Skip to main content

ネットワークスキャンを有効にする

開始する前に

  • You need an active DigiCert sensor on your network with visibility of the systems to target in the scan. See Deploy and manage sensors.

  • The Network Discovery feature must be enabled for your account. For help verifying or enabling this feature, contact your DigiCert account representative.

  • To configure network scans, you need the Manager user role for Trust Lifecycle Manageror a custom user role that includes the Network scans "Manage" permission. To learn more, see Users and access.

  • 必要な情報を収集する:

    • 使用するセンサーの名前

    • The business unit to use for managing the discovered certificates and the scan itself.

  • To automatically assign metadata (tags and owners) to discovered certificates, configure metadata assignment rules to use with the scan.

スキャンを設定する

Step 1: Add the scan and configure basic settings

Start by creating the scan and selecting the sensor that will run it.

  1. Trust Lifecycle Manager メインメニューで、[Discovery & automation tools > Network scans]を選択します。

  2. [ネットワークスキャン]ページで、[スキャンの追加]を選択します。

  3. [一般情報]ページで、新しいスキャンの基本プロパティを設定します。

    • [スキャン名]: 識別しやすくなるように、スキャンに名前を付けます(複数のスキャンがある場合、名前はより重要になります)。

    • [事業部門]: ネットワークスキャンの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、スキャンを管理できます。

    • [スキャンタイプ]:

    • Sensor : Select the sensor to use for this scan. The sensor must have visibility of the target systems and port numbers you plan to scan.

  4. Select Next.

Step 2: Configure the scan targets

On the Scan targets screen, define which ports to inspect and which targets to include or exclude.

  1. Configure the Port numbers to scan:

    • All to include all ports in a specified range.

    • Default to include ports commonly used for TLS/SSL certificates: 110, 143, 389, 443, 465, 636, 3389, 8443.

    • Custom to include ports of your choice.

  2. If you use SNI to serve multiple domains from a single IP address, enable Server Name Indication (SNI). SNI scanning is limited to a maximum of 10 ports per server. An SNI scan may not include IP information in the results.

  3. If you want to discover certificates on Microsoft SQL Server or SAP/Sybase ASE, enable TDS protocol scanning. Configure the default TDS port (1433) or select Custom and enter a custom TDS port.

  4. Under IP addresses/FQDNs, add targets to include and exclude:

    • Include FQDNs and IP addresses: Enter targets and select Include. You can include a single IP address (10.0.0.1), a range (10.0.0.1-10.0.0.255), or a CIDR block (10.0.0.0/24).

    • Exclude FQDNs and IP addresses : Enter targets and select Exclude. You can exclude a single IP address, a range, or a CIDR block.

    • Optionally, import targets from a CSV file to include or exclude IP addresses and FQDNs.

    重要

    Make sure targets are valid and not duplicated. Wildcard domains are not supported.

  5. Optionally, adjust the Included and Excluded lists:

    • Exclude IPs/FQDNs moves selections from Included to Excluded.

    • Include IPs/FQDNs moves selections from Excluded to Included.

    • Delete removes selections from either list.

  6. Select Next.

Step 3: Select your scan options

On the Scan options screen, select what information the scan collects and how it assigns metadata to discovered certificates.

  1. [スキャンオプション]ページで、スキャン結果に含める情報をカスタマイズします。

    • Optimize for best performance to collect standard TLS/SSL certificate and server information.

    • Choose what to scan to scan for custom information. Make selections for the following:

      • [設定済みの暗号スイートと TLS/SSL プロトコル]: セキュアなクライアントサーバー通信を確立するためにサーバーに対して設定された暗号スイートと TLS/SSL プロトコルを検出します。

      • [ハンドシェイク TLS/SSL プロトコル]: SSLv2、SSLv3、TLSv1.0、TLSv1.1 プロトコルがハンドシェイクで有効になっているかチェックします。

      • Don't follow HTTP redirects: Enable this option to prevent Trust Lifecycle Manager from following HTTP redirects during a network scan (for example, an HTTP 301 redirect response). By default, Trust Lifecycle Manager follows redirects and scans the target hosts specified in the redirect response.

      • [ホスト IP アドレス]: スキャンを実行するたびに、ホストの IP アドレスを更新します。ホストの IP アドレスは頻繁に変更される場合に推奨されます。

        以下についての最新情報を提供するために、[OS]および[Server Application]オプションもここで選択できます。

        • オペレーティングシステム

        • サーバータイプ

        • サーバーアプリケーション

        • アプリケーションバージョン

      重要

      スキャンオプションをさらに追加すると、スキャンによりネットワークリソースにかかる負担が増大し、スキャン時間が長くなります。

  2. Business unit: (Optional) Assign a business unit to the discovered certificates. If selected, only admins in that business unit can manage the certificates.

  3. Certificate assignment rules: (Optional) Select rules to automatically assign metadata (tags and owners) to the discovered certificates. This helps identify and manage the certificates in inventory.

  4. [高度な設定]:

    • Aggressive (high network traffic): Run a fast network scan.

    • Balanced (default): Balance speed and scan accuracy.

    • Slow (low network traffic): Ensure complete accuracy on high-latency networks, and when there aren't any real-time constraints.

  5. (Optional) Configure miscellaneous options under Additional settings:

    • Specify ports to scan to verify host availability: The first step in the scan process is to ping the host to verify it's reachable. If Internet Control Message Protocol (ICMP) pings are disabled on hosts, use this setting to specify which ports can be scanned to verify host availability. The fewer ports specified, the faster the scan.

  6. Select Next.

Step 4: Run or schedule the scan

On the Schedule screen, choose whether to run the scan now or schedule it for later:

  1. Select one of the following options:

  2. Stop if time exceeds: (Optional) Set a time limit in hours or days for how long an unfinished scan should run before the system terminates it.

  3. To finalize the scan, select one of the following:

スキャンのタイプ

アグレッシブスキャン

このスキャンは、非常に高速なネットワークスキャンを実行する必要がある場合に使用します。このスキャンでは、並列処理を増やして多数のプローブを送信することでネットワークトラフィックが多くなるため、ネットワークリソースへの負担が増大します。このスキャンは、応答待ち中のタイムアウトを減少させるうえでも役立ちます。スキャン速度が高速になって精度が下がり、ターゲットネットワークのレイテンシーの原因となる場合があります。

アグレッシブスキャンは、一般的には「遅いスキャン」よりも 3 ~ 4 倍高速ですが、ネットワークのトラフィック処理能力に応じて、時間が長くかかる場合もあります。この設定を使用すると、侵入検知システム(Intrusion Detection System: IDS)や侵入防御システム(Intrusion Prevention System: IPS)でのフォールスアラームの原因となる場合があります。

バランススキャン(デフォルト)

このスキャンは、スピードとスキャン精度を最適化する場合に使用します。このスキャンは、アグレッシブスキャンほど高速ではなく、ネットワークリソースにかかる負担は少なくなります。

遅いスキャン

このスキャンは、高レイテンシーネットワークで完全な精度を確保する場合、およびリアルタイムの制約がない場合に使用します。このスキャンは低速で実行され、スキャンがネットワークリソースに及ぼす影響が制限されます。このスキャンは、一度にいくつかのプローブを送信し、さらにプローブを送信する前に、より長い持間にわたって確認を待ちます。

次の手順

  • Your scan runs now or as scheduled. Scan completion time depends on network size and the scan performance settings selected during set up.

  • Certificates found through the scan are added to Inventory > Certificates, and the associated endpoint data for those certificates is added to Inventory > Endpoints.

  • When the scan run is complete, results appear in the scan listing on the Discovery & automation tools > Network scans page. Select the links in the Scan results column to view the discovered certificates.

  • To learn more about scan results, see スキャンの詳細と結果を表示する.

このセクションの内容: