Systemwartung: Verwalten von Abfragen mithilfe der URL-Integration

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Eine URL-Integration ist eine Methode zur Darstellung der Breadcrumbs oder Abfragepfade, die Sie beim aktiven Ermitteln eines Services in der Navigationsansicht nutzen. Diese Objekte müssen nicht häufig angezeigt und bearbeitet werden.

Eine URL-Integration stellt eine Zuordnung zu einer eindeutigen ID her, die automatisch erstellt wird, wenn Sie in der Navigationsansicht auf einen Navigationslink klicken, um einen Drill-down zu Daten durchzuführen. Nach Abschluss des Drill-downs gibt die URL die Abfrage-IDs des aktuellen Drill-down-Punkts an. Der angezeigte Name wird im Breadcrumb in der Navigationsansicht angezeigt.

Im Bereich URL-Integration wird eine Liste der Abfragen angezeigt. Benutzer, die über die entsprechenden Berechtigungen verfügen, können diese zugrunde liegende Datenquelle ändern und die Abfragemuster anderer Benutzer des NetWitness Suite-Systems analysieren. In diesem Bereich können Sie:

  • die Liste aktualisieren
  • eine Abfrage bearbeiten
  • eine Abfrage löschen
  • alle Abfragen in der Liste löschen

Achtung: Nachdem eine Abfrage aus dem System entfernt wurde, werden alle Ermittlungs-URLs, die die ID dieser Abfrage enthalten, nicht länger funktionieren.

Bearbeiten einer Abfrage

  1. Navigieren Sie zu ADMINISTRATION > System.
  2. Wählen Sie im Bereich Optionen URL-Integration aus.

    URL-Integration

  3. Wählen Sie die Zeile im Raster aus und doppelklicken Sie dann entweder auf die Zeile oder klicken Sie auf icon-edit.png.

    Das Dialogfeld Abfrage bearbeiten wird angezeigt.

    Dialogfeld „Abfrage bearbeiten“

  4. Bearbeiten Sie den Angezeigten Namen und die Abfrage, lassen Sie jedoch keines der Felder leer.
  5. Klicken Sie zum Speichern der Änderungen auf Speichern.

Löschen einer Abfrage

Achtung: Nachdem eine Abfrage aus dem System entfernt wurde, werden alle Ermittlungs-URLs, die die ID dieser Abfrage enthalten, nicht länger funktionieren.

So entfernen Sie eine Abfrage vollständig aus NetWitness Suite:

  1. Wählen Sie eine Abfrage aus.
  2. Klicken Sie auf Löschsymbol

    Mit einem Dialogfeld werden Sie aufgefordert, das Löschen der Abfrage zu bestätigen.

  3. Klicken Sie auf Yes.

Löschen aller Abfragen

So löschen Sie alle Abfragen in der Liste:

  • Klicken Sie auf Löschsymbol

    Die gesamte Liste wird gelöscht.

Verwenden einer Abfrage in einer URI

Die URL-Integration erleichtert Integrationen mit Produkten von Drittanbietern, da das Durchsuchen der NetWitness Suite-Architektur ermöglicht wird. Wenn Sie eine Abfrage in einer URI verwenden, können Sie ausgehend von jedem Produkt, das benutzerdefinierte Links zulässt, zu einem bestimmten Drill-down-Punkt in der Ansicht „Investigation“ in NetWitness Suite einschwenken.

Das Format zur Eingabe einer URI mithilfe einer URL-kodierten Abfrage lautet:

http://<nw host:port>/investigation/<serviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>
wobei Folgendes gilt:

  • <nw host: port> ist die IP-Adresse oder DNS, mit oder ohne einen Port, soweit anwendbar (SSL oder nicht). Diese Bezeichnung ist nur erforderlich, wenn der Zugriff über einen nicht standardmäßigen Port über einen Proxy konfiguriert ist.
  • <serviceId> ist die interne Service-ID in der NetWitness Suite-Instanz für den abzufragenden Service. Die Service-ID kann nur als ganze Zahl repräsentiert werden. Sie können die relevante Service-ID in der URL einsehen, wenn Sie in NetWitness Suite auf die Ansicht „Investigation“ zugreifen. Dieser Wert ändert sich abhängig von dem Service, mit dem zwecks Analyse eine Verbindung hergestellt wird.
  • <encoded query> ist die URL-kodierte NetWitness Suite-Abfrage.  Die Länge der Abfrage ist durch die HTML-URL-Begrenzungen begrenzt.
  • <start date> und <end date> definieren den Datumsbereich der Abfrage. Das Format lautet <jjjj-mm-tt>T<hh:mm>. Start- und Enddatum sind erforderlich. Relative Bereiche (zum Beispiel Letzte Stunde) werden in dieser Version nicht unterstützt. Alle Zeiten werden als UTC ausgeführt.

Beispiel:
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00/2012-10-31T00:00

Beispiele

Dies sind Abfragebeispiele, bei denen der NetWitness-Server die IP-Adresse 192.168.1.10 hat und „serviceID“ als 2 erkannt wurde.

Alle Aktivitäten am 03/12/2013 zwischen 5:00 und 6:00 Uhr mit einem registrierten Hostnamen

Alle Aktivitäten am 03/12/2013 zwischen 17:00 und 17:10 Uhr mit Http-Datenverkehr zu und von der IP-Adresse 10.10.10.3

  • Angepasster Pivot: service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
  • Kodierter Pivot analysiert:

Weitere Hinweise

Einige Werte müssen eventuell nicht als Teil der Abfrage kodiert werden. Zum Beispiel werden normalerweise die IP src und dst für diesen Integrationspunkt verwendet. Wenn zur Integration dieser Funktion eine Drittanbieter-Anwendung genutzt wird, ist es möglich, diese Werte ohne angewandte Codierung zu referenzieren.

You are here
Table of Contents > Verwalten von Abfragen mithilfe der URL-Integration

Attachments

    Outcomes