Observables pris en charge pour RISKIQ et RISKIQ WHOISIQ

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’API RISKIQ prend en charge les recherches automatiques de certificats SSL sur les observables d’adresse IP, de hachage de fichier, de numéro de série de certificat, de domaine et d’URL. Les observables d’URL et de domaine sont enrichis automatiquement avec l’API WHOISIQ . Pour l’enrichissement des observables sur d’autres types d’observables avec l’API WHOISIQ , créez des observables et exécutez des recherches manuellement à partir de la table Observables.

    Observables pris en charge

    Le tableau suivant répertorie le type d’API utilisées dans cette intégration et les observables pris en charge par chaque API. La table indique également si une recherche a lieu automatiquement lorsque des incidents de sécurité sont créés ou si la recherche est exécutée manuellement à partir de la table Observables.

    Tableau 1. Observables et recherche pris en charge
    API Observables pris en charge Recherche (automatisée ou manuelle)
    RISKIQ API de certificat SSL
    • Adresse IP
    • Hachage de fichier (empreinte digitale du certificat). Voir la figure suivante pour un exemple de hachage de fichier.
    • Numéro de série ou numéro de série du certificat. Cette chaîne est un ID unique pour l’entité. Consultez la figure suivante pour obtenir un exemple de numéro de série de certificat.
    • Domaine (www.site.com ou site.com)
    • URL
      Remarque :
      les analyses automatiques sont exécutées pour le format URL à l’aide du protocole https:// , par exemple, https://example.com/index.html
    		 Recherche automatisée lorsque des incidents sont créés.

    Les résultats sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
    RISKIQ WHOISIQ API
    • Domaine
    • URL
    		 Recherche automatisée lorsque des incidents sont créés.

    Les résultats sont affichés dans l’onglet Résultats de l’enrichissement de l’observable de l’enregistrement d’incident de sécurité.
    RISKIQ WHOISIQ API
    • Adresse e-mail
    • Nom de l'organisation
    • Numéro de téléphone
    • Adresse postale
    		 La recherche manuelle est exécutée à partir de la table Observables.

    Les résultats sont affichés dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement Observable.

    Exemple de hachage de fichier et de numéro de série de certificat

    Cette figure montre un exemple d’observables de hachage de fichier et de numéro de série de certificat utilisés pour les recherches de certificats SSL pour cette intégration. Le hachage de fichier fait référence à une empreinte digitale SHA-1. Cette valeur s’affiche dans votre Now Platform instance sans les séparateurs deux-points. Par exemple, 646D4B7A0C59A66656E94DDADD6C798027EFC10F.

    L’observable de numéro de série du certificat fait référence à l’ID unique ou au numéro de série de l’entité. Cette valeur est également affichée sans les séparateurs deux-points. Par exemple, 00EA0F74B56D44BBBE0000000050DE1DFD.

    Figure 1. Hachage de fichier et numéro de série de certificat
    Exemples de numéros de série SHA1 et de certificat