Настройка и запуск сканирования

Прежде чем начать

  • Убедитесь, что датчик, который вы хотите использовать, был установлен, активирован и запущен
  • Убедитесь, что вы выполнили все сетевые требования
  • Убедитесь, что вы выполнили все требования по развертыванию
  • Необходимо обладать правами администратора или менеджера в учётная запись CertCentral

См. Рабочий процесс и разрешения Discovery и Требования к установке датчика.

Сбор необходимой информации

Вы можете дополнительно собрать некоторую информацию:

  • Имя датчика, используемого для сканирования
  • Подразделение, которому присвоен датчик (если вы используете подразделения в своей учётная запись)
  • Порты, которые вы хотите использовать для сканирования вашей сети
  • Полностью квалифицированные доменные имена и IP-адреса, которые вы хотите включить в сканирование
  • Выясните, используете ли вы Указание имени сервера (SNI) для обслуживания нескольких доменов с одного IP-адреса*

Настройка и запуск сканирования

  1. В своей учётная запись CertCentral в меню на боковой панели нажмите Discovery > Управление Discovery.

  1. На странице «Управление сканированием» нажмите Добавить сканирование.

  1. Настройте сканирование

    На странице «Добавить сканирование» в разделе «Настройка сканирования» укажите необходимую информацию для сканирования.

    1. Название сканирования
      Присвойте название сканированию, чтобы вы могли легко его идентифицировать (имена отличаются по важности в случае нескольких сканирований).
    2. Подразделение
      Выберите подразделение с датчиком, который вы хотите использовать для сканирования.
      Во время установки вы присваиваете датчик подразделению. В раскрывающемся списке «Датчик» отображаются только датчики, присвоенные выбранному подразделению.
      Примечание: Если вы не используете подразделения в своей учётная запись, будет отображаться название своей организации.
    3. Порты
      Укажите порты, которые вы хотите использовать для сканирования вашей сети на наличие сертификатов SSL/TLS.
      Использовать все, чтобы включить все порты в указанный диапазон
      Использовать по умолчанию, чтобы включить порты, которые обычно используются для сертификатов SSL/TLS: 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. Включить SNI*
      Вы действительно используете Указание имени сервера (SNI) для обслуживания нескольких доменов с одного IP-адреса? Установите этот флажок, чтобы включить SNI для сканирования (не более 10 портов на сервер).
      Примечание: Сканирование SNI может не содержать информацию об IP в результатах.
    5. Датчик
      Выберите датчик, который вы хотите использовать для сканирования. В раскрывающемся списке отображаются только датчики, присвоенные выбранному подразделению в раскрывающемся списке Подразделение.
      Примечание: Если вы не используете подразделения в своей учётная запись, будут отображаться датчики, присвоенные вашей организации.
    6. Полностью квалифицированные доменные имена / IP-адреса для сканирования
      Включить полностью квалифицированные доменные и IP-адреса:

      Введите полностью квалифицированные доменные имена и IP-адреса, которые вы хотите включить в сканирование, и нажмите Включить.Вы можете включить один IP-адрес (10.0.0.1), диапазон IP-адресов (10.0.0.1-10.0.0.255) или IP-диапазон в формат CIDR (10.0.0.0/24).
      Исключить полностью квалифицированные доменные имена и IP-адреса:
      Введите IP-адрес, который вы хотите исключить из диапазона IP-адресов, и нажмите Исключить. Вы можете исключить один IP-адрес (10.0.0.1), диапазон IP-адресов (10.0.0.1-10.0.0.255) или IP-диапазон в формате CIDR (10.0.0.0/24).
    7. По окончании ввода данных нажмите Далее.
  1. Время сканирования

    Настройте сканирование для запуска в настоящий момент или запланируйте его.

    Чтобы установить предел продолжительности незавершенного сканирования до его прекращения, установите флажок Прекратить сканирование при превышении времени и выберите максимальное время выполнения.

  1. Настройки: Параметры сканирования

    Оптимизированное сканирование обеспечивает базовую информацию о сертификате SSL/TLS и сервере, а также обо всех обнаруженных критических проблемах сервера TLS/SSL. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 и POODLE[TLS]).

    Выберите объект сканирования

    Чтобы настроить информацию, включенную в результаты сканирования, выберите Выберите объект сканирования. Затем настройте сканирование в соответствии со своими потребностями. Например, если вы хотите указать, какие проблемы с сервером TLS/SSL необходимо просканировать, например, POODLE (TLS) или BEAST, выберите Выбрать проблемы с сервером TLS/SSL для сканирования.

Добавление дополнительных параметров сканирования увеличивает влияние сканирования на сетевые ресурсы, а также время, необходимое для его завершения.

  1. Расширенные настройки: Выполнение сканирования

    Используйте параметры выполнения сканирования, чтобы настроить скорость выполнения сканирования или ограничить влияние сканирования на сетевые ресурсы.

    • Активное сканирование
      Оказывает значительное влияние на сетевые ресурсы. Отправляет большое количество пакетов сканирования в сеть. Discovery ограничивает количество отправляемых пакетов, чтобы предотвратить отправку непреднамеренного количества пакетов.
      Примечание: Использование настройки активного сканирования может привести к ложным срабатываниям системы обнаружения вторжений (IDS) или системы предотвращения вторжений (IPS).
    • Медленное сканирование
      Ограничьте влияние сканирования на сетевые ресурсы и уменьшите количество ложных срабатываний систем IDS или IPS. Посылает несколько пакетов сканирования за один раз и ожидает ответа перед отправкой следующих пакетов.
  1. Расширенные настройки: Дополнительные настройки

    Уменьшите количество тревожных сигналов брандмауэра, ограничив проверки сервера TLS/SSL

    Используйте этот параметр с учетом того, что он может ограничить эффективность сканирования, поскольку это может привести к пропущенным проблемам с сервером TLS/SSL.

    Чтобы выявить проблемы с сервером TLS/SSL (например, Heartbleed), при сканировании иногда имитируется проблема сервера TLS/SSL, чтобы можно было убедиться, что сервер защищен. Такая имитация может вызвать ложные срабатывания брандмауэра в вашей сети. Чтобы избежать таких тревожных сигналов, вы можете ограничить проверки сервера TLS/SSL.

    Указать порты для сканирования с целью проверки доступности хоста

    Указанные здесь порты используются только для проверки доступности хоста.

    На первом этапе в процессе сканирования проверяется связь с хостом с целью проверки его доступности.
    Если на хосте отключены эхо-запросы протокола ICMP, используйте этот параметр, чтобы указать порты, которые можно сканировать для проверки доступности хоста. Чем меньше указано портов, тем быстрее осуществляется сканирование.

    Включить ведение журнала отфильтрованных портов

    Используйте этот параметр для регистрации в журнале и сбора данных о защищенных межсетевым экраном и закрытых портах.

  1. Сохранить и запланировать / Сохранить и запустить

    После завершения вам понадобится сохранить свое сканирование.

    • Если вы выполняете его в настоящее время, нажмите Сохранить и запустить.
    • Если вы запланировали сканирование, нажмите Сохранить и запланировать.

Что дальше

Ваше сканирование будет запущено сразу же или по расписанию. Время завершения сканирования зависит от размера сети и параметров выполнения сканирования, выбранных во время настройки.

Если сканирование вызывает ложную тревогу в системах обнаружения вторжений (IDS) или системах защиты от вторжений (IPS), убедитесь в том, что сканирования в ваших служебных программах IDS/IPS внесены в белый список. Кроме того, настройте сканирование для запуска в режиме Медленно. Медленное сканирование с меньшей вероятностью вызывает ложные срабатывания. Вам также может понадобиться внести в белый список датчик на вашем брандмауэре, чтобы обеспечить связь с digicert.com.

Для управления своим сканированием перейдите на станицу Сканировать (в меню на боковой панели нажмите Discovery > Управление Discovery).

Чтобы просмотреть сведения о сканировании или изменить параметры сканирования, перейдите на страницу сведений о сканировании (на странице «Сканирования» щелкните ссылку с именем сканирования).

  • На вкладках Местонахождение Discovery и Настройки сканирования просмотрите или измените настройки сканирования.
  • На вкладке Операции сканирования вы можете просмотреть текущие и прошедшие данные сканирования, например, время начала, продолжительность, состояние сканирования и действия.
    • Чтобы просмотреть подробные сведения о просканированном сертификате, нажмите Просмотр сертификатов.
    • Для ознакомления с информацией о защищенных межсетевым экраном и закрытых портах нажмите Скачать отчет о фильтруемых портах.