システム メンテナンス:URL統合を使用したクエリーのメンテナンス

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

URL統合機能では、[ナビゲート]ビューでサービスを調査するときに、ユーザーが使用した階層リンクまたはクエリー パスを管理します。これらのオブジェクトを頻繁に表示して編集する必要はありません。

URL統合では、Investigationでデータをドリル ダウンするときに[ナビゲート]ビューのナビゲート リンクをクリックするたびに自動的に一意のIDが作成されます。ドリル ダウンが完了すると、URLは現在のドリルダウン ポイントのクエリーIDを反映します。階層リンクには、クエリーの表示名が表示されます。

URL統合]パネルでは、ドリルダウンで使用されたクエリーのリストが保持され、適切な権限を持つユーザーがこのクエリーを編集したり、Security Analyticsの他のユーザーのクエリー パターンを解析したりすることを可能にします。パネルでは、次のことを実行できます。

  • リストの更新。
  • クエリーの編集。
  • クエリーの削除。
  • リストのすべてのクエリーのクリア。

注意:システムからクエリーを削除すると、そのクエリーIDは参照できなくなります。

手順

クエリーの編集

  1. Security Analyticsメニューで、[Administration]>[システム]をクリックします。
  2. オプション パネルで、[URL統合]を選択します。
    adm_system_urlIntegration.PNG
     
  3. グリッドの列を選択し、列をダブル クリックするか、またはicon-edit.pngをクリックします。
    クエリーの編集]ダイアログが表示されます。
    sys_urlInt_edit_query.PNG
  4. 表示名]と[クエリー]を編集できます。どちらのフィールドも空白にはできません。
  5. 変更を保存するには、[保存]をクリックします。

クエリーの削除

注意:システムからクエリーを削除すると、そのクエリーIDは参照できなくなります。

Security Analytiからクエリーを完全に削除するには、次の手順を実行します。

  1. [URL統合]パネルでクエリーを選択します。
  2. del_report.pngをクリックします
    クエリーを削除するかどうかを確認するダイアログが表示されます。
  3. はいをクリックします。

すべてのクエリーのクリア

リストからすべてのクエリーをクリアするには、次を行います。

  • Icon-clear.pngをクリックします
    リスト全体がクリアされます。

URIでのクエリーの使用

URL統合は、Security Analyticsアーキテクチャに対する検索を可能にすることによって、サード パーティ製品との統合を容易に構成できるようにします。URIにクエリーを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、Security Analyticsの[Investigation]ビューの特定のドリルダウン ポイントに直接アクセスできます。

URLエンコード クエリーを使用してURIを入力するためのフォーマットは次のとおりです。

http://<sa host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

ここで、

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合に必要です。
  • <serviceId>はSecurity Analyticsインスタンスの内部サービスIDで、クエリーの対象を指定します。サービスIDは、常に整数です。サービスIDは、Security Analyticsから[Investigation]ビューにアクセスする際にURLで確認できます。この値は、調査対象となるサービスによって変わります。
  • <encoded query>は、URLエンコードされたSecurity Analyticsクエリーです。  クエリーの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリーの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm>です。start date(開始日)とend date(終了日)は指定が必要なパラメータです。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。

例:
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00/2012-10-31T00:00

以下のクエリーの例では、Security Analyticsサーバが192.168.1.10で、サービスIDが2に指定されています。

2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ

2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック

  • カスタム ピボット:service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
  • ピボットのエンコード:

追加の注意事項

一部の値はエンコードする必要がない場合があります。たとえば、クエリーにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。

You are here
Table of Contents > Security Analyticsのヘルスモニタの監視 > URL統合を使用したクエリーのメンテナンス

Attachments

    Outcomes