Investigation: Ver y modificar consultas mediante la integración de URL

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Investigation incluye una integración de URL externa que facilita la integración con productos de otros fabricantes, ya que permite una búsqueda contra la arquitectura de Security Analytics. Cuando utiliza una consulta en un URI, puede ir directamente desde cualquier producto que permita vínculos personalizados a un punto de desglose específico en la vista Investigation en Security Analytics. Esta integración proporciona una presentación interna de la consulta del usuario.

La integración de URL permite al usuario identificar el servicio, ya sea por el ID de host o por el servicio y el puerto, como se define en Security Analytics. Si Security Analytics no puede resolver el servicio, se redirige al analista a la vista Navegación, la cual muestra el cuadro de diálogo Selección de servicios. Una vez seleccionado el servicio, la vista Navegación se carga con el punto de desglose, definido por la consulta.

ID de servicio conocido

Cuando se conoce el ID del servicio que se usará para la investigación, el formato para ingresar un URI mediante una consulta con codificación URL es:

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

where

  • <sa host: port> es la dirección IP o DNS, con o sin un puerto, según corresponda (SSL o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <deviceId> es el ID de servicio interno en la instancia de Security Analytics para el servicio que se consultará. El ID de servicio solo se puede representar como un entero. Puede ver el ID de servicio pertinente en la URL cuando accede a la vista Investigation en Security Analytics. Este valor cambia según el servicio al cual se conecta para el análisis.
  • <encoded query> es la consulta de Security Analytics con codificación de URL. El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> y <end date> definen el rango de fechas para la consulta. El formato es <aaaa-mm-dd>T<hh:mm:ss>Z. Se requieren las fechas de inicio y finalización. Si no se proporciona ninguna fecha, se usan los valores predeterminados del usuario para ese servicio. Los rangos relativos (por ejemplo, última hora) no son compatibles con esta versión. Todas las horas se ejecutan como UTC.
    Por ejemplo:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Host y puerto conocidos

Cuando se conoce el host y el puerto del servicio que se usará para la investigación, el formato para ingresar un URI mediante una consulta con codificación URL es:

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

donde

  • <sa host: port> es la dirección IP o DNS, con o sin un puerto, según corresponda (SSL o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <device host:port> es el host y el puerto de un servicio definido en la instancia de Security Analytics para el servicio que se consultará. Security Analytics intenta resolver el host y el puerto como un ID de servicio definido en Security Analytics.
  • <encoded query> es la consulta de Security Analytics con codificación de URL. El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> y <end date> definen el rango de fechas para la consulta. El formato es <aaaa-mm-dd>T<hh:mm:ss>Z. Se requieren las fechas de inicio y finalización. Si no se proporciona ninguna fecha, se usan los valores predeterminados del usuario para ese servicio. Los rangos relativos (por ejemplo, última hora) no están soportado en esta versión. Todas las horas se ejecutan como UTC.
    Por ejemplo:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Ejemplos

Estos son ejemplos de consultas donde el servidor de SA es 192.168.1.10 y el ID de dispositivo está identificado como 2.

Toda actividad realizada el 12/03/13 entre las 5:00 y 06:00 a.m. con un nombre host registrado

Toda actividad realizada el 3/12/2013 entre las 5:00 y 05:10 p.m. con tráfico http hacia y desde la dirección IP 10.10.10.3

Notas adicionales

Es posible que algunos valores no necesiten codificarse como parte de la consulta. Por ejemplo, normalmente se utiliza la IP src y dst para este punto de integración. Si aprovecha una aplicación de otros fabricantes para la integración de esta funcionalidad, es posible hacer referencia a ella sin aplicar la codificación.

You are here
Table of Contents > Realizar una investigación > Consultar datos en la vista Navegar > Ver y modificar consultas mediante la integración de URL

Attachments

    Outcomes