RISKIQ 여러 인증서를 반환하거나 인증서를 반환하지 않는 SSL 인증서 조회
보안 인시던트 분석가는 여러 SSL 인증서 결과를 사용하여 사이트가 공통적이고 인식 가능한 엔터티의 일부인지 여부를 확인할 수 있습니다. SSL 인증서 없음 결과는 이름이 모호하거나 의심스러운 사이트에 신뢰할 수 있는 인증서가 없음을 나타낼 수 있습니다. SSL 인증서를 반환하지 않거나 여러 SSL 인증서를 반환하는 옵저버블에 대한 조회 결과는 보안 인시던트 기록의 옵저버블 보강 결과 탭에 표시됩니다.
SSL 인증서 결과 없음 또는 여러 SSL 인증서 결과
단계에 따라 SSL 인증서를 반환하지 않거나 여러 인증서를 반환하는 옵저버블에 대한 결과를 확인합니다.
- 보안 인시던트 기록에서 옵저버블 보강 결과 탭을 클릭합니다.
그림 1. 옵저버블 보강 결과 탭 및 WHOISIQ 조회에 대한 RISKIQ 옵저버블 보강 결과가 표시됩니다.
Observable 열에서 servicenow.comSummary 열의 Search returned 138 certificates 메시지에 해당합니다. 마찬가지로 invalidsubdomain.servicenow.com요약열에서 인증서를 찾을 수 없음에 해당합니다. 이러한 요약은 여러 SSL 인증서가 발견되었으며 각각 SSL 인증서와 정확히 일치하는 항목이 없음을 나타냅니다.
- Observable 열에서 servicenow.com 클릭합니다.
그림 2. 여러 SSL 인증서 레코드에 표시되는 요약 메시지는 servicenow.com 에 대해 SSL 인증서에 대한 여러 결과가 반환되었으며 기본 SSL 인증서를 일치시킬 수 없음을 나타냅니다. 이 메시지는 servicenow.com 와 같은 공통 도메인 이름을 포함하는 조회에서 종종 반환됩니다.
공통 도메인에 대한 자세한 정보가 필요한 경우 API를 RISKIQ 사용하여 직접 검색을 수행할 수 있습니다. - Observable Enrichment Results(옵저버블 보강 결과) 탭으로 다시 이동하고 Observable(옵저버블) 열에서 invalidsubdomain.servicenow.com 클릭합니다.
그림 3. SSL 인증서 없음 주:- 현재 옵저버블에 대한 SSL 인증서를 찾을 수 없는 경우 요약 필드에 인증서를 찾을 수 없다는 메시지가 표시됩니다.
- 현재 옵저버블에 대한 활성 SSL 인증서를 찾을 수 없는 경우 요약 필드에 활성 인증서를 찾을 수 없습니다라는 메시지가 표시됩니다.