Vérifier les résultats attendus pour WHOISIQ les recherches d’URL

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Lorsqu’un incident de sécurité génère des observables pour des URL ou des domaines, l’API WHOISIQ procède automatiquement à l’enrichissement de l’observable lors de sa création. Les résultats de la recherche sont affichés dans les onglets Résultats de l’enrichissement des observables et Certificats SSL de l’enregistrement d’incident de sécurité.

    Avant de commencer

    Remarque :
    Les figures des étapes suivantes sont affichées avec le paramètre Formulaires à onglets actif dans les paramètres système.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Les résultats de l’enrichissement des observables sont affichés dans l’onglet Résultats de l’enrichissement des observables au bas de l’enregistrement d’incident de sécurité. Pour les observables pris en charge, une recherche de certificat SSL est également exécutée et les résultats sont affichés dans l’onglet Certificats SSL.

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche a été effectuée avec succès dans les notes de travail.
      Notes de travail pour l’observable d’URL.
      Une fois l’application configurée, le flux se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est affiché dans les notes de travail de l’enregistrement d’incident de sécurité.
    2. Si vous ne pouvez pas vérifier que la recherche s’est exécutée avec succès, consultez les notes de travail pour plus d’informations sur la marche à suivre.
    3. Lorsque l’incident de sécurité est ouvert, cliquez sur le lien connexe Afficher toutes les listes connexes .
    4. Cliquez sur l’onglet Résultats de l’enrichissement de l’observable pour le sélectionner.
    5. Dans la colonne Résumé, cliquez sur le premier élément, Domaine : Bureau d’enregistrement uber.com : Markmonitor...
      Onglet Résultats de l’enrichissement des observables et sélectionnez un élément dans la colonne Résumé.
      Enregistrement du domaine avec informations.
      L’enregistrement qui s’affiche contient des informations sur le domaine.
    6. Revenez à l’onglet Résultats de l’enrichissement des observables et, dans la colonne Résumé, cliquez sur le deuxième élément, Certificat trouvé avec hachage SHA1...
      Enregistrement de certificat SSL avec hachage de fichier.
      Cet enregistrement indique qu’un certificat SSL a été trouvé avec un hachage de fichier.
    7. Revenez à l’enregistrement d’incident de sécurité et cliquez sur l’onglet Certificats SSL .
      Onglet Certificats SSL dans la recherche d’URL.
      Les résultats du certificat SSL pour le hachage de fichier sont également affichés ici.
    Si vous ne pouvez pas afficher les résultats attendus, examinez les notes de travail. Vérifiez également que l’observable est pris en charge pour la recherche par l’intégration.