Phase de pré-détection

  • Rversion finale: Washingtondc
  • Mis à jour 8 févr. 2024
  • 4 minutes de lecture

    • La phase de pré-détection comprend des étapes préparatoires, telles que la définition des paramètres d’analyse et la configuration des détails des informations d’identification, afin d’assurer un lancement en douceur du processus de détection des certificats.

    Détection via les ports

    La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés. La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés.
    • Ports typiques pour SSL : 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • Ports StartTLS : 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Dans le cadre du processus de CI Détection pendant l’exécution de Shazzam, le utilise Serveur MID des scanners pour collecter des informations sur la chaîne de certificats à partir du numéro de port IP, capturant ainsi divers attributs, notamment la hiérarchie des certificats. La société transforme Serveur MID ensuite ces certificats en charge utile XML, en la partageant avec l’instance. Le capteur Shazzam, à son tour, détecte l’entrée de file d’attente ECC et insère un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Les champs suivants sont extraits de la charge utile XML et vérifiés en code Java à partir de la sonde de port TLS Shazzam pour les certificats détectés : ID de certificat, revocation_status, objet, émetteur, sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, fingerprint_algorithm, key_size, serial_number et version.

    Détection via les URL

    La table URL du certificat [sn_disco_certmgmt_cert_url] contient une liste d'URL à cibler pour la détection des certificats. Chaque enregistrement possède également une référence facultative à la table Certificat unique [cmdb_ci_certificate], pour savoir quel certificat est associé à la définition d'URL spécifiée. Les paramètres nécessaires du Détection calendrier sont combinés pour créer et initialiser l’état Détection . La sonde [CertificateDiscoveryFromURLScan] détecte la chaîne de certificats pour chacune des URL du lot et génère une charge utile XML qui contient la chaîne de certificats de chaque certificat. Elle ajoute par ailleurs un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Détection via l’importation de certificats (version 1.1.7 de l’inventaire et de la gestion des certificats)

    Les certificats à importer sont détectés via le modèle Importer le certificat SSL, qui s’appuie sur les paramètres suivants.
    • Nom d’hôte/adresse IP sur lequel les certificats sont hébergés
    • Dossier où se trouvent les certificats
    • TLS_keepOriginalCertificate : la définition de ce paramètre sur vrai peut entraîner une augmentation de la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire.
    • Mid_temp_folder : Le dossier temporaire sur lequel les Serveur MID fichiers seront temporairement copiés.
    Remarque :
    L’option de sélection Serveur MID automatique n’est PAS prise en charge pour les combinaisons MID Windows et Linux. Si le Serveur MID est utilisé pour stocker les fichiers de certificats d'origine, le nom d'hôte/l'adresse IP doit être défini(e) sur blank ou sur localhost, et le Serveur MID spécifique doit être sélectionné pour le calendrier Détection.

    Détection via l’autorité CA (version 1.1.7 de Certificate Inventory and Management)

    Après avoir configuré les informations d’identification de gestion et d’inventaire des certificats avec l’autorité de certification GoDaddy, DigiCert, Entrust ou Sectigo et exécuté le Détection calendrier, le modèle d’autorité de certification spécifique appelle REST API (GoDaddy, DigiCert, Entrust ou Sectigo), collecte les informations de certificat, récupère la liste des certificats et stocke ces données dans les tables [cmdb_ci_certificate], [certificate_domain] et [sys_attachment].

    ca_api_url et ca_api_version sont des paramètres facultatifs. Si ces paramètres sont laissés vides à l’intérieur des paramètres de modèle, les valeurs par défaut seront utilisées. Les valeurs par défaut comprennent :
    • DigiCert : gestion des certificats (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust : gestion des certificats (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy : gestion des certificats (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - Gestion des certificats (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Les arguments des modèles GoDaddy, DigiCert, Entrust et Sectigo sont les suivants. À partir de la version 1.2.0, vous avez la possibilité d’analyser les autorités de certification (CA) Sectigo et Entrust.
    • Start_offset : position de décalage pour la lecture des certificats auprès des autorités de certification, avec une valeur par défaut de 0.
    • Limite : nombre de certificats à lire à partir du start_offset, avec une valeur par défaut de 1 500.
    • CredentialAlias : nom de l’alias ou de la balise d’informations d’identification lié aux informations d’identification de l’autorité de certification, ajouté dans la configuration du modèle d’exécution sans serveur.

      Si le paramètre TLS_keepOriginalCertificate est défini sur vrai, le fichier de certificat est joint au CI de certificat. Cela peut augmenter la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire.

    • IncludeCertStatus : paramètre permettant de spécifier des états de certificat supplémentaires à détecter, en plus des valeurs par défaut.
      Tableau 1. États des certificats par autorités de certification
      Autorité de certification États par défaut détectés
      Sectigo
      • Délivré
      • Expiré
      DigiCert et GoDaddy
      • Actif
      • Expiré
      • Révoqué
      • Annulé
      Entrust
      • Actif
      • Expiré
      • Révoqué
      Vous pouvez inclure plusieurs états de certificat en les séparant par des virgules.
    Remarque :
    Le champ État de la table Certificat unique [cmdb_ci_certificate] indique l’état du cycle de vie du certificat, et non l’état brut de l’API. Si l’API renvoie des états tels que Délivré, Valide, Expiré ou Annulé, ces états sont stockés comme « émis » dans la table Certificat unique [cmdb_ci_certificate].

    Une fois la phase de pré-détection terminée, passez à la phase post-détection.