Vérifier les résultats attendus pour RISKIQ les recherches de certificats SSL

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Lorsqu’un incident de sécurité génère des observables pour les URL, les domaines, les adresses IP, les hachages de fichier de certificat (empreinte digitale SHA-1) et les numéros de série des certificats, les analystes des incidents de sécurité utilisent les résultats de la recherche de certificats SSL pour vérifier que les sites disposent de certificats émis par une autorité de certification (CA) publique approuvée.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Pour les observables pris en charge, recherchez Now Platform l’occurrence la plus récente des URL, des domaines, des adresses IP, des hachages de fichier de certificat (empreinte digitale SHA-1) et des numéros de série de certificat. Les résultats possibles de l’analyse sont les suivants :

    Une correspondance exacte a été trouvée
    Un émetteur valide d’un certificat SSL est répertorié sur l’enregistrement d’incident de sécurité.
    Aucun résultat de certificat n’a été trouvé
    Aucun résultat n’est répertorié sur l’enregistrement d’incident de sécurité.
    Une correspondance exacte a été trouvée pour un certificat autosigné ou généré en interne
    Les résultats d’un certificat SSL généré en interne sont affichés dans l’enregistrement d’incident de sécurité.
    Aucune correspondance exacte n’a été trouvée pour un certificat SSL principal
    Une valeur de recherche renvoie plusieurs entrées et un certificat primaire ne peut pas être identifié. Un message récapitulatif s’affiche dans l’enregistrement d’incident de sécurité.

    Procédure

    1. Pour afficher les observables et vérifier les résultats de la recherche, ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et localisez les notes de travail.
      Pour illustrer les exemples des résultats de recherche possibles pour cette intégration, supposons qu’un incident de sécurité ait été généré avec les observables suivants :
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tableau 1. Observables et emplacement des résultats de recherche
      Observable (exemple) Résultats de l'analyse Description et localisation
      community.servicenow.com Certificat trouvé avec hachage SHA1. Une correspondance exacte est trouvée et un émetteur valide d’un certificat SSL est répertorié. Les résultats de la correspondance exacte sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      invalidsubdomain.servicenow.com Aucun certificat n’a été trouvé. Un résumé indiquant qu’aucun résultat de certificat n’a été trouvé s’affiche dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      mail.dgnetworks.com Certificat trouvé avec hachage SHA1. Une correspondance exacte est répertoriée pour un certificat autosigné ou généré en interne. Les résultats sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
      servicenow.com La recherche a renvoyé 138 certificats, et un seul certificat primaire n’a pas pu être identifié. Aucune correspondance exacte n’est trouvée pour un certificat SSL principal, car une valeur de recherche renvoie plusieurs certificats. Un résumé indiquant qu’aucun certificat principal n’a été trouvé s’affiche dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
      Une fois l’application configurée, le workflow se lance automatiquement. L’état de la recherche et les observables sont affichés dans les notes de travail.
    2. Vérifiez que la recherche s’est exécutée correctement.
      État de la recherche dans les notes de travail.
    Si vous ne pouvez pas afficher les résultats attendus, vérifiez que l’observable est pris en charge par la recherche de certificat SSL pour l’intégration.