Maintenance sys. : Gérer les requêtes à l'aide de l'intégration d'URL

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

L'intégration d'une URL permet de représenter le chemin de navigation ou le chemin de requête utilisé lors de la recherche active d'un service dans la vue Navigation. Vous n'avez pas besoin d'afficher ni de modifier ces objets très souvent.

L'intégration d'une URL permet d'effectuer le mappage à un ID unique qui est automatiquement créé chaque fois que vous cliquez sur un lien de navigation dans la vue Navigation pour faire une recherche verticale dans les données. À la fin de la recherche verticale, l'URL reflète les ID de requête du point de recherche verticale. Le nom d'affichage apparaît dans le chemin de navigation sous le panneau Valeurs.

Le panneau Intégration d'URL fournit la liste des requêtes et permet aux utilisateurs disposant des autorisations appropriées de modifier cette source de données sous-jacente et d'analyser les modèles de requête des autres utilisateurs du système Security Analytics. Le panneau vous permet d'effectuer les opérations suivantes :

  • Actualiser la liste.
  • Modifier une requête.
  • Supprimer une requête.
  • Effacer toutes les requêtes de la liste.

Attention : Lorsqu'une requête est supprimée du système, les URL de procédure d'enquête comprenant l'ID de cette requête ne fonctionnent plus.

Procédures

Modifier une requête

  1. Dans le menu Security Analytics, sélectionnez Administration > Système.
  2. Dans le panneau des options, sélectionnez Intégration d'URL.
    adm_system_urlIntegration.PNG
     
  3. Sélectionnez la ligne dans la grille et double-cliquez sur la ligne ou cliquez sur icon-edit.png.
    La boîte de dialogue Modifier la requête s'affiche.
    sys_urlInt_edit_query.PNG
  4. Modifiez les champs Nom d'affichage et Requête, mais ne laissez aucun champ vide.
  5. Pour enregistrer les modifications, cliquez sur Enregistrer.

Supprimer une requête

Attention : Lorsqu'une requête est supprimée du système, les URL de procédure d'enquête comprenant l'ID de cette requête ne fonctionnent plus.

Pour supprimer entièrement une requête Security Analytics :

  1. Sélectionnez la requête.
  2. Cliquez sur del_report.png
    Une boîte de dialogue vous demande de confirmer que vous souhaitez bien supprimer la requête.
  3. Cliquez sur Yes.

Effacer toutes les requêtes

Pour effacer toutes les requêtes de la liste :

  • Cliquez sur Icon-clear.png
    La liste entière est effacée.

Utiliser une requête dans un URI

La fonction Intégration d'URL facilite les intégrations aux produits tiers en permettant d'effectuer une recherche en fonction de l'architecture Security Analytics. En utilisant une requête dans un URI, vous pouvez pivoter directement d'un produit qui autorise les liens personnalisés vers un point de recherche verticale spécifique dans la vue Procédure d'enquête de Security Analytics.

Le format de saisie d'un URI à l'aide d'une requête chiffrée au format URL est le suivant :

http://<sa host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

  • <sa host: port> est l'adresse IP ou DNS, avec ou sans port, le cas échéant (ssl ou non). Cette désignation est nécessaire uniquement si l'accès est configuré sur un port non standard via un proxy.
  • <serviceId>  est l'ID de service interne dans l'instance de  Security Analytics pour le service à interroger. L'ID de service ne peut être représenté que sous la forme d'un nombre entier. Vous pouvez visualiser l'ID de service approprié à partir de l'URL lors de l'accès à la vue Investigation au sein de Security Analytics. Cette valeur change en fonction du service auquel elle est connectée pour analyse.
  • <encoded query> est la requête Security Analytics chiffrée au format URL.  La longueur de la requête est limitée par les restrictions d'URL HTML.
  • <start date> et <end date> définissent la période pour la requête. Le format est le suivant : <aaaa-mm-jj>H<hh:mm>. Les dates de début et de fin sont obligatoires. Les plages relatives (par exemple, Dernière heure) ne sont pas prises en charge dans cette version. Toutes les heures sont exécutées au format UTC.

Par exemple :
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00/2012-10-31T00:00

Exemples 

Voici des exemples de requêtes où le serveur Security Analytics est 192.168.1.10 et où serviceID est identifié par la valeur 2.

Toute l'activité du 03/12/2013 entre 05:00 et 06:00 avec un nom d'hôte enregistré

Toute l'activité du 03/12/2013 entre 17:00 et 17:10 avec trafic http vers et à partir de l'adresse IP 10.10.10.3

  • Custom Pivot: service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
  • Encoded Pivot Dissected:

Remarques supplémentaires 

Certaines valeurs peuvent ne pas être chiffrées dans le cadre de la requête. Par exemple l'IP src et dst est utilisé pour ce point d'intégration. Dans le cas de l'exploitation d'une application tierce pour l'intégration de cette fonctionnalité, il est possible d'y faire référence sans appliquer de chiffrage.

You are here
Table of Contents > Contrôler l'intégrité dans Security Analytics > Gérer les requêtes à l'aide de l'intégration d'URL

Attachments

    Outcomes