SA-Konfiguration: Hinzufügen benutzerdefinierter Kontextmenüaktionen

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Im Bereich „Kontextmenüaktionen“ können Administratoren Kontextmenüaktionen für die aktuelle Instanz von NetWitness Suite anzeigen, hinzufügen und bearbeiten. Jede Kontextmenüaktion gilt für einen bestimmten Kontext in der NetWitness Suite-Benutzeroberfläche und wird als Option angezeigt, wenn Sie bei einer bestimmten Position in der Benutzeroberfläche mit der rechten Maustaste klicken.

Einige Kontextmenüaktionen sind in NetWitness Suite integriert. Sie können die Standard-Kontextmenüaktionen nicht bearbeiten oder löschen. Sie können benutzerdefinierte Kontextmenüaktionen erstellen und bearbeiten. Wenn Sie eine benutzerdefinierte Variante einer integrierten Kontextmenüaktion erstellen möchten, können Sie die Konfiguration in eine neue Kontextmenüaktion kopieren und die benutzerdefinierte Kontextmenüaktion ändern. Eine Kontextmenüaktion wird in CSS-Code (Cascading Stylesheet) festgelegt, der Folgendes definiert:

  • Den Titel der Option im Kontextmenü.
  • DasNetWitness SuiteModul, in dem das Kontextmenü verfügbar ist.
  • Die Inhalte, für die die Aktion gilt.

Dies ist ein Beispiel für eine benutzerdefinierte Kontextmenüaktion. Als ein Beispielverfahren werden unten die Schritte und der CSS-Code zum Erstellen dieses Beispiels bereitgestellt.
Schritte zum Erstellen von CSS-Code

Anzeigen von Kontextmenüaktionen in NetWitness Suite

So zeigen Sie sowohl standardmäßige als auch benutzerdefinierte Kontextaktionen in NetWitness Suite an:

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich „Optionen“ die Option Kontextmenüaktionen aus.

    Details zu den Informationen im Bereich Kontextmenüaktion finden Sie unter Bereich Kontextmenüaktionen

Hinzufügen einer Kontextmenüaktion

So fügen Sie eine Kontextmenüaktion in NetWitness Suite hinzu:

  1. Klicken Sie in der Symbolleiste auf .
    Das Dialogfeld „Kontextmenü-Konfiguration“ wird angezeigt.
  2. Geben Sie den CSS-Code ein, mit dem die Kontextmenüaktion definiert wird. Das Beispielverfahren am Ende dieses Themas bietet eine schrittweise Anleitung, die Sie verwenden können, um eine nützliche Kontextmenüaktion zu erstellen.
    Dialogfeld „Kontextmenü-Konfiguration“
  3. Klicken Sie auf OK
    .Die neue Kontextmenüaktion wird erstellt und am Ende der Liste der Kontextmenüaktionen hinzugefügt.
  4. Um die neue Kontextmenüaktion zu aktivieren, starten Sie den Browser neu.
    Das Kontextmenüaktion wird am konfigurierten Speicherort verfügbar.

Bearbeiten einer Kontextaktion

So bearbeiten Sie eine Kontextaktion:

  1. Wählen Sie die Zeile im Raster aus und doppelklicken Sie dann entweder auf die Zeile oder klicken Sie auf .
    Das Dialogfeld Kontextmenü-Konfiguration wird angezeigt.
    Dialogfeld „Kontextmenü-Konfiguration“
  2. Bearbeiten Sie die Konfiguration.
  3. Klicken Sie zum Speichern der Änderungen auf OK.
  4. Um die aktualisierte Aktion zu verwenden, starten Sie den Browser neu.

Löschen einer Kontextaktion

So entfernen Sie eine Kontextaktion vollständig aus NetWitness Suite:

  1. Wählen Sie die Aktion aus.
  2. Klicken Sie auf .
    Ein Dialogfeld fordert Sie auf, zu bestätigen, dass Sie die Kontextmenüaktion löschen möchten.
  3. Klicken Sie auf Yes.
    Die Option wird aus dem Bereich Kontextmenüaktionen entfernt.
  4. Starten Sie den Browser neu, um die Aktion aus den Kontextmenüs zu entfernen, in denen sie enthalten war.

Beispiel für die Vorgehensweise: Kontextmenüaktion zum Untersuchen von ip.dst aus alias.ip

In diesem Beispiel wird eine Kontextmenüaktion hinzugefügt, mit der Analysten aus den alias.ip-Werten (die von einer DNS-Anforderung zurückgegebenen IP-Adressen) Werte der ip.dst-Metaschlüssel pivotieren können. Analysten können damit jeden Datenverkehr an die IP-Adresse erkennen, die bei einer DNS-Abfrage zurückgegeben wurde.

So implementieren Sie die Kontextmenüaktion:

  1. Bestimmen Sie die eindeutige Kennung für Ihren NetWitness-Server wie folgt:
    1. Melden Sie sich bei NetWitness Suite an, wählen Sie im Hauptmenü die Option Investigation > Navigieren aus, wählen Sie einen zu untersuchenden Service (z. B. einen Concentrator) aus und warten Sie, bis die Werte geladen wurden.
    2. Suchen Sie die URL und die Zahl nach investigation. In diesem Beispiel lautet die eindeutige Kennung für die Aktion 4. Sie benötigen diese eindeutige ID, um die Kontextmenüaktion hinzuzufügen.
  2. Klicken Sie in der Symbolleiste auf .
    Das Dialogfeld „Kontextmenü-Konfiguration“ wird angezeigt.

  3. Kopieren Sie den gesamten Beispiel-Codeblock unten und fügen Sie ihn in das Fenster ein.
     { "displayName": "[Investigate IP from DNS Response]", "cssClasses": [ "alias-ip", "alias.ip" ], "description": "Update your NW server and ID", "type": "UAP.common.contextmenu.actions.URLContextAction", "version": "Custom", "modules": [ "investigation" ], "local": "false", "groupName": "investigationGroup", "urlFormat": "/investigation/<insert_unique_identifier_here>/navigate/query/ip.dst%3d'{0}'", "disabled": "", "id": "NavigateHost", "moduleClasses": [ "UAP.investigation.navigate.view.NavigationPanel", "UAP.investigation.events.view.EventGrid" ], "openInNewTab": "true" } 
  4. Ersetzen Sie in der Zeile urlFormat den Eintrag <insert-unique_identifier_here> durch den eindeutigen Bezeichner.
    Die URL sollte wie folgt aussehen:
    "/investigation/4/navigate/query/ip.dst%3d'{0}'"
  5. Klicken Sie auf OK, und starten Sie Ihren Browser neu.
  6. Öffnen Sie, um die Aktion zu testen, eine Ermittlung in der Navigationsansicht und klicken mit der rechten Maustaste auf den Metaschlüssel alias.ip.
    Die Ermittlungsoption im Kontextmenü sollte der folgenden Abbildung ähneln.
  7. Sollte einen Pivot erzeugen, der diesem gleicht.
  8. Wenn Sie dieses Beispiel zur Ermittlung des DNS-Datenverkehrs verwenden, sollten Sie in Betracht ziehen, eine spezifische Metagruppe für DNS-Datenverkehr zu erstellen, wie in „Managen von benutzerdefinierten Metagruppen im Leitfaden Investigation und Malware Analysis beschrieben.
Previous Topic:Zusätzliche Verfahren
You are here
Table of Contents > Zusätzliche Verfahren > Hinzufügen benutzerdefinierter Kontextmenüaktionen

Attachments

    Outcomes