SA構成:コンテキスト メニューのカスタム アクションの追加

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

管理者は[コンテキスト メニュー]パネルで、NetWitness Suiteの現在のコンテキスト メニューのアクションを表示、追加、編集することができます。コンテキスト メニューのアクションは、NetWitness Suiteのユーザ インタフェースの特定のコンテキストに適用され、ユーザ インタフェース上の特定の場所を右クリックするとオプションとして表示されます。

コンテキスト メニューのアクションの一部は、NetWitness Suiteに標準で組み込まれています。デフォルトのコンテキスト メニューのアクションを編集または削除することはできません。コンテキスト メニューのカスタム アクションは作成および編集出来ます。デフォルトのアクションをカスタマイズしたい場合は、その構成を新しく作成したカスタムアクションにコピーし、カスタム アクションの構成を変更してください。コンテキスト メニューのアクションは、CSS(カスケード スタイル シート)コードに次の項目を定義することにより作成します。

  • コンテキスト メニューに表示するオプションのタイトル。
  • このコンテキスト メニューを使用するNetWitness Suiteモジュール。
  • アクションが適用されるコンテキスト。

コンテキスト メニューのカスタム アクションの例を以下に示します。このカスタム アクションを作成する手順とCSSコードを、以下の手順で説明します。
CSSコードの作成ステップ

NetWitness Suiteでのコンテキスト メニューのアクションの表示

NetWitness Suiteでデフォルトとカスタムの両方の既存のコンテキスト アクションを表示するには、次の手順を実行します。

  1. [管理]>[システム]に移動します。
  2. [オプション]パネルで、[コンテキスト メニュー]を選択します。

    [コンテキスト メニュー]パネルに表示される情報の詳細は、[コンテキスト メニュー]パネルを参照してください。

コンテキスト メニューのアクションの追加

NetWitness Suiteでコンテキスト メニューのアクションを追加するには、次の手順を実行します。

  1. ツールバーで、をクリックします。
    [コンテキスト メニュー構成]ダイアログが表示されます。
  2. コンテキスト メニューのアクションを定義するCSSコードを入力します。このトピックの最後にある手順例で、コンテキスト メニューのアクションを作成する詳細な手順とCSSコードを紹介しています。
    [コンテキスト メニュー構成]ダイアログ ボックス
  3. OK]をクリックします。
    新しいコンテキスト メニューのアクションが作成され、リストの末尾に追加されます。
  4. 新しいコンテキスト メニューのアクションを有効にするには、ブラウザを再起動起動します。
    コンテキスト メニューのアクションが構成された場所で使用できるようになります。

コンテキスト メニューのアクションの編集

コンテキスト メニューのアクションを編集するには、次の手順を実行します。

  1. グリッドで行を選択し、行をダブルクリックするか、をクリックします。
    コンテキスト メニュー構成]ダイアログが表示されます。
    [コンテキスト メニュー構成]ダイアログ ボックス
  2. 構成を編集します。
  3. 変更を保存するには、[OK]をクリックします。
  4. 更新されたアクションを使用するには、ブラウザを再起動します。

コンテキスト アクションの削除

NetWitness Suiteからコンテキスト メニューのアクションを完全に削除するには、次の手順を実行します。

  1. アクションを選択します。
  2. をクリックします。
    コンテキスト メニューのアクションを削除するかどうかの確認を求めるダイアログが開きます。
  3. はい]をクリックします。
    [コンテキスト メニュー]パネルからアクションが削除されます。
  4. ブラウザを再起動すると、表示されるコンテキスト メニューからオプションが削除されています。

手順例:alias.ipからip.dstを調査するコンテキスト メニューのアクション

この例では、アナリストがalias.ipの値(DNSリクエストへの返信で返されたIPアドレス)をip.dstメタ キーに展開するコンテキスト メニューのアクションを追加します。このアクションは、アナリストがDNSクエリへの返信で返されたIPアドレスを宛先とするトラフィックを検索するのに役立ちます。

コンテキスト メニューのアクションを実装するには、次の手順を実行します。

  1. 次の手順を実行し、NetWitnessサーバの一意識別子を確認します。
    1. NetWitness Suiteにログオンします。メイン メニューで[調査]>[ナビゲート]の順に選択し、調査するサービス(Concentratorなど)を選択して、値がロードされるのを待ちます。
    2. URLを確認し、investigationの後の数字を確認します。この例では、一意識別子は4です。この一意識別子をコンテキスト メニューのアクションの定義に追加する必要があります。
  2. ツールバーで、をクリックします。
    [コンテキスト メニュー構成]ダイアログが表示されます。

  3. 次のサンプル コード全体をコピーし、ウィンドウにペーストします。
     { "displayName": "[Investigate IP from DNS Response]", "cssClasses": [ "alias-ip", "alias.ip" ], "description": "Update your NW server and ID", "type": "UAP.common.contextmenu.actions.URLContextAction", "version": "Custom", "modules": [ "investigation" ], "local": "false", "groupName": "investigationGroup", "urlFormat": "/investigation/<insert_unique_identifier_here>/navigate/query/ip.dst%3d'{0}'", "disabled": "", "id": "NavigateHost", "moduleClasses": [ "UAP.investigation.navigate.view.NavigationPanel", "UAP.investigation.events.view.EventGrid" ], "openInNewTab": "true" } 
  4. urlFormatの行の<insert-unique_identifier_here>の部分を、先ほどの一意識別子で置き換えます。
    URLは次のようになります。
    "/investigation/4/navigate/query/ip.dst%3d'{0}'"
  5. OK]をクリックし、ブラウザを再起動します。
  6. アクションをテストするには、[調査]>[ナビゲート]ビューを開き、メタ キーの値の上で右クリックします。alias.ip
    コンテキスト メニューの[Investigation]オプションが、次の図のように表示されます。
  7. アクションを実行すると、次のような検索条件が生成されます。
  8. この例のアクションを使用してDNSトラフィックを調査する際には、「調査およびマルウェア解析ガイド」の「ユーザ定義のメタ グループの管理」の説明に従って、DNSトラフィックに固有のメタ グループを作成しておくと便利です。
Previous Topic:追加の手順
You are here
Table of Contents > 追加の手順 > コンテキスト メニューのカスタム アクションの追加

Attachments

    Outcomes