Skip to main content

Configurar e executar uma verificação

Antes de começar

  • Verifique se o sensor que você quer usar foi instalado, ativado e iniciado.

  • Verifique se sua rede atende a todos os requisitos.

  • Verifique se você atende a todos os requisitos de implantação.

  • São necessários privilégios de administrador ou gerente.

Consulte Fluxo de trabalho e permissões do Discovery e Requisitos de instalação do sensor.

Reunir informações necessárias

  • O nome do sensor que você deseja usar.

  • A divisão a que o sensor está atribuído (se estiver usando divisões na sua conta)

  • As portas que você deseja usar para verificar a sua rede

  • As FQDNs e endereços IP que você deseja incluir na verificação

  • Se você estiver usando a Indicação de nome de servidor (SNI) para atender a vários domínios a partir de um único endereço IP.

Configurar e executar sua verificação

  1. Na sua conta da CertCentral, no menu da barra lateral, selecione Discovery > Gerenciar Discovery.

  2. Na página Gerenciar verificações, selecione Adicionar verificação.

  3. Configurar sua verificação

    Na página Adicionar uma verificação, na seção Criar uma verificação, forneça as informações de verificação necessárias:

    1. Nome da varredura

      Dê um nome à sua varredura para que você possa identificá-la facilmente (os nomes se tornam mais importantes quando você tem várias varreduras).

    2. Divisão

      Escolha a divisão com o sensor que deseja usar para a varredura.

      Durante a instalação, você atribui o sensor a uma divisão. Você vê apenas os sensores atribuídos à divisão selecionada.

      Nota

      Você verá o nome da sua organização se sua conta não usar divisões.

    3. Portas

      Especifique as portas que deseja usar para verificar sua rede em busca de certificados SSL/TLS.

      Use Todos para incluir todas as portas em um intervalo especificado.

      Use Padrão para incluir portas comumente usadas para certificados SSL/TLS: 443, 389, 636, 22, 143, 110, 465, 8443, 3389.

    4. Ativar SNI (opcional)

      Se você estiver usando a Indicação de Nome do Servidor (SNI) para atender a vários domínios a partir de um único endereço IP, habilite a varredura SNI para a varredura (limitada a no máximo 10 portas por servidor).

      Nota

      Uma verificação SNI pode não ter informações de IP como parte dos resultados.

    5. Sensor

      Escolha o sensor que deseja usar para a varredura. Você verá apenas os sensores atribuídos à divisão selecionada.

      Nota

      Você verá o nome da sua organização se sua conta não usar divisões.

    6. IP/FQDN para escanear

      Inclua FQDNs e endereços IP:

      Insira os FQDNs e endereços IP que deseja incluir na verificação e selecione Incluir. Você pode incluir endereços IP únicos (10.0.0.1), um intervalo de endereços IP (10.0.0.1-10.0.0.255) ou um intervalo IP no formato CIDR (10.0.0.0/24).

      Exclua FQDNs e endereços IP:

      Digite o endereço IP que você deseja excluir de um intervalo de endereços IP e selecione Excluir. Você pode excluir um único endereço IP (10.0.0.1), um intervalo de endereços IP (10.0.0.1-10.0.0.255) ou um intervalo IP no formato CIDR (10.0.0.0/24).

    7. Na lista de verificação, encontre os domínios e subdomínios que deseja incluir ou excluir da verificação. Em seguida, selecione o link apropriado na coluna Ações.

      Incluir todos os subdomínios – Inclui todos os subdomínios do domínio a ser verificado.

      Excluir todos os subdomínios – Exclui todos os subdomínios do domínio da verificação.

      Adicionar subdomínios ou Editar subdomínios – Escolha entre os subdomínios disponíveis que você deseja incluir ou excluir da verificação.

      Excluir – Exclui o IP/FQDN da lista de varredura.

    8. Quando terminar, selecione Próximo.

      Nota

      Sobre o uso de subdomínios:

      • Você sempre pode adicionar subdomínios de qualquer nível a uma verificação.

      • O sistema exibe apenas um único subdomínio que está um nível abaixo do domínio.

      • Apenas subdomínios listados publicamente estão disponíveis para seleção. Por exemplo, você só pode adicionar subdomínios à verificação que estão disponíveis no servidor DNS público ou registrado no CT.

  4. Quando verificar

    Configure sua verificação para ser executada agora ou agende-a.

    Para definir um limite de quanto tempo uma verificação inacabada deve ser executada antes de você interrompê-la, selecione Parar se o tempo de verificação exceder e selecione um tempo máximo de execução.

  5. Definições: Opções de verificação

    A verificação otimizada fornece informações básicas do servidor e certificado SSL/TLS junto com quaisquer problemas descobertos e críticos do servidor TLS/SSL. (Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), script entre sites, injeção de SQL, política de domínio cruzado e CSRF).

    Escolha o que verificar

    Personalize as informações incluídas nos resultados da verificação.

    • Procurar conjuntos de cifras configurados: Descubra os conjuntos de criptografia e os protocolos TLS/SSL configurados em seu servidor para estabelecer uma comunicação cliente-servidor segura durante o handshake TLS/SSL.

    • Ative SSLv2, SSLv3, TLSv1.0 e TLSv1.1: Habilite esses protocolos TLS/SSL disponíveis para uso em handshaking.

    • Atualize os endereços IP do host a cada verificação: Atualize os endereços IP do host sempre que fizer a verificação, se os endereços IP do host mudarem com frequência.

      Você também pode selecionar as opções SO e Aplicativo de servidor para obter informações atualizadas sobre:

      • Sistema operacional

      • Tipo de servidor

      • Aplicativo de servidor

      • Versão do aplicativo

    • Ativar Discovery de chave SSH: Descubra as chaves SSH configuradas em seu servidor. A verificação identifica as impressões digitais da chave SSH, algoritmos e métodos de autenticação de chaves SSH configuradas para seu servidor na porta habilitada para SSH (porta padrão 22).

      Para obter mais informações sobre chaves SSH, consulte Chaves SSH.

    • Verifique apenas problemas críticos do servidor TLS/SSL (mais rápido): Descubra apenas problemas de servidor TLS/SSL críticos, como Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), script entre sites, injeção de SQL, política de domínio cruzado e CSRF.

    • Escolha quais problemas do servidor TLS/SSL para verificar: Personalize sua verificação especificando quais problemas do servidor TLS/SSL (críticos e/ou não críticos) você deseja verificar, como POODLE, BEAST, SWEET32, etc.

      Nota

      Adicionar mais opções de verificação aumenta a carga da verificação nos recursos de rede, resultando em um tempo de verificação mais longo.

  6. Configurações avançadas: Desempenho de verificação

    Use as opções de Desempenho da verificação abaixo para configurar a rapidez com que a verificação é concluída ou para limitar o impacto das verificações nos recursos da rede:

    • Verificações agressivas sobrecarregam os recursos da rede e enviam um grande número de pacotes de verificação para a rede. Discovery limita quantos pacotes são enviados para impedir que um número não pretendido de pacotes seja enviado.

      Nota

      Usar a configuração agressiva pode desativar alarmes falsos no Sistema de Detecção de Intrusões (IDS) ou Sistema de Prevenção contra Intrusões (IPS).

    • Verificações lentas limitam o impacto da verificação nos recursos da rede e reduzem o número de alarmes falsos de IDS ou IPS. Eles enviam alguns pacotes de varredura por vez e aguardam uma resposta antes de enviar mais pacotes.

  7. Configurações avançadas: Adicionar tags à verificação

    Use esta opção para adicionar tags à sua digitalização. As marcas se aplicam a todos os certificados encontrados durante a digitalização em rede. Use isso para identificar e gerenciar os certificados configurados em sua rede ou qualquer outra rede que você gerencia.

  8. Configurações avançadas: Mais configurações

    Reduza os alarmes de firewall restringindo as verificações do servidor TLS/SSL

    Use esta opção com o entendimento de que isso pode limitar a efetividade da sua verificação, pois isso pode resultar em problemas perdidos do servidor TLS/SSL.

    Para identificar problemas do servidor TLS/SSL (por exemplo, Heartbleed), verificaçãos às vezes emulam um problema do servidor TLS/SSL para ele ter certeza que o servidor é seguro. Tais emulações podem acionar alarmes falsos de firewall na sua rede. Para evitar tais problemas, você pode restringir as verificações do servido TLS/SSL.

    Especifique as portas a serem verificadas para verificar a disponibilidade do host

    As portas especificadas aqui são usadas apenas para verificar a disponibilidade do host.

    A primeira etapa do processo de verificação faz ping no host para verificar sua disponibilidade.

    Se os pings do protocolo ICMP (Internet Control Message Protocol) estiverem desabilitados em um host, use essa configuração para especificar as portas que podem ser verificadas para verificar a disponibilidade do host. Quanto menos portas especificadas, mais rápido você pode realizar verificação.

    Ativar depuração de porta

    Use esta opção para registrar e coletar dados em portas fechadas e com firewall.

  9. Salvar e agendar/Salvar e executar

    Quando terminar, você precisará salvar sua verificação.

    • Se você estiver executando agora, selecione Salvar e executar.

    • Se você quiser executá-lo mais tarde, selecione Salvar e agendar.

E depois?

Sua verificação será executada agora ou como agendado. O tempo de conclusão da verificação depende do tamanho da rede e as configurações de desempenho da verificação durante a configuração.

Importante

Se uma verificação acionar um alarme falso nos sistemas de detecção de intrusão (IDS) ou sistemas de proteção contra intrusão (IPS), certifique-se de liberar as verificaçãos nos seus utilitários IDS/IPS.

Varreduras lentas são menos propensas a acionar alarmes falsos. Também pode ser necessário liberar o sensor no seu firewall para permitir comunicação com a digicert.com.

Para gerenciar suas verificações, vá para a página Gerenciar verificações (no menu da barra lateral, selecione Discovery > Gerenciar Discovery).

Para visualizar os detalhes da verificação ou modificar as configurações da verificação, vá para a página de detalhes da verificação (na página Gerenciar verificações, selecione o nome da verificação).

  • Nas guias localização da Discovery e Configurações da verificação, visualize ou modifique configurações da verificação.

  • Na guia Atividade de verificação, visualize os detalhes da verificação atual e anterior, como hora de início, duração, status da verificação e ações.

    • Para visualizar os detalhes do certificado digitalizado, selecione Exibir certificados.

    • Para obter as informações sobre portas fechadas e com firewall, selecione Fazer download do relatório de depuração.

    • Para ver os detalhes das chaves descobertas, selecione Ver as chaves.