Fase de pré-descoberta

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • A fase de pré-descoberta envolve etapas preparatórias, como definir parâmetros de verificação e configurar detalhes de credenciais, para garantir uma iniciação tranquila do processo de descoberta de certificado.

    Descoberta por Portas

    A probe de porta [tls_ssl_certs] verifica automaticamente 14 portas pré-autorizadas padrão. A probe de porta [tls_ssl_certs] verifica automaticamente 14 portas pré-autorizadas padrão.
    • Portas típicas para SSL: 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • Portas StartTLS: 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Como parte do processo de IC Descoberta durante o Shazzam, o MID Server usa scanners para coletar informações da cadeia de certificados do número da porta IP, capturando diversos atributos, incluindo a hierarquia de certificados. O MID Server transforma esses certificados em uma carga XML, compartilhando-a com a instância. O sensor do Shazzam, por sua vez, detecta a entrada na fila do ECC e insere um novo registro na tabela Certificado descoberto [sn_disco_certmgmt_certificate_history].

    Os seguintes campos são extraídos da carga XML e verificados em código java da probe de porta TLS do Shazzam para certificados descobertos: certificate id, revocation_status, subject, Issuer, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, impressões digitais_algorithm, key_size, serial_number e versão.

    Descoberta por URL

    A tabela URL do certificado [sn_disco_certmgmt_cert_url] contém uma lista de URLs a serem direcionados para a descoberta de certificados. Cada registro também tem uma referência opcional à tabela Certificado exclusivo [cmdb_ci_certificate], para ver qual certificado está relacionado à definição de URL fornecida. Os parâmetros necessários da programação Descoberta são combinados para criar e inicializar o status Descoberta. O probe [CertificateDiscoveryFromURLScan] descobre a cadeia de certificados para cada uma das URLs no lote e gera uma carga XML que contém a cadeia de certificados para cada certificado. Ele também adiciona um novo registro à tabela Certificado descoberto [sn_disco_certmgmt_certificate_history].

    Descoberta por meio de importação de certificados (versão 1.1.7 Gestão e inventário de certificados)

    Os certificados de importação são descobertos por meio do padrão Importar certificado SSL, que se baseia nos parâmetros a seguir.
    • Nome do host/IP em que os certificados estão hospedados
    • Pasta onde os certificados estão localizados
    • TLS_keepOriginalCertificate: definir este parâmetro como verdadeiro pode levar ao aumento do tamanho da carga, podendo causar problemas de falta de memória.
    • Mid_temp_folder: a pasta temporária em MID Server em que os arquivos serão copiados temporariamente.
    Nota:
    A opção Seleção automática MID Server NÃO é compatível com combinações MID do Windows e Linux. Se o MID Server for usado para armazenar os arquivos de certificados originais, o nome do host/IP deverá ser definido como em branco ou localhost e o MID Server específico deverá ser selecionado para a programação Descoberta.

    Descoberta via autoridade de CA (versão 1.1.7 Certificate Inventory and Management)

    Depois que a credencial de gestão e inventário de certificados é configurada com a autoridade de certificação GoDaddy, DigiCert, Entrust ou Sectigo e a programação Descoberta é executada, o padrão de CA específico faz chamadas de REST API para (GoDaddy, DigiCert, Entrust ou Sectigo), coleta Informações de certificado, recupera a lista de certificados e a armazena nas tabelas [cmdb_ci_certificate], [certificate_domain] e [sys_attachment].

    ca_api_url e ca_api_version são parâmetros opcionais. Se esses parâmetros forem deixados em branco dentro dos parâmetros de padrão, os valores padrão serão usados. Os valores padrão incluem:
    • DigiCert - Gestão de certificados (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust - Gestão de certificados (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy - Gestão de certificados (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - Gestão de certificados (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Os argumentos para os padrões GoDaddy, DigiCert, Entrust e Sectigo são os seguintes. A partir da versão 1.2.0, você tem a capacidade de verificar as autoridades de certificação (CAs) do Sectigo e Entrust.
    • Start_offset: a posição do deslocamento para ler certificados de autoridades de CA, com um valor padrão de 0.
    • Limite: o número de certificados a serem lidos do start_offset, com um valor padrão de 1500.
    • CredentialAlias: o nome do alias de credencial ou marcador vinculado às credenciais da CA, adicionado na configuração do padrão de execução sem servidor.

      Se o parâmetro TLS_keepOriginalCertificate estiver definido como verdadeiro, o arquivo de certificado será anexado ao IC do certificado. Isso pode aumentar o tamanho da carga, potencialmente causando problemas de falta de memória.

    • IncludeCertStatus: um parâmetro para especificar estados de certificado adicionais a serem descobertos, além dos padrões.
      Tabela 1. Estados de certificado por autoridades de certificação
      Autoridade de Certificação Estados padrão descobertos
      Sectigo
      • Emitido
      • Expirado
      DigiCert e GoDaddy
      • Ativo
      • Expirado
      • Revogado
      • Cancelado(a)
      Entrust
      • Ativo
      • Expirado
      • Revogado
      Você pode incluir vários status de certificado separando cada um deles com vírgulas.
    Nota:
    O campo de estado na tabela Certificado exclusivo [cmdb_ci_certificate] denota o estado do ciclo de vida do certificado, não o estado bruto da API. Se a API retornar estados como emitido, válido, expirado ou cancelado, eles serão armazenados como "emitidos" na tabela Certificado exclusivo [cmdb_ci_certificate].

    Quando a fase de pré-descoberta for concluída, passe para a fase de pós-descoberta.