Überprüfen Sie die erwarteten Ergebnisse für RISKIQ SSL-Zertifikatsuchen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Wenn ein Security Incident erkennbare Elemente für URLs, Domänen, IP-Adressen, Hashes der Zertifikatdatei (SHA-1-Fingerabdruck) und Seriennummern des Zertifikats generiert, verwenden Security Incident-Analysten die Ergebnisse der SSL-Zertifikatsuche, um zu überprüfen, ob Sites über Zertifikate verfügen, die von einer vertrauenswürdigen Person ausgestellt wurden Zertifizierungsstelle (Certificate Authority, CA).

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Bei unterstützten erkennbaren Elementen sucht Now Platform nach dem neuesten Vorkommen von URLs, Domänen, IP-Adressen, Zertifikatdatei-Hashes (SHA-1-Fingerabdruck) und Zertifikatseriennummern. Dies sind mögliche Ergebnisse der Prüfung:

    Es wurde eine exakte Übereinstimmung gefunden
    Ein gültiger Aussteller eines SSL-Zertifikats wird im Security Incident-Datensatz aufgeführt.
    Es wurden keine Zertifikatergebnisse gefunden
    Im Security Incident-Datensatz sind keine Ergebnisse aufgeführt.
    Es wurde eine exakte Übereinstimmung für ein selbstsigniertes oder intern generiertes Zertifikat gefunden
    Ergebnisse für ein intern generiertes SSL-Zertifikat werden im Security Incident-Datensatz angezeigt.
    Für ein primäres SSL-Zertifikat wurde keine exakte Übereinstimmung gefunden
    Ein Suchwert gibt mehrere Einträge zurück, und ein primäres Zertifikat kann nicht identifiziert werden. Im Security Incident-Datensatz wird eine Zusammenfassungsmeldung angezeigt.

    Prozedur

    1. Um die erkennbaren Elemente anzuzeigen und Suchergebnisse zu überprüfen, öffnen Sie den Security Incident-Datensatz, mit dem Sie arbeiten, und suchen Sie die Arbeitsnotizen.
      Um Beispiele für die möglichen Suchergebnisse für diese Integration zu veranschaulichen, nehmen wir an, dass ein Security Incident mit den folgenden erkennbaren Elementen generiert wurde:
      • community.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabelle : 1. Erkennbare Elemente und Ort der Suchergebnisse
      Erkennbares Element (Beispiel) Scan-Ergebnisse Beschreibung und Speicherort
      Community.serviceNow.com Zertifikat mit einem SHA1-Hash gefunden. Es wird eine exakte Übereinstimmung gefunden, und ein gültiger Aussteller eines SSL-Zertifikats wird aufgelistet. Die Ergebnisse für die genaue Übereinstimmung werden auf der Registerkarte SSL-Zertifikate im Datensatz „Security Incident“ angezeigt.
      ungültigesubdomäne.servicenow.com Keine Zertifikate gefunden. Auf der Registerkarte Datenanreicherungs-Ergebnisse erkennbarer Elemente im Datensatz des Security Incidents wird eine Zusammenfassung angezeigt, die angibt, dass keine Zertifikatergebnisse gefunden wurden.
      Mail.dnetworks.com Zertifikat mit SHA1-Hash gefunden. Eine genaue Übereinstimmung wird für ein selbstsigniertes oder intern generiertes Zertifikat aufgelistet. Die Ergebnisse werden auf der Registerkarte „SSL-Zertifikate“ im Security Incident-Datensatz angezeigt.
      servicenow.com Die Suche ergab 138 Zertifikate, und ein einzelnes primäres Zertifikat konnte nicht identifiziert werden. Für ein primäres SSL-Zertifikat wurde keine exakte Übereinstimmung gefunden, da ein Suchwert mehrere Zertifikate zurückgibt. Auf der Registerkarte Datenanreicherungs-Ergebnisse erkennbarer Elemente im Datensatz des Security Incidents wird eine Zusammenfassung angezeigt, die angibt, dass kein primäres Zertifikat gefunden wurde.
      Nachdem die Anwendung konfiguriert wurde, wird der Flow automatisch gestartet. Der Suchstatus und die erkennbaren Elemente werden in den Arbeitsnotizen angezeigt.
    2. Vergewissern Sie sich, dass die Suche erfolgreich ausgeführt wurde.
      Suchstatus in Arbeitsnotizen.

      Sucht in den Arbeitsnotizen nach dem Ausführungsstatus.

    Wenn Sie die erwarteten Ergebnisse nicht anzeigen können, überprüfen Sie, ob das erkennbare Element von der SSL-Zertifikatsuche für die Integration unterstützt wird.