調査:URL統合を使用したクエリの表示と変更

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

NetWitness Investigateは、外部URL統合機能を提供します。この機能により、NetWitness Platformアーキテクチャに対する検索が可能となり、サードパーティ製品との統合が容易になります。URIにクエリを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、[調査]ビューの特定のドリルダウン ポイントに直接アクセスできます。この統合によって、ユーザのクエリをサード パーティ製品の内部で表示できます。

URL統合では、ユーザは、NetWitness Platformでの定義に従って、ホストIDまたはサービスとポートでサービスを識別できるようになります。NetWitness Platformがサービスを解決できない場合、アナリストは[ナビゲート]ビューにリダイレクトされ、[サービス選択]ダイアログが表示されます。サービスを選択すると、クエリに定義されているドリルダウン ポイントが[ナビゲート]ビューにロードされます。

サービスIDが分かる場合

調査に使用するサービスのIDが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

引数の意味

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLまたは非SSL)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <deviceId>はNetWitness Platformインスタンスの内部サービスIDで、クエリの対象を指定します。サービスIDは、常に整数です。サービスIDは、NetWitness Platformから[調査]ビューにアクセスする際にURLで確認できます。この値は、調査対象のサービスによって異なります。
  • <encoded query>は、URLエンコードされたNetWitness Platformクエリです。クエリの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

ホストとポート番号がわかる場合

調査に使用するサービスのホストとポートが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

引数の意味

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <device host:port>は、NetWitness Platformインスタンスで定義されているクエリ対象サービスのホストとポートです。NetWitness Platformは、NetWitness Platformで定義されたサービスIDとしてホストとポートの解決を試みます。
  • <encoded query>は、URLエンコードされたNetWitness Platformクエリです。クエリの長さはHTMLのURL制限で制限されています。
  • <start date>と<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

次のクエリの例では、NetWitness Serverが192.168.1.10で、デバイスIDが2に指定されています。

2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ

2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック

追加の注意事項

一部の値はエンコードする必要がない場合があります。たとえば、クエリにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。

You are here
Table of Contents > 結果セットの絞り込み > URL統合を使用したクエリの表示と変更

Attachments

    Outcomes