Vérifier les résultats attendus pour WHOISIQ les recherches d’URL

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Lorsqu’un incident de sécurité génère des observables pour les URL ou les domaines, l’API procède automatiquement à l’enrichissement WHOISIQ des observables lors de la création de l’incident de sécurité. Les résultats de la recherche sont affichés dans les onglets Résultats de l’enrichissement des observables et Certificats SSL sur l’enregistrement d’incident de sécurité.

    Avant de commencer

    Remarque :
    Les chiffres des étapes suivantes sont affichés avec le paramètre Formulaires à onglets actif dans les paramètres système.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Les résultats de l’enrichissement des observables sont affichés dans l’onglet Résultats de l’enrichissement des observables , en bas de l’enregistrement d’incident de sécurité. Pour les observables pris en charge, une recherche de certificat SSL est également exécutée et les résultats sontaffichés dans l’onglet Certificats SSL.

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche s’est exécutée avec succès dans les notes de travail.
      Notes de travail pour l’observable d’URL.
      Une fois l’application configurée, le workflow se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est affiché dans les notes de travail de l’enregistrement d’incident de sécurité.
    2. Si vous ne pouvez pas vérifier que la recherche s’est exécutée correctement, consultez les notes de travail pour plus d’informations sur la façon de procéder.
    3. Sur l’incident de sécurité ouvert, cliquez sur le lien connexe Afficher toutes les listes connexes .
    4. Cliquez sur l’onglet Résultats de l’enrichissement de l’observable pour le sélectionner.
    5. Dans la colonne Résumé, cliquez sur le premier élément, Domaine : uber.com Bureau d’enregistrement : Markmonitor...
      Résultats de l’enrichissement de l’observable et sélectionnez un élément dans la colonne Résumé.
      Enregistrement de domaine avec des informations.
      L’enregistrement qui s’affiche contient des informations sur le domaine.
    6. Revenez à l’onglet Résultats de l’enrichissement des observables et, dans la colonne Résumé, cliquez sur le deuxième élément, Certificat trouvé avec hachage SHA1....
      Enregistrement de certificat SSL avec hachage de fichier.
      Cet enregistrement indique qu’un certificat SSL avec un hachage de fichier a été trouvé.
    7. Revenez à l’enregistrement de l’incident de sécurité et cliquez sur l’onglet Certificats SSL .
      Onglet Certificats SSL dans la recherche d’URL.
      Les résultats du certificat SSL pour le hachage de fichier sont également affichés ici.
    Si vous ne pouvez pas afficher les résultats attendus, examinez les notes de travail. Vérifiez également que l’observable est pris en charge pour la recherche par l’intégration.