URL統合機能では、[ナビゲート]ビューでサービスを調査するときに、ユーザが使用した階層リンクまたはクエリ パスを管理します。これらのオブジェクトを頻繁に表示して編集する必要はありません。
URL統合では、Investigationでデータをドリルダウンするときに[ナビゲート]ビューのナビゲート リンクをクリックするたびに自動的に一意のIDが作成されます。ドリルダウンが完了すると、URLは現在のドリルダウン ポイントのクエリIDを反映します。[表示名]は、[ナビゲート]ビューで階層リンクに表示されます。
[URL統合]パネルではドリルダウンで使用されたクエリのリストが保持され、適切な権限を持つユーザがこのクエリを編集したり、NetWitness Suiteの他のユーザのクエリ パターンを解析することを可能にします。パネルでは、次のことを実行できます。
- リストの更新。
- クエリの編集。
- クエリの削除。
- リストのすべてのクエリのクリア。
注意:システムからクエリを削除すると、そのクエリIDは参照できなくなります。
クエリの編集
- [管理]>[システム]に移動します。
-
オプション パネルで、[URL統合]を選択します。
-
グリッドの列を選択し、列をダブル クリックするか、または
をクリックします。
[クエリの編集]ダイアログが表示されます。
- [表示名]と[クエリ]を編集できます。どちらのフィールドも空白にはできません。
- 変更を保存するには、[保存]をクリックします。
クエリの削除
注意:システムからクエリを削除すると、そのクエリIDは参照できなくなります。
NetWitness Suiteからクエリを完全に削除するには、次を行います。
すべてのクエリのクリア
リストからすべてのクエリをクリアするには、次を行います。
URIでのクエリの使用
URL統合は、NetWitness Suiteアーキテクチャに対する検索を可能にすることによって、サード パーティ製品との統合を容易に構成できるようにします。URIにクエリを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、NetWitness Suiteの[調査]ビューの特定のドリルダウン ポイントに直接アクセスできます。
URLエンコード クエリを使用してURIを入力するためのフォーマットは次のとおりです。
http://<nw host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>
各変数の意味は以下のとおりです
- <nw host: port>は、IPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合に必要です。
- <serviceId>はNetWitness Suiteインスタンスの内部サービスIDで、クエリの対象を指定します。サービスIDは、常に整数です。サービスIDは、NetWitness Suiteから[調査]ビューにアクセスする際にURLで確認できます。この値は、調査対象となるサービスによって変わります。
- <encoded query>は、URLエンコードされたNetWitness Suiteクエリです。 クエリの長さはHTMLのURL制限で制限されています。
- <start date>および<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm>です。start date(開始日)とend date(終了日)は指定が必要なパラメータです。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
例
次のクエリの例では、NetWitnessサーバが192.168.1.10で、サービスIDが2に指定されています。
2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ
- カスタム ピボット:alias.host exists
- https://192.168.1.10/investigation/2...13-03-12T06:00
2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック
- カスタム ピボット:service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
- ピボットのエンコード:
- service=80 => service&3D80
- ip.src=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
- ip.dst=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
- https://192.168.1.10/investigation/2...13-03-12T17:10
追加の注意事項
一部の値はエンコードする必要がない場合があります。たとえば、クエリにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。