      スキャンに使用するセンサを選択します。ドロップダウンで、[管理グループ] ドロップダウンで選択した管理グループに割り当てられたッセンサのみを表示できます。
      注意:お使いのアカウントで管理グループを使用していない場合、組織に割り当てられたセンサが表示されます。
    6. スキャンする FQDN / IP
      FQDN と IP アドレスをを持ちます:
      スキャンに含める FQDN と IP アドレスを追加し、[含める]をクリックします。単一の IP アドレス (10.0.0.1)、IP アドレス範囲 (10.0.0.1~10.0.0.255)、または CIDR 形式の IP 範囲 (10.0.0.0/24) を含めることができます。
      FQDN と IP アドレスを除外する:
      IP アドレスの範囲から、除外する IP アドレスを入力し、[除外]をクリックします。単一の IP アドレス (10.0.0.1)、IP アドレス範囲 (10.0.0.1~10.0.0.255) または IP 範囲を CIDR 形式 (10.0.0.0/24) で除外することができます。
    7. IP アドレス、IP アドレスの範囲、FQDN をスキャンから削除する
      スキャンに含まれる IP/FQDN リストで、削除する IP アドレス、IP アドレスの範囲、または FQDN の[削除]アイコン(ゴミ箱)をクリックします。
    8. 終了した場合
      スキャンの編集を完了したら、[保存]をクリックします。次回スキャンを実行するとき、結果には変更内容が反映されます。
      スキャンの編集を続行するには、[次へ]をクリックしてください。
  1. スキャン設定

    [スキャン設定]タブの[スキャン名]ページで、必要に応じて、スキャン設定を更新します。

    1. スキャンする場合
      スキャンを構成し、今すぐ実行するか予約します。
      期間制限を設定するには、停止する前に未完了スキャンを実行し、 「時間をを超えたスキャンの停止」 にチェックを入れ、最大実行時間を選択します。
    2. 設定
      スキャンを最適化することで、基本 SSL/TLS 証明書およびサーバー情報が、発見された重大な TLS/SSL サーバー問題とあわせて提供されます。(Heartbleed、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4、および POODLE[TLS])。
      スキャン項目を選択する
      スキャン結果に含まれる情報をカスタマイズするには、[スキャン項目を選択する]を選択します。次に、ニーズに適合するスキャンをカスタマイズします。例えば、POODLE (TLS) または BEAST など、どの TLS/SSL サーバー問題をスキャンするかを指定する場合、[どの TLS/SSL サーバー問題をスキャンするかを選択する]を選択します。
      他のスキャンオプションを追加すると、ネットワークリソースへのスキャンの影響度も向上し、その完了までの時間も長くなります。
    3. 詳細設定:スキャン性能
      [スキャン性能]オプションを使用して、スキャンの完了時間を構成するか、ネットワークリソースへのスキャンの影響度を制限します。
      アグレッシブスキャン
      ネットワークリソースへの影響度が上がります。ネットワークに多量のスキャンパケットを送信します。Discovery は、予期しない数のパケットの送信を防止するため、パケット数を把握します。
      注意:アグレッシブ設定を使用すると、侵入検出システム (IDS) または侵入防止システム (IPS) の誤警報が有効になる場合があります。
      スロースキャン
      スキャンのネットワークリソースへの影響度を制限し、IDS または IPS 誤警報を減らします。一度の数スキャンパケットを送信し、他のパケットを送信する前に、応答を待ちます。
    4. 詳細設定:他の設定
      TLS/SSL サーバーチェックを制限して、ファイアウォール警報を減らします。
      このオプションは、TLS/SSL サーバー問題を見逃す可能性があるため、スキャンの効果を制限する可能性があることを理解した上で使用してください。
      TLS/SSL サーバー問題 (例えば、Heartbleed) を特定するため、スキャンが TLS/SSL サーバー問題を模倣し、サーバーが安全であると確認する場合がときどきあります。このようなエミュレーションにより、お使いのネットワーク上で、ファイアウォールの誤警報が発生する可能性があります。このような警報を避けるため、TLS/SSL サーバーチェックを制限します。
      スキャンするポートを指定してホスト可用性を確認する
      ここで指定したポートは、ホスト可用性を確認するためにのみ使用します。
      スキャンプロセスの最初のステップは、ホストを ping (ピン)して、その可用性を確認することです。
      ICMP(Internet Control Message Protocol) ping がホストで無効になっている場合、この設定を使用して、ホスト可能性の確認のためにスキャンできるポートを指定します。指定するポート数が少ないほど、スキャン速度は早くなります。
  1. 保存 /保存して実行

    完了したら、編集内容を保存します。

    • 変更内容を保存するには、[保存]をクリックします。
    • 設定を保存し、スキャンを実行するには、[保存して実行]をクリックします。

次の操作

スキャンを実行しないで変更内容を保存した場合、次回スキャン実行時、スキャン結果に変更内容が反映されます。

スキャンを保存して実行し、スキャン詳細を表示する場合は、スキャンの詳細ページに進みます ([スキャン]ページで、スキャン名リンクをクリック)。