Untersuchen: Anzeigen und Ändern von Abfragen mithilfe von URL-Integration

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate umfasst eine externe URL-Integration, die über die Suche in der NetWitness Suite-Architektur die Integration von Drittanbieterprodukten ermöglicht. Indem Sie eine Abfrage in einer URI verwenden, können Sie ausgehend von jedem Produkt, das benutzerdefinierte Links erlaubt, zu einem bestimmten Drill-down-Punkt in der Ansicht „Ermittlung“ wechseln. Diese Integration ermöglicht eine interne Präsentation der Benutzerabfrage.

Mithilfe der URL-Integration kann der Benutzer den Service entweder über die Host-ID oder über den Service und den Port identifizieren. Dies wird in NetWitness Suite definiert. Kann NetWitness Suite den Service nicht auflösen, wird der Analyst zur Ansicht „Navigation“ umgeleitet. Dort wird das Dialogfeld zur Serviceauswahl angezeigt. Nach Auswahl des Services wird die Ansicht „Navigation“ mit dem in der Abfrage definierten Drill-down-Punkt geladen.

Bekannte Service-ID

Ist die ID des zur Ermittlung genutzten Services bekannt, erfolgt die Eingabe einer URI mithilfe einer URL-kodierten Abfrage in folgendem Format:

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

Hierbei gilt:

  • <sa host: port> ist die IP-Adresse oder DNS, mit oder ohne einen Port, soweit anwendbar (SSL oder nicht). Diese Bezeichnung ist nur erforderlich, wenn der Zugriff über einen nicht standardmäßigen Port über einen Proxy konfiguriert ist.
  • <deviceId> ist die interne Service-ID in der NetWitness Suite-Instanz für den abzufragenden Service. Die Service-ID kann nur als ganze Zahl repräsentiert werden. Sie können die relevante Service-ID in der URL einsehen, wenn Sie in NetWitness Suite auf die Ansicht „Investigation‟ zugreifen. Dieser Wert ändert sich basierend auf dem für die Analyse verbundenen Service.
  • <encoded query> steht dabei für die URL-kodierte NetWitness Suite-Abfrage. Die Länge der Abfrage ist durch die HTML-URL-Begrenzungen begrenzt.
  • <start date> und <end date> definieren den Datumsbereich für die Abfrage. Das Format lautet: <yyyy-mm-dd>T<hh:mm:ss>Z. Start- und Enddatum sind erforderlich. Falls kein Datum angegeben wird, werden die Benutzerstandards für diesen Service verwendet. Relative Bereiche (zum Beispiel „Letzte Stunde“) werden nicht unterstützt. Alle Zeiten werden als UTC ausgeführt.
    Beispiel:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Host und Port bekannt

Sind Host und Port des zur Ermittlung genutzten Services bekannt, erfolgt die Eingabe einer URI mithilfe einer URL-kodierten Abfrage in folgendem Format:

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

wobei

  • <sa host: port> ist die IP-Adresse oder DNS, mit oder ohne einen Port, soweit anwendbar (SSL oder nicht). Diese Bezeichnung ist nur erforderlich, wenn der Zugriff über einen nicht standardmäßigen Port über einen Proxy konfiguriert ist.
  • <device host:port> sind dabei Host und Port eines definierten Services in der NetWitness Suite-Instanz für den abzufragenden Service. NetWitness Suite versucht, Host und Port als eine in NetWitness Suite definierte Service-ID aufzulösen.
  • <encoded query> steht dabei für die URL-kodierte NetWitness Suite-Abfrage. Die Länge der Abfrage ist durch die HTML-URL-Begrenzungen begrenzt.
  • <start date> and <end date> definieren den Datumsbereich für die Abfrage. Das Format lautet: <yyyy-mm-dd>T<hh:mm:ss>Z. Start- und Enddatum sind erforderlich. Falls kein Datum angegeben wird, werden die Benutzerstandards für diesen Service verwendet. Relative Bereiche (zum Beispiel Letzte Stunde) werden in dieser Version nicht unterstützt. Alle Zeiten werden als UTC ausgeführt.
    Beispiel:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

Beispiele

Dies sind Abfragebeispiele, in denen der NetWitness-Server 192.168.1.10 ist und die deviceID als 2 erkannt wurde.

Alle Aktivitäten am 03/12/2013 zwischen 5:00 und 6:00 Uhr mit einem registrierten Hostnamen

Alle Aktivitäten am 03/12/2013 zwischen 17:00 und 17:10 Uhr mit Http-Datenverkehr zu und von der IP-Adresse 10.10.10.3

Weitere Hinweise

Einige Werte müssen eventuell nicht als Teil der Abfrage kodiert werden. Zum Beispiel werden normalerweise die IP src und dst für diesen Integrationspunkt verwendet. Wenn zur Integration dieser Funktion eine Drittanbieter-Anwendung genutzt wird, ist es möglich, diese Werte ohne angewandte Codierung zu referenzieren.

You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Anzeigen und Ändern von Abfragen mithilfe von URL-Integration

Attachments

    Outcomes