on Oct 19, 2018NetWitness Investigateは、外部URL統合機能を提供します。この機能により、NetWitness Platformアーキテクチャに対する検索が可能となり、サードパーティ製品との統合が容易になります。URIにクエリを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、[調査]ビューの特定のドリルダウン ポイントに直接アクセスできます。この統合によって、ユーザのクエリをサード パーティ製品の内部で表示できます。
URL統合では、ユーザは、NetWitness Platformでの定義に従って、ホストIDまたはサービスとポートでサービスを識別できるようになります。NetWitness Platformがサービスを解決できない場合、アナリストは[ナビゲート]ビューにリダイレクトされ、[サービス選択]ダイアログが表示されます。サービスを選択すると、クエリに定義されているドリルダウン ポイントが[ナビゲート]ビューにロードされます。
サービスIDが分かる場合
調査に使用するサービスのIDが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。
http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>
引数の意味
- <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLまたは非SSL)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
- <deviceId>はNetWitness Platformインスタンスの内部サービスIDで、クエリの対象を指定します。サービスIDは、常に整数です。サービスIDは、NetWitness Platformから[調査]ビューにアクセスする際にURLで確認できます。この値は、調査対象のサービスによって異なります。
- <encoded query>は、URLエンコードされたNetWitness Platformクエリです。クエリの長さはHTMLのURL制限で制限されています。
- <start date>および<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
例:
http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z
ホストとポート番号がわかる場合
調査に使用するサービスのホストとポートが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。
http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>
引数の意味
- <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
- <device host:port>は、NetWitness Platformインスタンスで定義されているクエリ対象サービスのホストとポートです。NetWitness Platformは、NetWitness Platformで定義されたサービスIDとしてホストとポートの解決を試みます。
- <encoded query>は、URLエンコードされたNetWitness Platformクエリです。クエリの長さはHTMLのURL制限で制限されています。
- <start date>と<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
例:
http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z
例
次のクエリの例では、NetWitness Serverが192.168.1.10で、デバイスIDが2に指定されています。
2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ
- カスタム ピボット:alias.host exists
- https://192.168.1.10/investigation/2/navigate/query/alias%2Ehost%20exists/date/2013-03-12T05:00:00Z/2013-03-12T06:00:00Z
2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック
- カスタム ピボット:service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
- ピボットのエンコード:
- service=80 => service&3D80
- ip.src=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
- ip.dst=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
- https://192.168.1.10/investigation/2/navigate/query/service%3D80%20%26%26%20%28ip%2Esrc%3D10%2E10%2E10%
2E3%20%7C%7C%20ip%2Edst%3D10%2E10%2E10%2E3%29/date/2013-03-12T17:00:00Z/2013-03-12T17:10:00Z
追加の注意事項
一部の値はエンコードする必要がない場合があります。たとえば、クエリにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。
