Mantenimiento del sistema: Mantener consultas mediante la integración de URL

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on May 3, 2018
Version 5Show Document
  • View in full screen mode
 

Una integración de URL proporciona una forma de representar las rutas de navegación, o la ruta de consulta, que se recorren cuando se investiga activamente un servicio en la vista Navegar. No es necesario mostrar y editar estos objetos a menudo.

Una integración de URL mapea un ID único que se crea automáticamente cada vez que hace clic en un vínculo de navegación en la vista Navegación para desglosar los datos. Cuando finaliza el desglose, la URL refleja los ID de consulta para el punto de desglose actual. El nombre de visualización se muestra en la ruta de navegación en la vista Navegar.

En el panel Integración de URL se proporciona una lista de consultas y se permite a los usuarios que tienen los permisos correspondientes modificar este origen de datos subyacente y analizar los patrones de consulta de otros usuarios del sistema de NetWitness Suite. En el panel, puede:

  • Actualizar la lista.
  • Editar una consulta.
  • Eliminar una consulta.
  • Borrar todas las consultas en la lista.

Precaución: Una vez que una consulta se ha eliminado del sistema, las URL de Investigation que incluían el ID de esa consulta no funcionarán.

Editar una consulta

  1. Vaya a ADMIN > Sistema.
  2. En el panel de opciones, seleccione Integración de URL.

    Integración de URL

  3. Seleccione la fila en la cuadrícula y haga doble clic en la fila o haga clic en icon-edit.png.

    Se muestra el cuadro de diálogo Editar consulta.

    Cuadro de diálogo Editar consulta

  4. Edite el Nombre para mostrar y Consulta, pero no deje ningún campo en blanco.
  5. Para guardar los cambios, haga clic en Guardar.

Eliminar una consulta.

Precaución: Una vez que una consulta se ha eliminado del sistema, las URL de Investigation que incluían el ID de esa consulta no funcionarán.

Para eliminar completamente una consulta de NetWitness Suite:

  1. Seleccione la consulta.
  2. Haga clic en Ícono Eliminar

    Un cuadro de diálogo solicita confirmar la intención de eliminar la consulta.

  3. Haga clic en .

Borrar todas las consultas

Para borrar todas las consultas de la lista:

  • Haga clic en Icono Borrar

    Se borra toda la lista.

Utilizar una consulta en un URI

La integración de URL facilita las integraciones con productos de otros fabricantes, ya que permite una búsqueda contra la arquitectura de NetWitness Suite. Cuando usa una consulta en un URI, puede ir directamente desde cualquier producto que permita vínculos personalizados a un punto de desglose específico en la vista Investigation en NetWitness Suite.

El formato para ingresar un URI utilizando una consulta con codificación URL es:

http://<nw host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>
donde

  • <nw host: port> es la dirección IP o DNS, con o sin un puerto, según corresponda (ssl o no). Esta designación solo se necesita si el acceso está configurado sobre un puerto no estándar a través de un proxy.
  • <serviceId> es el ID de servicio interno en la instancia de NetWitness Suite para el servicio que se consultará. El ID de servicio solo se puede representar como un entero. Puede ver el ID de servicio pertinente en la URL cuando accede a la vista Investigation en NetWitness Suite. Este valor cambia según el servicio al cual se conecta para el análisis.
  • <encoded query> es la consulta de NetWitness Suite con codificación URL.  El largo de la consulta está restringido por las limitaciones de HTML URL.
  • <start date> y <end date> definen el rango de fechas para la consulta. El formato es <aaaa-mm-dd>T<hh:mm>. Se requieren las fechas de inicio y finalización. Los rangos relativos (por ejemplo, última hora) no están soportado en esta versión. Todas las horas se ejecutan como UTC.

Por ejemplo:
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00/2012-10-31T00:00

Ejemplos

Estos son ejemplos de consultas donde el Servidor de NetWitness es 192.168.1.10 y el ID de servicio se identifica como 2.

Toda actividad realizada el 12/03/13 entre las 5:00 y 06:00 a.m. con un nombre host registrado

Toda actividad realizada el 3/12/2013 entre las 5:00 y 05:10 p.m. con tráfico http hacia y desde la dirección IP 10.10.10.3

  • Custom Pivot: service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
  • Dirección con codificación diseccionada:

Notas adicionales

Es posible que algunos valores no necesiten codificarse como parte de la consulta. Por ejemplo, normalmente se utiliza la IP src y dst para este punto de integración. Si aprovecha una aplicación de otros fabricantes para la integración de esta funcionalidad, es posible hacer referencia a ella sin aplicar la codificación.

You are here
Table of Contents > Mantenimiento de consultas mediante la integración de URL

Attachments

    Outcomes