Verifique os resultados esperados para RISKIQ Pesquisas de certificados SSL

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Quando um incidente de segurança gera observáveis para URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificados, os analistas de incidentes de segurança usam os resultados da pesquisa de certificado SSL para verificar se os sites têm certificados emitidos por uma autoridade de certificação (CA) pública confiável.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Para observáveis compatíveis, o. ServiceNow AI Platform Verifica a ocorrência mais recente de URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série do certificado. Estes são os resultados possíveis da verificação:

    Uma correspondência exata foi encontrada
    Um emissor válido de um certificado SSL é listado no registro de Incidente de segurança.
    Nenhum resultado de certificado encontrado
    Nenhum resultado está listado no registro de Incidente de segurança.
    Uma correspondência exata foi encontrada para um certificado autoassinado ou gerado internamente
    Os resultados de um certificado SSL gerado internamente são exibidos no registro de Incidente de segurança.
    Não foi encontrada uma correspondência exata para um certificado SSL primário
    Um valor de pesquisa retorna várias entradas e um certificado primário não pode ser identificado. Uma mensagem de resumo é exibida no registro de Incidente de segurança.

    Procedimento

    1. Para exibir os observáveis e verificar os resultados da pesquisa, abra o registro de incidente de segurança com o qual você está trabalhando e localize as anotações de trabalho.
      Para ilustrar exemplos dos possíveis resultados de pesquisa para esta integração, suponha que um incidente de segurança tenha sido gerado com os seguintes observáveis:
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabela 1. Observáveis e local dos resultados da pesquisa
      Observável (exemplo) Resultados da verificação Descrição e localização
      community.servicenow.com Certificado encontrado com um hash SHA1. Uma correspondência exata é encontrada e um emissor válido de um certificado SSL é listado. Os resultados da correspondência exata são exibidos no Certificados SSL no registro de incidente de segurança.
      invalidsubdomain.servicenow.com Nenhum certificado encontrado. Um resumo que indica que nenhum resultado de certificado foi encontrado é exibido no Resultados de aprimoramento do observável no registro de incidente de segurança.
      mail.dgnetworks.com Certificado encontrado com hash SHA1. Uma correspondência exata é listada para um certificado autoassinado ou gerado internamente. Os resultados são exibidos no Certificados SSL no registro de incidente de segurança.
      servicenow.com A pesquisa retornou 138 certificados e um único certificado primário não pôde ser identificado. Uma correspondência exata não foi encontrada para um certificado SSL primário, porque um valor de pesquisa retorna vários certificados. Um resumo que indica que nenhum certificado primário foi encontrado é exibido no Resultados de aprimoramento do observável no registro de incidente de segurança.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente. O status de pesquisa e os observáveis são exibidos nas anotações de trabalho.
    2. Verifique se a pesquisa foi executada com sucesso.
      Status da pesquisa em anotações de trabalho.

      Execução de status de pesquisa em anotações de trabalho.

    Se você não puder exibir os resultados esperados, verifique se o observável é compatível com a pesquisa de certificado SSL para a integração.