Vérifier les résultats attendus pour WHOISIQ les recherches d’URL

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Lorsqu’un incident de sécurité génère des observables pour les URL ou les domaines, l’API WHOISIQ procède automatiquement à l’enrichissement des observables lors de la création de l’incident de sécurité. Les résultats de la recherche sont affichés dans les onglets Résultats de l’enrichissement de l’observable et Certificats SSL de l’enregistrement d’incident de sécurité.

    Avant de commencer

    Remarque :
    Les figures des étapes suivantes sont affichées avec le paramètre Formulaires à onglets actif dans les paramètres du système.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Les résultats de l’enrichissement des observables sont affichés dans l’onglet Résultats de l’enrichissement des observables en bas de l’enregistrement d’incident de sécurité. Pour les observables pris en charge, une recherche de certificats SSL est également exécutée et les résultats sont affichés dans l’onglet Certificats SSL.

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche a été exécutée avec succès dans les notes de travail.
      Notes de travail pour l’observable d’URL.
      Une fois l’application configurée, le flux se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est affiché dans les notes de travail de l’enregistrement d’incident de sécurité.
    2. Si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée, consultez les notes de travail pour plus d’informations sur la façon de procéder.
    3. Sur l’incident de sécurité ouvert, cliquez sur le lien connexe Afficher toutes les listes connexes .
    4. Cliquez sur l’onglet Résultats de l’enrichissement de l’observable pour le sélectionner.
    5. Dans la colonne Résumé, cliquez sur le premier élément, Domaine : uber.com Bureau d’enregistrement : Markmonitor...
      Résultats de l’enrichissement des observables et sélectionnez un élément dans la colonne Résumé.
      Enregistrement de domaine avec informations.
      L’enregistrement qui s’affiche contient des informations sur le domaine.
    6. Revenez à l’onglet Résultats de l’enrichissement des observables et, dans la colonne Résumé , cliquez sur le deuxième élément, Certificat trouvé avec hachage SHA1....
      Enregistrement de certificat SSL avec hachage de fichier.
      Cet enregistrement indique qu’un certificat SSL avec un hachage de fichier a été trouvé.
    7. Revenez à l’enregistrement d’incident de sécurité et cliquez sur l’onglet Certificats SSL .
      Onglet Certificats SSL dans la recherche d’URL.
      Les résultats du certificat SSL pour le hachage de fichier sont également affichés ici.
    Si vous ne pouvez pas afficher les résultats attendus, passez en revue les notes de travail. Vérifiez également que l’observable est pris en charge pour la recherche par l’intégration.