Настройка и запуск сканирования

Прежде чем начать

  • Убедитесь, что датчик, который вы хотите использовать, был установлен, активирован и запущен
  • Убедитесь, что вы выполнили все сетевые требования
  • Убедитесь, что вы выполнили все требования по развертыванию
  • Необходимо обладать правами администратора или менеджера в учетной записи CertCentral

См. Рабочий процесс и разрешения Discovery и Требования к установке датчика.

Сбор необходимой информации

Вы можете дополнительно собрать некоторую информацию:

  • Имя датчика, используемого для сканирования
  • Подразделение, которому присвоен датчик (если вы используете подразделения в своей учетной записи)
  • Порты, которые вы хотите использовать для сканирования вашей сети
  • Полностью квалифицированные доменные имена и IP-адреса, которые вы хотите включить в сканирование
  • Выясните, используете ли вы Указание имени сервера (SNI) для обслуживания нескольких доменов с одного IP-адреса*

Настройка и запуск сканирования

  1. В своей учетной записи CertCentral в меню на боковой панели нажмите Discovery > Управление Discovery.

  1. На странице «Управление сканированием» нажмите Добавить сканирование.

  1. Настройте сканирование

    На странице «Добавить сканирование» в разделе «Настройка сканирования» укажите необходимую информацию для сканирования.

    1. Название сканирования
      Присвойте название сканированию, чтобы вы могли легко его идентифицировать (имена отличаются по важности в случае нескольких сканирований).
    2. Подразделение
      Выберите подразделение с датчиком, который вы хотите использовать для сканирования.
      Во время установки вы присваиваете датчик подразделению. В раскрывающемся списке «Датчик» отображаются только датчики, присвоенные выбранному подразделению.
      Примечание: Если вы не используете подразделения в своей учетной записи, будет отображаться название своей организации.
    3. Порты
      Укажите порты, которые вы хотите использовать для сканирования вашей сети на наличие сертификатов SSL/TLS.
      Использовать все, чтобы включить все порты в указанный диапазон
      Использовать по умолчанию, чтобы включить порты, которые обычно используются для сертификатов SSL/TLS: 80, 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. Включить SNI*
      Вы действительно используете Указание имени сервера (SNI) для обслуживания нескольких доменов с одного IP-адреса? Установите этот флажок, чтобы включить SNI для сканирования (не более 10 портов на сервер).
      Примечание: Сканирование SNI может не содержать информацию об IP в результатах.
    5. Датчик
      Выберите датчик, который вы хотите использовать для сканирования. В раскрывающемся списке отображаются только датчики, присвоенные выбранному подразделению в раскрывающемся списке Подразделение.
      Примечание: Если вы не используете подразделения в своей учетной записи, будут отображаться датчики, присвоенные вашей организации.
    6. Полностью квалифицированные доменные имена / IP-адреса для сканирования
      Включить полностью квалифицированные доменные и IP-адреса:

      Введите полностью квалифицированные доменные имена и IP-адреса, которые вы хотите включить в сканирование, и нажмите Включить.Вы можете включить один IP-адрес (10.0.0.1), диапазон IP-адресов (10.0.0.1-10.0.0.255) или IP-диапазон в формат CIDR (10.0.0.0/24).
      Исключить полностью квалифицированные доменные имена и IP-адреса:
      Введите IP-адрес, который вы хотите исключить из диапазона IP-адресов, и нажмите Исключить. Вы можете исключить один IP-адрес (10.0.0.1), диапазон IP-адресов (10.0.0.1-10.0.0.255) или IP-диапазон в формате CIDR (10.0.0.0/24).
    7. По окончании ввода данных нажмите Далее.
  1. Время сканирования

    Настройте сканирование для запуска в настоящий момент или запланируйте его.

    Чтобы установить предел продолжительности незавершенного сканирования до его прекращения, установите флажок Прекратить сканирование при превышении времени и выберите максимальное время выполнения.

  1. Настройки: Параметры сканирования

    Оптимизированное сканирование обеспечивает базовую информацию о сертификате SSL/TLS и сервере, а также обо всех обнаруженных критических проблемах сервера TLS/SSL. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 и POODLE[TLS]).

    Выберите объект сканирования

    Чтобы настроить информацию, включенную в результаты сканирования, выберите Выберите объект сканирования. Затем настройте сканирование в соответствии со своими потребностями. Например, если вы хотите указать, какие проблемы с сервером TLS/SSL необходимо просканировать, например, POODLE (TLS) или BEAST, выберите Выбрать проблемы с сервером TLS/SSL для сканирования.

Добавление дополнительных параметров сканирования увеличивает влияние сканирования на сетевые ресурсы, а также время, необходимое для его завершения.

  1. Расширенные настройки: Выполнение сканирования

    Используйте параметры выполнения сканирования, чтобы настроить скорость выполнения сканирования или ограничить влияние сканирования на сетевые ресурсы.

    • Активное сканирование
      Оказывает значительное влияние на сетевые ресурсы. Отправляет большое количество пакетов сканирования в сеть. Discovery ограничивает количество отправляемых пакетов, чтобы предотвратить отправку непреднамеренного количества пакетов.
      Примечание: Использование настройки активного сканирования может привести к ложным срабатываниям системы обнаружения вторжений (IDS) или системы предотвращения вторжений (IPS).
    • Медленное сканирование
      Ограничьте влияние сканирования на сетевые ресурсы и уменьшите количество ложных срабатываний систем IDS или IPS. Посылает несколько пакетов сканирования за один раз и ожидает ответа перед отправкой следующих пакетов.
  1. Расширенные настройки: Дополнительные настройки

    Уменьшите количество тревожных сигналов брандмауэра, ограничив проверки сервера TLS/SSL

    Используйте этот параметр с учетом того, что он может ограничить эффективность сканирования, поскольку это может привести к пропущенным проблемам с сервером TLS/SSL.

    Чтобы выявить проблемы с сервером TLS/SSL (например, Heartbleed), при сканировании иногда имитируется проблема сервера TLS/SSL, чтобы можно было убедиться, что сервер защищен. Такая имитация может вызвать ложные срабатывания брандмауэра в вашей сети. Чтобы избежать таких тревожных сигналов, вы можете ограничить проверки сервера TLS/SSL.

    Указать порты для сканирования с целью проверки доступности хоста

    Указанные здесь порты используются только для проверки доступности хоста.

    На первом этапе в процессе сканирования проверяется связь с хостом с целью проверки его доступности.
    Если на хосте отключены эхо-запросы протокола ICMP, используйте этот параметр, чтобы указать порты, которые можно сканировать для проверки доступности хоста. Чем меньше указано портов, тем быстрее осуществляется сканирование.

  1. Сохранить и запланировать / Сохранить и запустить

    После завершения вам понадобится сохранить свое сканирование.

    • Если вы выполняете его в настоящее время, нажмите Сохранить и запустить.
    • Если вы запланировали сканирование, нажмите Сохранить и запланировать.

Что дальше

Ваше сканирование будет запущено сразу же или по расписанию. Время завершения сканирования зависит от размера сети и параметров выполнения сканирования, выбранных во время настройки.

Если сканирование вызывает ложную тревогу в системах обнаружения вторжений (IDS) или системах защиты от вторжений (IPS), убедитесь в том, что сканирования в ваших служебных программах IDS/IPS внесены в белый список. Кроме того, настройте сканирование для запуска в режиме Медленно. Медленное сканирование с меньшей вероятностью вызывает ложные срабатывания. Вам также может понадобиться внести в белый список датчик на вашем брандмауэре, чтобы обеспечить связь с digicert.com.

Для управления своим сканированием перейдите на станицу Сканировать (в меню на боковой панели нажмите Discovery > Управление Discovery).

Чтобы просмотреть сведения о сканировании или изменить параметры сканирования, перейдите на страницу сведений о сканировании (на странице «Сканирования» щелкните ссылку с именем сканирования).

  • На вкладках Местонахождение Discovery и Настройки сканирования просмотрите или измените настройки сканирования.
  • На вкладке Операции сканирования вы можете просмотреть текущие и прошедшие данные сканирования, например, время начала, продолжительность, состояние сканирования и действия.