Vérifier les résultats attendus pour RISKIQ les recherches de certificats SSL

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Lorsqu’un incident de sécurité génère des observables pour les URL, les domaines, les adresses IP, les hachages de fichiers de certificat (empreinte digitale SHA-1) et les numéros de série des certificats, les analystes des incidents de sécurité utilisent les résultats de la recherche de certificats SSL pour vérifier que les sites disposent de certificats émis par une autorité de certification (CA) publique approuvée.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Pour les observables pris en charge, l’analyse Now Platform de l’occurrence la plus récente des URL, des domaines, des adresses IP, des hachages de fichier de certificat (empreinte digitale SHA-1) et des numéros de série de certificat. Voici les résultats possibles de l’analyse :

    Une correspondance exacte a été trouvée
    Un émetteur valide d’un certificat SSL est répertorié dans l’enregistrement d’incident de sécurité.
    Aucun résultat de certificat n’a été trouvé
    Aucun résultat n’est répertorié dans l’enregistrement d’incident de sécurité.
    Une correspondance exacte a été trouvée pour un certificat autosigné ou généré en interne
    Les résultats d’un certificat SSL généré en interne sont affichés dans l’enregistrement d’incident de sécurité.
    Aucune correspondance exacte n’a été trouvée pour un certificat SSL principal
    Une valeur de recherche renvoie plusieurs entrées et un certificat primaire ne peut pas être identifié. Un message récapitulatif s’affiche sur l’enregistrement d’incident de sécurité.

    Procédure

    1. Pour afficher les observables et vérifier les résultats de la recherche, ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et localisez les notes de travail.
      Pour illustrer des exemples de résultats de recherche possibles pour cette intégration, supposons qu’un incident de sécurité ait été généré avec les observables suivants :
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tableau 1. Observables et emplacement des résultats de la recherche
      Observable (exemple) Résultats de l'analyse Description et emplacement
      community.servicenow.com Certificat trouvé avec un hachage SHA1. Une correspondance exacte est trouvée et un émetteur valide d’un certificat SSL est répertorié. Les résultats de la correspondance exacte sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      invalidsubdomain.servicenow.com Aucun certificat n’a été trouvé. Un résumé indiquant qu’aucun résultat de certificat n’a été trouvé s’affiche dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      mail.dgnetworks.com Certificat trouvé avec hachage SHA1. Une correspondance exacte est répertoriée pour un certificat autosigné ou généré en interne. Les résultats sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      servicenow.com La recherche a renvoyé 138 certificats, et un seul certificat primaire n’a pas pu être identifié. Aucune correspondance exacte n’est trouvée pour un certificat SSL principal, car une valeur de recherche renvoie plusieurs certificats. Un résumé indiquant qu’aucun certificat primaire n’a été trouvé s’affiche dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      Une fois l’application configurée, le flux se lance automatiquement. L’état de la recherche et les observables sont affichés dans les notes de travail.
    2. Vérifiez que la recherche s’est correctement exécutée.
      Rechercher l’état dans les notes de travail.

      Rechercher l’exécution de l’état dans les notes de travail.

    Si vous ne pouvez pas afficher les résultats attendus, vérifiez que l’observable est pris en charge par la recherche de certificat SSL pour l’intégration.