スキャンをセットアップおよび実行する

開始する前に

  • 使用するセンサがインストールされ有効になり、起動しているかを確認する
  • お客様がすべてのネットワーク要件を満たしていることを確認してください
  • お客様がすべてのデプロイメント要件を満たしていることを確認してください
  • CertCentral アカウントで管理者またはマネージャになる

「Discovery ワークフローと権限 および センサインストール要件」を参照してください。

必要な情報を収集する

また、いくつかの情報を収集する場合がある:

  • スキャンに使用するセンサ名
  • センサの割当先の管理グループ(お使いのアカウントで管理グループを使用している場合)
  • お使いのネットワークをスキャンするのに使用するポート
  • スキャンに含める FQDN と IP アドレス
  • サーバー名表示 (SNI) を使用して単一 IP アドレス*から複数のドメインを利用しているかを確認する

お使いのスキャンをセットトップおよび実行する

  1. サイドバーメニューの CertCentral アカウントで、[Discovery] > [Discovery を管理する] の順でクリックします。

  1. [スキャンを管理する]ページで、 [スキャンを追加する]をクリックします。

  1. お使いのスキャンをセットアップする

    [スキャンをセットアップする]下の[スキャンを追加する]ページで、必要なスキャン情報を提供します。

    1. スキャン名
      お使いのスキャンがすぐに特定できるように名前を付けます(名前は、複数のスキャンがある場合はより重要です)。
    2. 管理グループ
      スキャンに使用するセンサで管理グループを選択します。
      インストール中、センサを管理グループに割り当てます。[センサ]ドロップダウンで、選択した管理グループに割り当てられたセンサのみを表示します。
      注意:お使いのアカウントで管理グループを使用していない場合は、組織名が表示されます。
    3. ポート
      SSL/TLS 証明書用にお使いのネットワークをスキャンするのに使用するポートを指定します。
      すべて を使用して、指定範囲にすべてのポートを含めます
      デフォルト を使用して、SSL/TLS 証明書に一般的に使用される以下のポートを含めます。80、443、389、636、22、143、110、465、8443、3389
    4. SNI* を有効にする
      センサ名表示 (SNI) を使用して、単一の IP アドレスから複数のドメインに対応しますか?このボックスにチェックを入れ、スキャン用に SNI スキャンを有効にします (サーバーにつき最大 10 ポートに制限).
      注意:SNI スキャンには、結果の一部として IP 情報がない場合があります。
    5. センサ
      スキャンに使用するセンサを選択します。ドロップダウンで、[管理グループ] ドロップダウンで選択した管理グループに割り当てられたッセンサのみを表示できます。
      注意:お使いのアカウントで管理グループを使用していない場合、組織に割り当てられたセンサが表示されます。
    6. スキャンする FQDN / IP
      FQDN および IP アドレスをを持ちます:

      スキャンに含める FQDN および IP アドレスを入力し、[含める]をクリックします。単一の IP アドレス (10.0.0.1)、IP アドレス範囲 (10.0.0.1~10.0.0.255) または IP 範囲を CIDR 形式 (10.0.0.0/24) で含めることができます。
      FQDN および IP アドレスを除外する:
      IP アドレスから除外する IP アドレスを入力し、[除外]をクリックします。単一の IP アドレス (10.0.0.1)、IP アドレス範囲 (10.0.0.1~10.0.0.255) または IP 範囲を CIDR 形式 (10.0.0.0/24) で除外することができます。
    7. 終了したら、[次へ]をクリックします。
  1. いつスキャンするか

    スキャンを構成して今すぐ実行するか、予約します。

    未終了のスキャンが停止する前にどのくらいの間実行するかに制限を設定するには、「時間を超過したスキャンの停止」 にチェックを入れ、最大実行時間を選択します。

  1. 設定:スキャンオプション

    最適化されたスキャンは、発見されたクリティカル TLS/SSL サーバー問題とあわせ、基本 SSL/TLS 証明書およびサーバー情報を提供します。(Heartbleed、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4、および POODLE[TLS])。

    何をスキャンするかを選択する

    スキャン結果に含まれる情報をカスタマイズするには、[何をスキャンするかを選択する]を選択します。次に、ニーズに適合するスキャンをカスタマイズします。例えば、POODLE (TLS) または BEAST など、どの TLS/SSL サーバー問題がスキャンされるかを指定する場合、[どの TLS/SSL サーバー問題をスキャンするかを選択する]を選択します。

スキャンオプションの追加数を増やすと、ネットワークリソースへのスキャンおよび完了までどのくらいの時間がかかるかへの影響度が上がります。

  1. 詳細設定:スキャン性能

    [スキャン性能]オプションを使用して、スキャンをどのくらい早く完了するかを構成、またはネットワークリソース上でのスキャンの影響度を制限します。

    • アグレッシブスキャン
      ネットワークリソースへの影響度が高まります。ネットワークに多量のスキャンパケットを送信します。Discovery は、予期しない数のパケットの送信を防止するため、パケット数を把握します。
      注意:アグレッシブ設定を使用することで、市乳検出システム (IDS) または侵入防止システム (IPS) の誤警報をオフに設定することができます。
    • スロースキャン
      ネットワークリソースへのスキャンの影響度を制限し、IDS または IPS 誤警報の数を抑えます。一度の数スキャンパケットを送信し、他のパケットを送信する前に、応答を待ちます。
  1. 詳細設定:他の設定

    TLS/SSL サーバーチェックを制限して、ファイアウォール警報を削減する

    このオプションは、スキャンの効果を制限する可能性があることを理解した上で、使用してください。TLS/SSL サーバー問題を見逃す可能性があります。

    TLS/SSL サーバー問題を特定すると (例えば、Heartbleed) スキャンは TLS/SSL サーバー問題のエミュレーションすることで、サーバーが安全であることを確認する場合があります。このようなエミュレーションにより、お使いのネットワーク上で、ファイアウォールの誤警報が発生する可能性があります。このような警報を回避するため、TLS/SSL サーバーチェックを制限することができます。

    スキャンするポートを指定しホスト可用性を確認する

    ここで指定するポートは、ホストの可用性確認にのみ使用します。

    スキャンプロセスの最初のステップは、ホストのピン(ping)により、その可用性を確認することです。
    インターネット制御通知プロトコル (ICMP) の ping がホストで無効になっている場合、この設定を使用して、ホストの可能性確認のためにスキャンできるポートを指定します。指定するポート数が少ないほど、スキャン速度は早くなります。

  1. スキャンと予約/スキャンと実行

    完了したら、スキャンを保存します。

    • 今スグ実行する場合は、[保存と実行]をクリックします。
    • スキャンを予約した場合は、[保存と予約]をクリックします。

次の操作

スキャンが今すぐ、または予約どおりに実行されます。スキャン完了時間は、セットアップ中に選択したネットワークサイズおよびスキャン性能設定によって異なります。

スキャンが侵入検出システム (IDS) または侵入保護システム (IPS) で誤警報を発生する場合、IDS/IPS ユーティリティのスキャンがホワイトリストに入っていることを確認します。また、スキャンを構成して [スロー]実行します。スロースキャンでは、誤警報の発生可能性は下がります。digicert.com への通信を許可するにも、センサをファイアウォールから外して、ホワイトリストに入れる必要があります。

スキャンを管理するには、[スキャン] ページ (サイドバーメニューで [Discovery] >[Discovery を管理する」 をクリック) に進みます。

スキャン詳細を表示する、またはスキャン設定を修正するには、[スキャンの詳細]ページ([スキャン]ページで、[スキャン名]リンクをクリック)に進みます。

  • [Discovery の場所][スキャン設定] タブで、スキャン設定を表示または修正します。
  • [動作をスキャンする] タブで、開始時間、期間、スキャンステータスおよび作動など、現在および過去のスキャン詳細を表示します。