Investigation:URL統合を使用したクエリーの表示と変更

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

Investigationには外部URL統合が含まれており、Security Analyticsに対する検索を可能にすることによって、サード パーティ製品との統合が容易になっています。URIにクエリーを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、Security Analyticsの[Investigation]ビューの特定のドリルダウン ポイントに直接アクセスできます。この統合によって、ユーザーのクエリーをサード パーティ製品の内部で表示できます。

URL統合では、ユーザーは、Security Analyticsでの定義に従って、ホストIDまたはサービスとポートでサービスを識別できるようになります。Security Analyticsがサービスを解決できない場合、アナリストは[ナビゲート]ビューにリダイレクトされ、[サービス選択]ダイアログが表示されます。サービスを選択すると、クエリーに定義されているドリルダウン ポイントが[ナビゲート]ビューにロードされます。

サービスIDが分かる場合

調査に使用するサービスのIDが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリーを指定します。

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

where

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <deviceId>はSecurity Analyticsインスタンスの内部サービスIDであり、クエリーの対象となります。サービスIDは、常に整数です。サービスIDは、Security Analyticsから[Investigation]ビューにアクセスする際にURLで確認できます。この値は、調査対象のサービスによって異なります。
  • <encoded query>は、URLエンコードされたSecurity Analyticsクエリーです。クエリーの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリーの日付範囲を定義します。形式は、<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザー デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

ホストとポート番号がわかる場合

調査に使用するサービスのホストとポートが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリーを指定します。

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

ここで、

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <device host:port>は、Security Analyticsインスタンスで定義されているクエリー対象のサービスのホストとポートです。Security AnalyticsはホストとポートからサービスIDの解決を試みます。
  • <encoded query>は、URLエンコードされたSecurity Analyticsクエリーです。クエリーの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリーの日付範囲を定義します。形式は、<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザー デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

これらのクエリーの例では、SAサーバが192.168.1.10で、デバイスIDが2に指定されています。

2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ

2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック

追加の注意事項

一部の値はエンコードする必要がない場合があります。たとえば、クエリーにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。

You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのデータ クエリー > URL統合を使用したクエリーの表示と変更

Attachments

    Outcomes