Observáveis compatíveis para RISKIQ e RISKIQ WHOISIQ
A API RISKIQ oferece suporte a pesquisas automáticas de certificado SSL em observáveis de endereço IP, hash de arquivo, número de série do certificado, domínio e URL. Os observáveis de URL e domínio são enriquecidos automaticamente com a API WHOISIQ. Para enriquecimento observável em outros tipos de observáveis com a API WHOISIQ, crie observáveis e execute pesquisas manualmente na tabela Observáveis.
Observáveis compatíveis
A tabela a seguir lista o tipo de APIs usadas nesta integração e os observáveis compatíveis com cada API. A tabela também indica se uma pesquisa ocorre automaticamente quando os incidentes de segurança são criados ou se a pesquisa é executada manualmente na tabela Observáveis.
| API | Observáveis compatíveis | Pesquisa (automatizada ou manual) |
|---|---|---|
| RISKIQ API do certificado SSL |
|
Pesquisa automatizada quando os incidentes são criados. Os resultados são exibidos na guia Certificados SSL do registro de incidente de segurança. |
| RISKIQ WHOISIQ API |
|
Pesquisa automatizada quando os incidentes são criados. Os resultados são exibidos na guia Resultados de aprimoramento do observável no registro de incidente de segurança. |
| RISKIQ WHOISIQ API |
|
A pesquisa manual é executada na tabela Observáveis. Os resultados são exibidos na guia Resultados de aprimoramento do observável no registro do observável. |
Exemplo de hash de arquivo e número de série de certificado
Esta figura mostra um exemplo dos observáveis de hash de arquivo e número de série de certificado usados para as pesquisas de certificado SSL para esta integração. O hash do arquivo se refere a uma impressão digital SHA-1. Este valor é exibido em sua instância Now Platform sem os dois pontos separadores. Por exemplo, 646D4B7A0C59A66656E94DDADD6C798027EFC10F.
O observável número de série do certificado se refere ao ID exclusivo ou ao número de série da entidade. Este valor também é exibido sem os dois pontos separadores. Por exemplo, 00EA0F74B56D44BBBE0000000050DE1DFD.