Verificar resultados esperados para WHOISIQ pesquisas de URL

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Quando um incidente de segurança gera observáveis para URLs ou domínios, a API WHOISIQ executa o aprimoramento do observável automaticamente após a criação do incidente de segurança. Os resultados da pesquisa são exibidos nas guias Resultados de aprimoramento do observável e Certificados SSL no registro de incidente de segurança.

    Antes de Iniciar

    Nota:
    As imagens nas etapas a seguir são mostradas com a configuração Formulários com guias ativa nas Configurações do sistema.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Os resultados de aprimoramento do observável são exibidos na guia Resultados de aprimoramento do observável na parte inferior do registro de incidente de segurança. Para observáveis compatíveis, uma pesquisa de certificado SSL também é executada e os resultados são exibidos na guia Certificados SSL.

    Procedimento

    1. Abra o registro de incidente de segurança com o qual você está trabalhando e verifique se a pesquisa foi executada com sucesso nas anotações de trabalho.
      Anotações de trabalho para observável URL.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente após a criação do incidente. O status de execução e conclusão da pesquisa é exibido nas anotações de trabalho no registro de Incidente de segurança.
    2. Se você não puder verificar se a pesquisa foi executada com sucesso, revise as anotações de trabalho para obter mais informações sobre como prosseguir.
    3. No incidente de segurança em aberto, clique no link relacionado Mostrar todas as listas relacionadas.
    4. Clique na guia Resultados de aprimoramento do observável para selecioná-la.
    5. Na coluna Resumo, clique no primeiro item, Domínio: uber.com Registrador: Markmonitor....
      Clique na guia Resultados de aprimoramento do observável e selecione um item na coluna Resumo.
      Registro de domínio com informações.
      O registro exibido contém informações sobre o domínio.
    6. Navegue de volta para a guia Resultados de aprimoramento do observável e, na coluna Resumo, clique no segundo item, Certificado encontrado com hash SHA1....
      Registro de certificado SSL com hash de arquivo.
      Este registro indica que um certificado SSL foi encontrado com um hash de arquivo.
    7. Navegue de volta para o registro do incidente de segurança e clique na guia Certificados SSL.
      Guia Certificados SSL na pesquisa de URL.
      Os resultados do certificado SSL para o hash do arquivo também são exibidos aqui.
    Se você não puder exibir os resultados esperados, revise as anotações de trabalho. Além disso, verifique se o observável é compatível com a pesquisa pela integração.