Enquêter : Afficher et modifier des requêtes avec l'intégration d'URL

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate comprend une fonction d'intégration d'URL externe qui facilite les intégrations aux produits tiers en permettant d'effectuer une recherche en fonction de l'architecture NetWitness Suite. En utilisant une requête dans un URI, vous pouvez pivoter directement d'un produit qui autorise les liens personnalisés vers un point de recherche verticale spécifique dans la vue Enquêter. Cette intégration fournit une présentation interne de la requête de l'utilisateur.

L'intégration d'URL permet à l'utilisateur d'identifier le service soit à l'aide de l'ID de l'hôte, soit à l'aide du service et du port, comme défini dans NetWitness Suite. Si NetWitness Suite ne peut pas résoudre le service, l'analyste est redirigé vers la vue Naviguer, qui contient la boîte de dialogue Sélection de service. Une fois que le service est sélectionné, la vue Naviguer est chargée avec le point de recherche verticale, défini par la requête.

ID de service connu

Lorsque l'ID du service à utiliser dans le cadre de la procédure d'enquête est connu, le format de saisie d'un URI à l'aide d'une requête chiffrée au format URL est le suivant :

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

  • <sa host: port> est l'adresse IP ou DNS, avec ou sans port selon le cas (ssl ou non). Cette désignation est nécessaire uniquement si l'accès est configuré sur un port non standard via un proxy.
  • <deviceId> est l'ID de service interne dans l'instance NetWitness Suite du service sur lequel effectuer la requête. L'ID de service ne peut être représenté que sous la forme d'un nombre entier. Vous pouvez visualiser l'ID de service approprié à partir de l'URL dans la vue Procédure d'enquête de NetWitness Suite. Cette valeur change en fonction du service à analyser.
  • <encoded query> est la requête NetWitness Suite codée par URL. La longueur de la requête est limitée par les restrictions d'URL HTML.
  • <start date> et <end date> définissent la période pour la requête. Le format est <yyyy-mm-dd>T<hh:mm:ss>Z.. Les dates de début et de fin sont obligatoires. Si aucune date n'est fournie, les valeurs par défaut de l'utilisateur pour ce service sont utilisées. Les plages relatives (par exemple, Dernière heure) ne sont pas prises en charge. Toutes les heures sont exécutées au format UTC.
    Par exemple :
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Hôte et port connus

Lorsque l'hôte et le port du service à utiliser dans le cadre de la procédure d'enquête sont connus, le format de saisie d'un URI à l'aide d'une requête chiffrée au format URL est le suivant :

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

  • <sa host: port> est l'adresse IP ou DNS, avec ou sans port selon le cas (ssl ou non). Cette désignation est nécessaire uniquement si l'accès est configuré sur un port non standard via un proxy.
  • <device host:port> est l'hôte et le port d'un service défini dans l'instance NetWitness Suite que le service peut interroger. NetWitness Suite tente de résoudre l'hôte et le port en tant qu'ID de service défini dans NetWitness Suite.
  • <encoded query> est la requête NetWitness Suite codée par URL. La longueur de la requête est limitée par les restrictions d'URL HTML.
  • <start date> and <end date> définissent la période pour la requête. Le format est <yyyy-mm-dd>T<hh:mm:ss>Z. Les dates de début et de fin sont obligatoires. Si aucune date n'est fournie, les valeurs par défaut de l'utilisateur pour ce service sont utilisées. Les plages relatives (par exemple, Dernière heure) ne sont pas prises en charge dans cette version. Toutes les heures sont exécutées au format UTC.
    Par exemple :
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Exemples

Voici des exemples de requêtes où le serveur NetWitness correspond à 192.168.1.10 et où deviceID est identifié par la valeur 2.

Toute l'activité du 03/12/2013 entre 05:00 et 06:00 avec un nom d'hôte enregistré

Toute l'activité du 03/12/2013 entre 17:00 et 17:10 avec trafic http vers et à partir de l'adresse IP 10.10.10.3

Remarques supplémentaires

Certaines valeurs peuvent ne pas être chiffrées dans le cadre de la requête. Par exemple l'IP src et dst est utilisé pour ce point d'intégration. Dans le cas de l'exploitation d'une application tierce pour l'intégration de cette fonctionnalité, il est possible d'y faire référence sans appliquer de chiffrage.

You are here
Table of Contents > Interrogation et action sur les données dans les vues Naviguer et Événements > Afficher et modifier des requêtes à l'aide de l'intégration d'URL

Attachments

    Outcomes