Verifique os resultados esperados para pesquisas de certificado SSL RISKIQ

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Quando um incidente de segurança gera observáveis para URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificado, os analistas de incidentes de segurança usam os resultados da pesquisa de certificado SSL para verificar se os sites têm certificados que foram emitidos por um confiável autoridade de certificação (CA) pública.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Para observáveis compatíveis, o Now Platform verifica a ocorrência mais recente de URLs, domínios, endereços IP, hashes de arquivo de certificado (impressão digital SHA-1) e números de série de certificados. Estes são os resultados possíveis da verificação:

    Uma correspondência exata foi encontrada
    Um emissor válido de um certificado SSL está listado no registro de incidente de segurança.
    Nenhum resultado de certificação encontrado
    Nenhum resultado é listado no registro de incidente de segurança.
    Uma correspondência exata foi encontrada para um certificado autoassinado ou gerado internamente
    Os resultados de um certificado SSL gerado internamente são exibidos no registro de Incidente de segurança.
    Não foi encontrada uma correspondência exata para um certificado SSL primário
    Um valor de pesquisa retorna várias entradas e um certificado primário não pode ser identificado. Uma mensagem de resumo é exibida no registro do Incidente de segurança.

    Procedimento

    1. Para exibir os observáveis e verificar os resultados da pesquisa, abra o registro de incidente de segurança com o qual você está trabalhando e localize as anotações de trabalho.
      Para ilustrar exemplos dos possíveis resultados de pesquisa para esta integração, suponha que um incidente de segurança tenha sido gerado com os seguintes observáveis:
      • comunidade.servicenow.com
      • invalidsubdomain.servicenow.com
      • mail.dgnetworks.com
      • servicenow.com
      Tabela 1. Observáveis e localização dos resultados da pesquisa
      Observável (exemplo) Resultados da varredura Descrição e local
      comunidade.servicenow.com Certificado encontrado com um hash SHA1. Uma correspondência exata é encontrada e um emissor válido de um certificado SSL é listado. Os resultados da correspondência exata são exibidos na guia Certificados SSL no registro do incidente de segurança.
      invalidsubdomain.servicenow.com Nenhum certificado encontrado. Um resumo que indica que nenhum resultado de certificado foi encontrado é exibido na guia Resultados de aprimoramento do observável no registro do incidente de segurança.
      mail.dgnetworks.com Certificado encontrado com hash SHA1. Uma correspondência exata é listada para um certificado autoassinado ou gerado internamente. Os resultados são exibidos na guia Certificados SSL no registro do incidente de segurança.
      servicenow.com A pesquisa retornou 138 certificados e não foi possível identificar um único certificado primário. Uma correspondência exata não foi encontrada para um certificado SSL primário porque um valor de pesquisa retorna vários certificados. Um resumo que indica que nenhum certificado primário foi encontrado é exibido na guia Resultados de aprimoramento do observável no registro do incidente de segurança.
      Depois que a aplicação é configurada, o fluxo de trabalho é iniciado automaticamente. O status de pesquisa e os observáveis são exibidos nas anotações de trabalho.
    2. Verifique se a pesquisa foi executada com sucesso.
      Pesquisar status nas anotações de trabalho.
    Se você não puder exibir os resultados esperados, verifique se o observável é compatível com a pesquisa de certificado SSL para a integração.