Verificar os resultados esperados para RISKIQ pesquisas de certificado SSL

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Quando um incidente de segurança gera observáveis para URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificados, os analistas de incidentes de segurança usam os resultados da pesquisa de certificado SSL para verificar se os sites têm certificados que foram emitidos por um confiável autoridade de certificação (CA) pública.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Para observáveis compatíveis, o Now Platform verifica a ocorrência mais recente de URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificado. Estes são os resultados possíveis da verificação:

    Foi encontrada uma correspondência exata
    Um emissor válido de um certificado SSL é listado no registro de incidente de segurança.
    Nenhum resultado de certificação encontrado
    Nenhum resultado está listado no registro de Incidente de segurança.
    Foi encontrada uma correspondência exata para um certificado autoassinado ou gerado internamente
    Os resultados de um certificado SSL gerado internamente são exibidos no registro de incidente de segurança.
    Não foi encontrada uma correspondência exata para um certificado SSL primário
    Um valor de pesquisa retorna várias entradas e um certificado primário não pode ser identificado. Uma mensagem de resumo é exibida no registro do Incidente de segurança.

    Procedimento

    1. Para exibir os observáveis e verificar os resultados da pesquisa, abra o registro de incidente de segurança com o qual você está trabalhando e localize as anotações de trabalho.
      Para ilustrar exemplos dos possíveis resultados de pesquisa para esta integração, suponha que um incidente de segurança tenha sido gerado com os seguintes observáveis:
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabela 1. Observáveis e local dos resultados da pesquisa
      Observável (exemplo) Resultados da varredura Descrição e local
      comunidade.servicenow.com Certificado encontrado com um hash SHA1. Uma correspondência exata foi encontrada e um emissor válido de um certificado SSL está listado. Os resultados da correspondência exata são exibidos na guia Certificados SSL no registro de incidente de segurança.
      invalidsubdomain.servicenow.com Nenhum certificado encontrado. Um resumo que indica que nenhum resultado de certificado foi encontrado é exibido na guia Resultados de aprimoramento do observável no registro de incidente de segurança.
      mail.dgnetworks.com Certificado encontrado com hash SHA1. Uma correspondência exata é listada para um certificado autoassinado ou gerado internamente. Os resultados são exibidos na guia Certificados SSL no registro de incidente de segurança.
      servicenow.com A pesquisa retornou 138 certificados e não foi possível identificar um único certificado primário. Não foi encontrada uma correspondência exata para um certificado SSL primário, porque um valor de pesquisa retorna vários certificados. Um resumo que indica que nenhum certificado primário foi encontrado é exibido na guia Resultados de aprimoramento do observável no registro de incidente de segurança.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente. O status da pesquisa e os observáveis são exibidos nas anotações de trabalho.
    2. Verifique se a pesquisa foi executada com sucesso.
      Status de pesquisa em anotações de trabalho.

      Execução de status de pesquisa em anotações de trabalho.

    Se você não puder exibir os resultados esperados, verifique se o observável é compatível com a pesquisa de certificado SSL para a integração.