Verifique os resultados esperados para RISKIQPesquisas de certificados SSL

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Quando um incidente de segurança gera observáveis para URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificados, os analistas de incidentes de segurança usam os resultados da pesquisa de certificados SSL para verificar se os sites têm certificados emitidos por uma autoridade certificadora (CA) pública confiável.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Para observáveis compatíveis, o. Now PlatformVerifica a ocorrência mais recente de URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série do certificado. Estes são os possíveis resultados da verificação:

    Uma correspondência exata foi encontrada
    Um emissor válido de um certificado SSL está listado no registro de incidente de segurança.
    Nenhum resultado de certificado encontrado
    Nenhum resultado está listado no registro de incidente de segurança.
    Uma correspondência exata foi encontrada para um certificado autoassinado ou gerado internamente
    Os resultados de um certificado SSL gerado internamente são exibidos no registro de incidente de segurança.
    Não foi encontrada uma correspondência exata para um certificado SSL primário
    Um valor de pesquisa retorna várias entradas e um certificado primário não pode ser identificado. Uma mensagem de resumo é exibida no registro de incidente de segurança.

    Procedimento

    1. Para exibir os observáveis e verificar os resultados da pesquisa, abra o registro de incidente de segurança com o qual você está trabalhando e localize as anotações de trabalho.
      Para ilustrar exemplos dos possíveis resultados de pesquisa para esta integração, suponha que um incidente de segurança tenha sido gerado com os seguintes observáveis:
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabela 1. Observáveis e local dos resultados da pesquisa
      Observável (exemplo) Resultados da verificação Descrição e localização
      community.servicenow.com Certificado encontrado com um hash sha1. Uma correspondência exata foi encontrada e um emissor válido de um certificado SSL é listado. Os resultados da correspondência exata são exibidos no Certificados SSL no registro de incidente de segurança.
      invalidsubdomain.servicenow.com Nenhum certificado encontrado. Um resumo que indica que nenhum resultado de certificado foi encontrado é exibido no Resultados de aprimoramento do observável no registro de incidente de segurança.
      mail.dgnetworks.com Certificado com hash sha1 encontrado. Uma correspondência exata é listada para um certificado autoassinado ou gerado internamente. Os resultados são exibidos no Certificados SSL no registro de incidente de segurança.
      servicenow.com A pesquisa retornou 138 certificados e não foi possível identificar um único certificado primário. Não foi encontrada uma correspondência exata para um certificado SSL primário, porque um valor de pesquisa retorna vários certificados. Um resumo que indica que nenhum certificado primário foi encontrado é exibido no Resultados de aprimoramento do observável no registro de incidente de segurança.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente. O status de pesquisa e os observáveis são exibidos nas anotações de trabalho.
    2. Verifique se a pesquisa foi executada com sucesso.
      Status da pesquisa em anotações de trabalho.

      Execução de status de pesquisa em anotações de trabalho.

    Se você não puder exibir os resultados esperados, verifique se o observável é compatível com a pesquisa de certificado SSL para a integração.