(Facultatif) Exécuter la recherche d’enrichissement et vérifier les résultats attendus pour Whois

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Exécutez l’intégration Whois pour effectuer des recherches d’enrichissement sur les domaines renvoyés par l’intégration Reverse Whois .

    Avant de commencer

    Vérifiez que vous avez installé et configuré les modules d’extension Reverse Whois and Whois . Effectuez ces étapes uniquement après avoir exécuté la recherche de domaine avec le module d’extension Reverse Whois avec succès.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Les résultats sont affichés dans l’onglet Résultats de l’enrichissement de l’observable de l’enregistrement Observable.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Incidents > Afficher tous les incidents et localisez l’incident de sécurité sur lequel vous travaillez et qui a exécuté la recherche de domaine avec succès.
    2. Ouvrez l’enregistrement et cliquez sur le lien connexe Afficher toutes les listes connexes .
    3. Sélectionnez l’onglet Reverse Whois Domains (Inverser les domaines d’identification de whois ) en bas de l’enregistrement.
      Résultats de domaine de la recherche.
      Dans la colonne Domaines , la liste des domaines renvoyés s’affiche.
    4. Dans la colonne Observable , cliquez sur un observable.
      Dans l’onglet Observables enfants , les observables enfants sont affichés. Les observables enfants ne sont générés que si l’analyse initiale de l’observable par l’application Reverse Whois a renvoyé des domaines.
      Onglet Observables enfants avec des résultats.
    5. Sélectionnez les observables enfants sur lesquels vous souhaitez exécuter l’enrichissement des observables et, dans la liste de choix Action sur les lignes sélectionnées , sélectionnez Exécuter l’enrichissement des observables.
      Observable enfant sélectionné et liste de choix.
      La boîte de dialogue Exécuter l’enrichissement de l’observable s’affiche .
    6. Déplacez l’intégration Whois de Disponible à Sélectionné, puis cliquez sur Soumettre.
      Intégration Whois sélectionnée pour l’enrichissement des observables.
      Les résultats sont affichés dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement observable.
    7. Cliquez sur l’icône d’information bleue, puis sur Ouvrir l’enregistrement dans la boîte de dialogue qui s’affiche.
      Enregistrement de l’observable.
      Données brutes renvoyées à partir de l’enrichissement de l’observable enfant.
      Plus d’informations et de données brutes relatives à la recherche de domaine d’origine sont affichées, telles que la date d’enregistrement, le nom du bureau d’enregistrement et le pays d’origine.
    Si vous ne pouvez pas localiser les observables enfants ou les résultats d’enrichissement, vérifiez que l’intégration s’est exécutée Reverse Whois avec succès et a renvoyé des domaines. Consultez également les notes de travail pour plus d’informations.