Vérifier les résultats attendus pour RISKIQ les recherches de certificat SSL

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Lorsqu’un incident de sécurité génère des observables pour les URL, les domaines, les adresses IP, les hachages de fichiers de certificat (empreinte digitale SHA-1) et les numéros de série de certificat, les analystes d’incidents de sécurité utilisent les résultats de recherche de certificat SSL pour vérifier que les sites disposent de certificats émis par une autorité de certification publique (CA) approuvée.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Pour les observables pris en charge, les Now Platform analyses recherchent l’occurrence la plus récente d’URL, de domaines, d’adresses IP, de hachages de fichiers de certificat (empreinte digitale SHA-1) et de numéros de série de certificat. Voici les résultats possibles de l’analyse :

    Une correspondance exacte est trouvée
    Un émetteur valide d’un certificat SSL est répertorié dans l’enregistrement d’incident de sécurité.
    Aucun résultat de certificat trouvé
    Aucun résultat n’est répertorié sur l’enregistrement d’incident de sécurité.
    Une correspondance exacte est trouvée pour un certificat auto-signé ou généré en interne
    Les résultats d’un certificat SSL généré en interne sont affichés dans l’enregistrement d’incident de sécurité.
    Aucune correspondance exacte n’est trouvée pour un certificat SSL primaire
    Une valeur de recherche renvoie plusieurs entrées et un certificat primaire ne peut pas être identifié. Un message récapitulatif s’affiche sur l’enregistrement d’incident de sécurité.

    Procédure

    1. Pour afficher les observables et vérifier les résultats de la recherche, ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et localisez les notes de travail.
      Pour illustrer des exemples des résultats de recherche possibles pour cette intégration, supposons qu’un incident de sécurité a été généré avec les observables suivants :
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tableau 1. Observables et emplacement des résultats de la recherche
      Observable (exemple) Résultats de l'analyse Description et emplacement
      community.servicenow.com Certificat trouvé avec un hachage SHA1. Une correspondance exacte est trouvée et un émetteur valide d’un certificat SSL est répertorié. Les résultats de la correspondance exacte sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      invalidsubdomain.servicenow.com Aucun certificat trouvé. Un résumé indiquant qu’aucun résultat de certification n’a été trouvé est affiché dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      mail.dgnetworks.com Certificat trouvé avec hachage SHA1. Une correspondance exacte est répertoriée pour un certificat auto-signé ou généré en interne. Les résultats sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      servicenow.com La recherche a renvoyé 138 certificats, et un seul certificat primaire n’a pas pu être identifié. Aucune correspondance exacte n’est trouvée pour un certificat SSL principal, car une valeur de recherche renvoie plusieurs certificats. Un résumé indiquant qu’aucun certificat primaire n’a été trouvé est affiché dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      Une fois l’application configurée, le flux se lance automatiquement. L’état de la recherche et les observables sont affichés dans les notes de travail.
    2. Vérifiez que la recherche s’est exécutée avec succès.
      Recherchez l’état dans les notes de travail.

      Exécution de la recherche de l’état dans les notes de travail.

    Si vous ne pouvez pas afficher les résultats attendus, vérifiez que l’observable est pris en charge par la recherche de certificat SSL pour l’intégration.