複数の証明書を返す、または証明書を返さない RISKIQ SSL 証明書のルックアップ
セキュリティインシデントアナリストは、複数の SSL 証明書を返す結果を利用して、サイトが共通の認識可能なエンティティの一部であるかどうかを判断できます。SSL 証明書がない場合は、あいまいまたは不審な名前のサイトに信頼できる証明書がないことを示している可能性があります。SSL 証明書を返さない、または複数の SSL 証明書を返す観測事象のルックアップ結果は、セキュリティインシデントレコードの [観測事象の拡張結果] タブに表示されます。
SSL 証明書がない、または複数の SSL 証明書を返す結果
SSL 証明書を返さない、または複数の証明書を返す観測事象の結果を表示するには、次の手順に従います。
- セキュリティインシデントレコードで、[観測事象の拡張結果] タブをクリックします。
図 : 1. [観測事象の拡張結果] タブ RISKIQ および WHOISIQ ルックアップの観測事象の拡張結果が表示されます。
[観測事象 (Observable)] 列の、servicenow.com は、[サマリー] 列の「検索で 138 件の証明書が返されました (Search returned 138 certificates)」メッセージに対応します。同様に、invalidsubdomain.servicenow.com は、[サマリー] 列の「証明書が見つかりませんでした」に対応します。これらのサマリーはそれぞれ、複数の SSL 証明書が見つかったこと、完全一致する SSL 証明書が見つからなかったこと示しています。
- [観測事象 (Observable)] 列で、servicenow.com をクリックします。
図 : 2. 複数の SSL 証明書 レコードに表示されるサマリーメッセージは、servicenow.com に一致する複数の SSL 証明書が返され、プライマリ SSL 証明書を特定できなかったことを示しています。このメッセージは、servicenow.com のような一般的なドメイン名を含むルックアップで返されることがよくあります。
一般的なドメインに関する詳細情報が必要な場合は、RISKIQ API を使用して直接検索を実行できます。 - [観測事象の拡張結果] タブに戻り、[観測事象 (Observable)] 列で、invalidsubdomain.servicenow.com をクリックします。
図 : 3. SSL 証明書なし 注:- 現在の観測事象の SSL 証明書が見つからない場合は、[サマリー] フィールドに「証明書が見つかりませんでした」というメッセージが表示されます。
- 現在の観測事象のアクティブな SSL 証明書が見つからない場合は、[サマリー] フィールドに「アクティブな証明書が見つかりませんでした」というメッセージが表示されます。