Investigation : Afficher et modifier des requêtes à l'aide de l'intégration d'URL

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

La fonction Intégration d'URL facilite les intégrations aux produits tiers en permettant d'effectuer une recherche en fonction de l'architecture Security Analytics. En utilisant une requête dans un URI, vous pouvez pivoter directement d'un produit qui autorise les liens personnalisés vers un point de recherche verticale spécifique dans la vue Procédure d'enquête de Security Analytics. Cette intégration fournit une présentation interne de la requête de l'utilisateur.

L'intégration d'URL permet à l'utilisateur d'identifier le service soit à l'aide de l'ID de l'hôte, soit à l'aide du service et du port, comme défini dans Security Analytics. Si Security Analytics ne peut pas résoudre le service, l'analyste est redirigé vers la vue Navigation, affichant la boîte de dialogue Sélection de service. Une fois que le service est sélectionné, la vue Navigation est chargée avec le point de recherche verticale, défini par la requête.

ID de service connu

Lorsque l'ID du service à utiliser dans le cadre de la procédure d'enquête est connu, le format de saisie d'un URI à l'aide d'une requête chiffrée au format URL est le suivant :

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

where

  • <sa host: port> est l'adresse IP ou DNS, avec ou sans port, le cas échéant (SSL ou non). Cette désignation est nécessaire uniquement si l'accès est configuré sur un port non standard via un proxy.
  • <deviceId> est l'ID de service interne dans l'instance Security Analytics avec lequel le service envoie la requête. L'ID de service ne peut être représenté que sous la forme d'un nombre entier. Vous pouvez visualiser l'ID de service approprié à partir de l'URL lors de l'accès à la vue Procédure d'enquête au sein de Security Analytics. Cette valeur change en fonction du service auquel elle est connectée pour analyse.
  • <encoded query> est la requête Security Analytics chiffrée au format URL. La longueur de la requête est limitée par les restrictions d'URL HTML.
  • <start date> et <end date> définissent la période pour la requête. Le format est le suivant : <aaaa-mm-jj>T<hh:mm:ss>Z. Les dates de début et de fin sont obligatoires. Si aucune date n'est fournie, les valeurs par défaut de l'utilisateur pour ce service sont utilisées. Les plages relatives (par exemple, Dernière heure) ne sont pas prises en charge. Toutes les heures sont exécutées au format UTC.
    Par exemple :
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Hôte et port connus

Lorsque l'hôte et le port du service à utiliser dans le cadre de la procédure d'enquête sont connus, le format de saisie d'un URI à l'aide d'une requête chiffrée au format URL est le suivant :

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

  • <sa host: port> est l'adresse IP ou DNS, avec ou sans port, le cas échéant (SSL ou non). Cette désignation est nécessaire uniquement si l'accès est configuré sur un port non standard via un proxy.
  • <device host:port> représente l'hôte et le port d'un service défini dans l'instance Security Analytics avec laquelle le service envoie la requête. Security Analytics tente de résoudre l'hôte et le port en tant qu'ID de service défini dans Security Analytics.
  • <encoded query> est la requête Security Analytics chiffrée au format URL. La longueur de la requête est limitée par les restrictions d'URL HTML.
  • <start date> et <end date> définissent la période pour la requête. Le format est le suivant : <aaaa-mm-jj>T<hh:mm:ss>Z. Les dates de début et de fin sont obligatoires. Si aucune date n'est fournie, les valeurs par défaut de l'utilisateur pour ce service sont utilisées. Les plages relatives (par exemple, Dernière heure) ne sont pas prises en charge dans cette version. Toutes les heures sont exécutées au format UTC.
    Par exemple :
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Exemples 

Voici des exemples de requêtes où le serveur SA correspond à 192.168.1.10 et où deviceID est identifié par la valeur 2.

Toute l'activité du 03/12/2013 entre 05:00 et 06:00 avec un nom d'hôte enregistré

Toute l'activité du 03/12/2013 entre 17:00 et 17:10 avec trafic http vers et à partir de l'adresse IP 10.10.10.3

Remarques supplémentaires 

Certaines valeurs peuvent ne pas être chiffrées dans le cadre de la requête. Par exemple l'IP src et dst est utilisé pour ce point d'intégration. Dans le cas de l'exploitation d'une application tierce pour l'intégration de cette fonctionnalité, il est possible d'y faire référence sans appliquer de chiffrage.

You are here
Table of Contents > Mener une procédure d'enquête > Interroger les données dans la vue Naviguer > Afficher et modifier des requêtes à l'aide de l'intégration d'URL

Attachments

    Outcomes