Phase de pré-détection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • La phase de pré-détection comprend des étapes préparatoires, telles que la définition des paramètres d’analyse et la configuration des détails des informations d’identification, afin d’assurer un lancement sans heurts du processus de détection du certificat.

    Découverte via les ports

    La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés. La sonde de port [tls_ssl_certs] analyse automatiquement 14 ports par défaut préalablement autorisés.
    • Ports typiques pour SSL : 443, 8443, 9443, 636 (ldaps), 993 (imaps), 995 (popssl), 989, 990
    • Ports StartTLS : 25 (smtp), 110, 143, 389, 21, 587 (smtp)

    Dans le cadre du processus de CI Découverte pendant Shazzam, l’utilise Serveur MID des scanners pour recueillir des informations sur la chaîne de certificats à partir du numéro de port IP, capturant divers attributs, y compris la hiérarchie des certificats. Il Serveur MID transforme ensuite ces certificats en une charge utile XML, qu’il partage avec l’instance. Le capteur Shazzam, à son tour, détecte l’entrée de file d’attente ECC et insère un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Les champs suivants sont extraits de la charge utile XML et vérifiés en code Java à partir de la sonde de port TLS Shazzam pour les certificats détectés : ID de certificat, revocation_status, Objet, Émetteur, Sans/, is_self_signed, is_ca, valid_from, valid_to, signature_algorithm, fingerprint_algorithm, key_size, serial_number et Version.

    Découverte via les URL

    La table URL du certificat [sn_disco_certmgmt_cert_url] contient une liste d'URL à cibler pour la détection des certificats. Chaque enregistrement possède également une référence facultative à la table Certificat unique [cmdb_ci_certificate], pour savoir quel certificat est associé à la définition d'URL spécifiée. Les paramètres nécessaires du Découverte calendrier sont combinés pour créer et initialiser l’état Découverte . La sonde [CertificateDiscoveryFromURLScan] détecte la chaîne de certificats pour chacune des URL du lot et génère une charge utile XML qui contient la chaîne de certificats de chaque certificat. Elle ajoute par ailleurs un nouvel enregistrement dans la table Certificat détecté [sn_disco_certmgmt_certificate_history].

    Découverte via l’importation de certificats (version 1.1.7 Certificate Inventory and Management)

    Les certificats d’importation sont détectés via le modèle d’importation de certificat SSL, qui s’appuie sur les paramètres suivants.
    • Nom d’hôte/adresse IP où les certificats sont hébergés
    • Dossier dans lequel se trouvent les certificats
    • TLS_keepOriginalCertificate : la définition de ce paramètre sur vrai peut entraîner une augmentation de la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire insuffisante.
    • Mid_temp_folder : Le dossier temporaire sur lequel Serveur MID les fichiers seront temporairement copiés.
    Remarque :
    L’option de sélection Serveur MID automatique n’est PAS prise en charge pour les combinaisons MID Windows et Linux. Si le Serveur MID est utilisé pour stocker les fichiers de certificats d'origine, le nom d'hôte/l'adresse IP doit être défini(e) sur blank ou sur localhost, et le Serveur MID spécifique doit être sélectionné pour le calendrier Découverte.

    Découverte via l’autorité de certification (version 1.1.7 Certificate Inventory and Management)

    Une fois que les informations d’identification de gestion et d’inventaire des certificats sont configurées avec l’autorité de certification GoDaddy, DigiCert, Entrust ou Sectigo et que le Découverte calendrier s’exécute, le modèle CA spécifique effectue des appels REST API à (GoDaddy, DigiCert, Entrust ou Sectigo), collecte les informations de certificat, récupère la liste des certificats et la stocke dans les tables [cmdb_ci_certificate], [certificate_domain] et [sys_attachment].

    ca_api_url et ca_api_version sont des paramètres facultatifs. Si ces paramètres sont laissés vides à l’intérieur des paramètres du modèle, les valeurs par défaut sont utilisées. Les valeurs par défaut sont les suivantes :
    • DigiCert : gestion des certificats (ca_api_version = v2, ca_api_url = https://www.digicert.com/services/)
    • Entrust : gestion des certificats (ca_api_version = v2, ca_api_url = https://api.entrust.net/enterprise/)
    • GoDaddy : gestion des certificats (ca_api_version = v1, ca_api_url = https://api.godaddy.com/)
    • Sectigo - Gestion des certificats (ca_api_version = v1, ca_api_url = https://cert-manager.com/api/ssl/)
    Les arguments en faveur des modèles GoDaddy, DigiCert, Entrust et Sectigo sont les suivants. À partir de la version 1.2.0, vous avez la possibilité d’analyser les autorités de certification (CA) Sectigo et Entrust.
    • Start_offset : position de décalage pour la lecture des certificats des autorités de certification, avec une valeur par défaut de 0.
    • Limite : nombre de certificats à lire à partir du start_offset, avec une valeur par défaut de 1 500.
    • CredentialAlias : nom de l’alias ou de la balise d’informations d’identification lié aux informations d’identification de l’autorité de certification, ajouté dans la configuration du modèle d’exécution sans serveur.

      Si le paramètre TLS_keepOriginalCertificate est défini sur true, le fichier de certificat est joint au CI de certificat. Cela peut augmenter la taille de la charge utile, ce qui peut entraîner des problèmes de mémoire insuffisante.

    • IncludeCertStatus : paramètre permettant de spécifier des états de certificat supplémentaires à détecter, en plus des valeurs par défaut.
      Tableau 1. États des certificats par les autorités de certification
      Autorité de certification États par défaut détectés
      Sectigo
      • Délivré
      • Expiré
      DigiCert et GoDaddy
      • Actif
      • Expiré
      • Révoqué
      • Annulé
      Entrust
      • Actif
      • Expiré
      • Révoqué
      Vous pouvez inclure plusieurs états de certificat en les séparant chacun par des virgules.
    Remarque :
    Le champ d’état de la table Certificat unique [cmdb_ci_certificate] indique l’état du cycle de vie du certificat, et non l’état brut de l’API. Si l’API renvoie des états tels qu’émis, valide, expiré ou annulé, ils sont stockés comme « émis » dans la table Certificat unique [cmdb_ci_certificate].

    Une fois la phase de pré-découverte terminée, passez à la phase post-découverte.