Überprüfen Sie die erwarteten Ergebnisse für RISKIQ SSL-Zertifikatsuchen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Wenn ein Security Incident erkennbare Elemente für URLs, Domänen, IP-Adressen, Zertifikatdatei-Hashes (SHA-1-Fingerabdruck) und Zertifikat-Seriennummern generiert, verwenden Security Incident-Analysten die Ergebnisse der SSL-Zertifikatsuche, um zu überprüfen, ob Websites über Zertifikate verfügen, die von einem vertrauenswürdigen ausgegeben wurden öffentliche Zertifizierungsstelle (CA).

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Für unterstützte erkennbare Elemente scannt Now Platform nach dem letzten Vorkommen von URLs, Domänen, IP-Adressen, Zertifikatdatei-Hashes (SHA-1-Fingerabdruck) und Zertifikat-Seriennummern. Dies sind mögliche Ergebnisse des Scans:

    Es wurde eine exakte Übereinstimmung gefunden
    Ein gültiger Aussteller eines SSL-Zertifikats wird im Security Incident-Datensatz aufgeführt.
    Es wurden keine Zertifikatergebnisse gefunden
    Im Security Incident-Datensatz werden keine Ergebnisse aufgeführt.
    Für ein selbstsigniertes oder intern generiertes Zertifikat wird eine exakte Übereinstimmung gefunden
    Die Ergebnisse für ein intern generiertes SSL-Zertifikat werden im Security Incident-Datensatz angezeigt.
    Für ein primäres SSL-Zertifikat wurde keine exakte Übereinstimmung gefunden
    Ein Suchwert gibt mehrere Einträge zurück, und ein primäres Zertifikat kann nicht identifiziert werden. Eine Zusammenfassungsnachricht wird im Security Incident-Datensatz angezeigt.

    Prozedur

    1. Um die erkennbaren Elemente anzuzeigen und die Suchergebnisse zu überprüfen, öffnen Sie den Security Incident-Datensatz, mit dem Sie arbeiten, und suchen Sie die Arbeitsnotizen.
      Um Beispiele für die möglichen Suchergebnisse für diese Integration zu veranschaulichen, nehmen Sie an, dass ein Security Incident mit den folgenden erkennbaren Elementen generiert wurde:
      • community.servicenow.com
      • ungültige Subdomäne.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabelle : 1. Erkennbare Elemente und Speicherort der Suchergebnisse
      Erkennbares Element (Beispiel) Scan-Ergebnisse Beschreibung und Standort
      community.servicenow.com Zertifikat mit SHA1-Hash gefunden. Es wird eine exakte Übereinstimmung gefunden, und ein gültiger Aussteller eines SSL-Zertifikats wird aufgelistet. Die Ergebnisse für die genaue Übereinstimmung werden auf der Registerkarte SSL-Zertifikate im Security Incident-Datensatz angezeigt.
      ungültige Subdomäne.servicenow.com Keine Zertifikate gefunden. Eine Zusammenfassung, die angibt, dass keine Zertifikatergebnisse gefunden wurden, wird auf der Registerkarte Anreicherung erkennbarer Elemente – Ergebnisse des Security Incident-Datensatzes angezeigt.
      mail.dgnetworks.com Zertifikat mit SHA1-Hash gefunden. Eine genaue Übereinstimmung wird für ein selbstsigniertes oder intern generiertes Zertifikat aufgelistet. Die Ergebnisse werden auf der Registerkarte SSL-Zertifikate im Security Incident-Datensatz angezeigt.
      servicenow.com Die Suche ergab 138 Zertifikate, und ein einzelnes primäres Zertifikat konnte nicht identifiziert werden. Für ein primäres SSL-Zertifikat wird keine exakte Übereinstimmung gefunden, da ein Suchwert mehrere Zertifikate zurückgibt. Eine Zusammenfassung, die angibt, dass kein primäres Zertifikat gefunden wurde, wird auf der Registerkarte Anreicherung erkennbarer Elemente – Ergebnisse des Security Incident-Datensatzes angezeigt.
      Nachdem die Anwendung konfiguriert wurde, wird der Workflow automatisch gestartet. Der Suchstatus und die erkennbaren Elemente werden in den Arbeitsnotizen angezeigt.
    2. Stellen Sie sicher, dass die Suche erfolgreich ausgeführt wurde.
      Suchstatus in Arbeitsnotizen.
    Wenn Sie die erwarteten Ergebnisse nicht anzeigen können, stellen Sie sicher, dass das erkennbare Element von der SSL-Zertifikatsuche für die Integration unterstützt wird.