ディスカバリー前フェーズ

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • ディスカバリー前フェーズには、証明書ディスカバリープロセスをスムーズに開始できるようにするための、スキャンパラメーターの定義や認証情報の詳細構成などの準備手順が含まれます。

    ポート経由のディスカバリー

    ポートプローブ [tls_ssl_certs] は、14 のデフォルトの事前承認済みポートを自動的にスキャンします。ポートプローブ [tls_ssl_certs] は、14 のデフォルトの事前承認済みポートを自動的にスキャンします。
    • SSL の一般的なポート:443、8443、9443、636 (ldaps)、993 (imaps)、995 (popssl)、989、990
    • StartTLS ポート:25 (smtp)、110、143、389、21、587 (smtp)

    Shazzam の CI ディスカバリープロセスの一環として、MID サーバーはスキャナーを使用して IP ポート番号から証明書チェーン情報を収集し、証明書階層を含むさまざまな属性をキャプチャします。MID サーバーはその後、これらの証明書を XML ペイロードに変換し、インスタンスと共有します。今度は Shazzam センサーが ECC キューエントリーを検出し、検出された証明書テーブル [sn_disco_certmgmt_certificate_history] に新しいレコードを挿入します。

    次のフィールドが XML ペイロードからプルされ、検出された証明書の Shazzam TLS ポートプローブから Java コードで検証されます:certificate id、revocation_status、subject、issuer、sans/、is_self_signed、is_ca、valid_from、valid_to、signature_algorithm、fingerprint_algorithm、key_size、serial_number、および version。

    URL 経由のディスカバリー

    証明書 URL [sn_disco_certmgmt_cert_url] テーブルには、証明書ディスカバリーのターゲットになる URL のリストが含まれています。また各レコードには、所定の URL 定義にどの証明書が関連付けられているかを確認するために、一意の証明書 [cmdb_ci_certificate] テーブルに対するオプションの参照があります。ディスカバリースケジュールから必要なパラメーターが結合され、ディスカバリーステータスが作成され初期化されます。[CertificateDiscoveryFromURLScan] プローブはバッチ内の各 URL の証明書チェーンを検出し、各証明書の証明書チェーンを含む XML ペイロードを出力します。また、検出された証明書 [sn_disco_certmgmt_certificate_history] テーブルに新しいレコードを追加します。

    インポート証明書経由のディスカバリー (証明書インベントリと管理バージョン 1.1.7)

    インポート証明書は、次のパラメーターに依存するインポート SSL 証明書パターンによって検出されます。
    • 証明書がホストされているホスト名 / IP
    • 証明書が配置されているフォルダー
    • TLS_keepOriginalCertificate:このパラメーターを true に設定すると、ペイロードサイズの増加につながる場合があり、メモリ不足の問題が発生する可能性があります。
    • Mid_temp_folder:ファイルが一時的にコピーされる MID サーバー上の一時フォルダー。
    注:
    MID サーバーの自動選択オプションは、Windows および Linux mid の組み合わせではサポートされていません。オリジナルの証明書ファイルを保存するために MID サーバーを使用している場合は、ホスト名 / IP を空または localhost に設定し、ディスカバリーのスケジュールに対して特定の MID サーバーを選択する必要があります。

    CA 局経由のディスカバリー (証明書インベントリと管理バージョン 1.1.7)

    証明書インベントリと管理の認証情報が GoDaddy、DigiCert、Entrust、または Sectigo 認証局でセットアップされ、ディスカバリースケジュールが実行されると、特定の CA パターンによって REST API が GoDaddy、DigiCert、Entrust、または Sectigo を呼び出し、証明書の情報が収集されます。その後、証明書のリストが取得され、[cmdb_ci_certificate]、[certificate_domain]、[sys_attachment] テーブルに保存されます。

    ca_api_url と ca_api_version はオプションのパラメーターです。これらのパラメーターがパターンパラメーター内で空のままになっている場合は、デフォルト値が使用されます。デフォルト値は次のようになります。
    • DigiCert:証明書管理 (ca_api_version = v2、ca_api_url = https://www.digicert.com/services/)
    • Entrust:証明書管理 (ca_api_version = v2、ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy:証明書管理 (ca_api_version = v1、ca_api_url = https://api.godaddy.com/)
    • Sectigo:証明書管理 (ca_api_version = v1、ca_api_url = https://cert-manager.com/api/ssl/)
    GoDaddy、DigiCert、Entrust、Sectigo パターンの引数は次のとおりです。バージョン 1.2.0 以降では、Sectigo および Entrust 認証局 (CA) をスキャンする機能があります。
    • Start_offset:CA からの証明書を読み込むためのオフセット位置 (デフォルト値は 0)。
    • Limit:start_offset から読み取られる証明書の数 (デフォルト値は 1500)。
    • CredentialAlias:サーバーなしの実行パターン構成で追加された、認証情報エイリアスの名前または CA 認証情報にリンクされたタグ。

      TLS_keepOriginalCertificate パラメーターが true に設定されている場合、証明書ファイルは証明書 CI に添付されます。これにより、ペイロードサイズが増加する場合があり、メモリ不足の問題が発生する可能性があります。

    • IncludeCertStatus:デフォルト以外の検出対象の証明書状況を指定するためのパラメーター。
      表 : 1. 認証局による証明書状況
      認証局 検出されたデフォルトの状況
      Sectigo
      • 発行済み
      • 期限切れ
      DigiCert と GoDaddy
      • アクティブ
      • 期限切れ
      • 取り消し済み
      • キャンセル済み
      Entrust
      • アクティブ
      • 期限切れ
      • 取り消し済み
      複数の証明書ステータスを含めるには、それぞれをカンマで区切ってください。
    注:
    一意の証明書 [cmdb_ci_certificate] テーブルの [ステータス] フィールドには、API からの生のステータスではなく、証明書ライフサイクルのステータスが示されます。API によって発行済み、有効、期限切れ、またはキャンセル済みなどの状況が返された場合、それらの状況は「発行済み」として一意の証明書 [cmdb_ci_certificate] テーブルに格納されます。

    ディスカバリー前フェーズが完了したら、 検出後フェーズに進みます。