Mantenimiento del sistema: Mantener consultas mediante la integración de URL

Document created by RSA Information Design and Development on Mar 2, 2017
Version 1Show Document
  • View in full screen mode
  

Una integración de URL proporciona una forma de representar las rutas de navegación, o la ruta de consulta, que se recorren cuando se investiga activamente un servicio en la vista Navegación. No es necesario mostrar y editar estos objetos muy a menudo.

Una integración de URL realiza un mapeo entre un ID único que se crea automáticamente cada vez que hace clic en un vínculo de navegación en la vista Navegación para ahondar en los datos. Cuando finaliza el desglose, la URL refleja los ID de consulta para el punto de perforación actual. Aparece Nombre para mostrar en la ruta de navegación en el panel Valores.

En el panel Integración de URL se proporciona una lista de consultas y se permite a los usuarios que tienen los permisos correspondientes modificar este origen de datos subyacente y analizar los patrones de consulta de otros usuarios del sistema Security Analytics. En el panel, puede:

  • Actualizar la lista.
  • Editar una consulta.
  • Eliminar una consulta.
  • Borrar todas las consultas en la lista.

Precaución: Una vez que una consulta se ha eliminado del sistema, las URL de Investigation que incluían el ID de esa consulta no funcionarán.

Procedimientos

Editar una consulta

  1. En el menú de Security Analytics, haga clic en Administration > Sistema.
  2. En el panel de opciones, seleccione Integración de URL.
    adm_system_urlIntegration.PNG
     
  3. Seleccione la fila en la cuadrícula y haga doble clic en la fila o haga clic en icon-edit.png.
    Se muestra el cuadro de diálogo Editar consulta.
    sys_urlInt_edit_query.PNG
  4. Edite el Nombre para mostrar y Consulta, pero no deje ningún campo en blanco.
  5. Para guardar los cambios, haga clic en Guardar.

Eliminar una consulta.

Precaución: Una vez que una consulta se ha eliminado del sistema, las URL de Investigation que incluían el ID de esa consulta no funcionarán.

Para quitar por completo una consulta de Security Analytics:

  1. Seleccione la consulta.
  2. Haga clic en del_report.png
    Un cuadro de diálogo solicita confirmar la intención de eliminar la consulta.
  3. Haga clic en .

Borrar todas las consultas

Para borrar todas las consultas de la lista:

  • Haga clic en Icon-clear.png
    Se borra toda la lista.

Utilizar una consulta en un URI

La integración de URL facilita las integraciones con productos de otros fabricantes, ya que permite una búsqueda contra la arquitectura de Security Analytics. Cuando utiliza una consulta en un URI, puede ir directamente desde cualquier producto que permita vínculos personalizados a un punto de desglose específico en la vista Investigation de Security Analytics.

El formato para ingresar un URI utilizando una consulta con codificación URL es:

http://<sa host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

donde

  • <sa host: port> es la dirección IP o DNS, con o sin un puerto, según corresponda (SSL o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <serviceId> es el ID de servicio interno en la instancia de Security Analytics para el servicio que se consultará. El ID de servicio solo se puede representar como un entero. Puede ver el ID de servicio pertinente en la URL cuando accede a la vista Investigation en Security Analytics. Este valor cambia según el servicio al cual se conecta para el análisis.
  • <encoded query> es la consulta de Security Analytics con codificación de URL.  El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> y <end date> definen el rango de fechas para la consulta. El formato es <aaaa-mm-dd>T<hh:mm>. Se requieren las fechas de inicio y finalización. Los rangos relativos (por ejemplo, última hora) no están soportado en esta versión. Todas las horas se ejecutan como UTC.

Por ejemplo:
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00/2012-10-31T00:00

Ejemplos

Estos son ejemplos de consultas en los cuales el servidor de Security Analytics es 192.168.1.10 y el ID de servicio se identifica como 2.

Toda actividad realizada el 12/03/13 entre las 5:00 y 06:00 a.m. con un nombre host registrado

Toda actividad realizada el 3/12/2013 entre las 5:00 y 05:10 p.m. con tráfico http hacia y desde la dirección IP 10.10.10.3

  • Tabla dinámica personalizada: service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
  • Dirección con codificación diseccionada:

Notas adicionales

Es posible que algunos valores no necesiten codificarse como parte de la consulta. Por ejemplo, normalmente se utiliza la IP src y dst para este punto de integración. Si aprovecha una aplicación de otros fabricantes para la integración de esta funcionalidad, es posible hacer referencia a ella sin aplicar la codificación.

Next Topic:Manage Policies
You are here
Table of Contents > Monitor Health and Wellness of Security Analytics > Maintain Queries Using URL Integration

Attachments

    Outcomes