Investigate: Ver y modificar consultas mediante la integración de URL

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate incluye una integración de URL externa que facilita la integración con productos de otros fabricantes, ya que permite una búsqueda contra la arquitectura de NetWitness Suite. Cuando utiliza una consulta en un URI, puede ir directamente desde cualquier producto que permita vínculos personalizados a un punto de desglose específico en la vista Investigar. Esta integración proporciona una presentación interna de la consulta del usuario.

La integración de URL permite al usuario identificar el servicio, ya sea por el ID de host o por el servicio y el puerto, como se define en NetWitness Suite. Si NetWitness Suite no puede resolver el servicio, se redirige al analista a la vista Navegar, la cual muestra el cuadro de diálogo Selección de servicios. Una vez seleccionado el servicio, la vista Navegar se carga con el punto de desglose, definido por la consulta.

ID de servicio conocido

Cuando se conoce el ID del servicio que se usará para la investigación, el formato para ingresar un URI mediante una consulta con codificación URL es:

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

donde

  • <sa host: port>es la dirección IP o DNS, con o sin un puerto, según corresponda (ssl o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <deviceId>es el ID de servicio interno en la instancia de NetWitness Suite para el servicio que se consultará. El ID de servicio solo se puede representar como un entero. Puede ver el ID de servicio pertinente en la URL cuando accede a la vista Investigation en NetWitness Suite. Este valor cambia según el servicio al cual se conecta para el análisis.
  • <encoded query>es la consulta de NetWitness Suitecon codificación de URL. El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> y <end date> definen el rango de fechas de la consulta. El formato es <yyyy-mm-dd>T<hh:mm:ss>Z.. Las fechas de inicio y finalización son obligatorias. Si no se proporciona ninguna fecha, se usan los valores predeterminados del usuario para ese servicio. Los rangos relativos (por ejemplo, última hora) no son compatibles con esta versión. Todas las horas se ejecutan como UTC.
    Por ejemplo:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Host y puerto conocidos

Cuando se conoce el host y el puerto del servicio que se usará para la investigación, el formato para ingresar un URI mediante una consulta con codificación URL es:

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

donde

  • <sa host: port> es la dirección IP o DNS, con o sin un puerto, según corresponda (ssl o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <device host:port> es el host y el puerto de un servicio definido en la instancia de NetWitness Suite para el servicio que se consultará. NetWitness Suite intenta resolver el host y el puerto como un ID de servicio definido en NetWitness Suite.
  • <encoded query> es la consulta de NetWitness Suite con codificación de URL. El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> and <end date> definen el rango de fechas de la consulta. El formato es <yyyy-mm-dd>T<hh:mm:ss>Z. Las fechas de inicio y finalización son obligatorias. Si no se proporciona ninguna fecha, se usan los valores predeterminados del usuario para ese servicio. Los rangos relativos (por ejemplo, última hora) no están soportado en esta versión. Todas las horas se ejecutan como UTC.
    Por ejemplo:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Ejemplos

Estos son ejemplos de consultas donde el servidor de NetWitness es 192.168.1.10 y el ID de dispositivo está identificado como 2.

Toda actividad realizada el 12/03/13 entre las 5:00 y 06:00 a.m. con un nombre host registrado

Toda actividad realizada el 12/03/13 entre las 5:00 y 05:10 p.m. con tráfico http hacia y desde la dirección IP 10.10.10.3

Notas adicionales

Es posible que algunos valores no necesiten codificarse como parte de la consulta. Por ejemplo, normalmente se utiliza la IP src y dst para este punto de integración. Si aprovecha una aplicación de otros fabricantes para la integración de esta funcionalidad, es posible hacer referencia a ella sin aplicar la codificación.

You are here
Table of Contents > Consulta y realización de acciones en datos en las vistas Navegar y Eventos > Ver y modificar consultas mediante la integración de URL

Attachments

    Outcomes