Observables pris en charge pour RISKIQ et RISKIQ WHOISIQ

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’API RISKIQ prend en charge les recherches automatiques de certificats SSL sur l’adresse IP, le hachage de fichier, le numéro de série du certificat, le domaine et les observables d’URL. Les observables d’URL et de domaine sont enrichis automatiquement avec l’API WHOISIQ . Pour enrichir les observables sur d’autres types d’observables avec l’API WHOISIQ , créez des observables et exécutez des recherches manuellement à partir de la table Observables.

    Observables pris en charge

    Le tableau suivant répertorie le type d’API utilisé dans cette intégration, ainsi que les observables pris en charge par chaque API. La table indique également si une recherche se produit automatiquement lorsque des incidents de sécurité sont créés, ou si la recherche est exécutée manuellement à partir de la table Observables.

    Tableau 1. Observables et recherche pris en charge
    API Observables pris en charge Recherche (automatisée ou manuelle)
    RISKIQ API de certificat SSL
    • Adresse IP
    • Hachage de fichier (empreinte digitale du certificat). Consultez la figure suivante pour obtenir un exemple de hachage de fichier.
    • Numéro de série ou numéro de série du certificat. Cette chaîne est un ID unique pour l’entité. Consultez la figure suivante pour obtenir un exemple de numéro de série de certificat.
    • Domaine (www.site.com ou site.com)
    • URL
      Remarque :
      les analyses automatiques sont exécutées pour le format URL à l’aide du protocole https:// , par exemple, https://example.com/index.html
    		 Recherche automatisée lorsque des incidents sont créés.

    Les résultats sont affichés dans l’onglet Certificats SSL de l’enregistrement d’incident de sécurité.
    RISKIQ WHOISIQ API
    • Domaine
    • URL
    		 Recherche automatisée lorsque des incidents sont créés.

    Les résultats sont affichés dans l’onglet Résultats de l’enrichissement des observables de l’enregistrement d’incident de sécurité.
    RISKIQ WHOISIQ API
    • Adresse e-mail
    • Nom de l'organisation
    • Numéro de téléphone
    • Adresse postale
    		 La recherche manuelle est exécutée à partir de la table Observables.

    Les résultats sont affichés dans l’onglet Résultats de l’enrichissement de l’observable de l’enregistrement Observable.

    Exemple de hachage de fichier et de numéro de série de certificat

    Cette figure montre un exemple des observables de hachage de fichier et de numéro de série de certificat utilisés pour les recherches de certificats SSL pour cette intégration. Le hachage du fichier fait référence à une empreinte digitale SHA-1. Cette valeur s’affiche dans votre Now Platform instance sans les deux-points. Par exemple, 646D4B7A0C59A66656E94DDADD6C798027EFC10F.

    L’observable du numéro de série du certificat fait référence à l’ID unique ou au numéro de série de l’entité. Cette valeur est également affichée sans les deux-points. Par exemple, 00EA0F74B56D44BBBE0000000050DE1DFD.

    Figure 1. Hachage de fichier et numéro de série du certificat
    Exemples de SHA1 et de numéro de série de certificat