調査：URL統合を使用したクエリの表示と変更

NetWitness Investigateには、NetWitness Suiteアーキテクチャに対する検索を可能にすることによって、サード パーティ製品との統合を容易に構成できるようにする外部URL統合が含まれています。URIにクエリを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、［調査］ビューの特定のドリルダウン ポイントに直接アクセスできます。この統合によって、ユーザのクエリをサード パーティ製品の内部で表示できます。

URL統合では、ユーザは、NetWitness Suiteでの定義に従って、ホストIDまたはサービスとポートでサービスを識別できるようになります。NetWitness Suiteがサービスを解決できない場合、アナリストは［ナビゲート］ビューにリダイレクトされ、［サービス選択］ダイアログが表示されます。サービスを選択すると、クエリに定義されているドリルダウン ポイントが［ナビゲート］ビューにロードされます。

サービスIDが分かる場合

調査に使用するサービスのIDが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

ここで、

• <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート（SSLの場合など）を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
• <deviceId>はNetWitness Suiteインスタンスの内部サービスIDで、クエリの対象となります。サービスIDは、常に整数です。サービスIDは、NetWitness Suiteから［調査］ビューにアクセスする際にURLで確認できます。この値は、調査対象のサービスによって異なります。
• <encoded query>は、URLエンコードされたNetWitness Suiteクエリです。クエリの長さはHTMLのURL制限で制限されています。
• <start date>と<end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Z.です。start date（開始日）とend date（終了日）は必須パラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲（たとえば、「直近1時間」など）はサポートされていません。すべての時間はUTCとして処理されます。
  例：
  http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

ホストとポート番号がわかる場合

調査に使用するサービスのホストとポートが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリを指定します。

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

ここで、

• <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート（SSLの場合など）を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
• <device host:port>は、NetWitness Suiteインスタンスで定義されているクエリ対象のサービスのホストとポートです。NetWitness Suiteは、NetWitness Suiteで定義されたサービスIDとしてホストとポートの解決を試みます。
• <encoded query>は、URLエンコードされたNetWitness Suiteクエリです。クエリの長さはHTMLのURL制限で制限されています。
• <start date> and <end date>は、クエリの日付範囲を定義します。形式は<yyyy-mm-dd>T<hh:mm:ss>Zです。start date（開始日）とend date（終了日）は必須パラメータです。日付を指定しない場合、サービスのユーザ デフォルトが使用されます。相対日付範囲（たとえば、「直近1時間」など）はサポートされていません。すべての時間はUTCとして処理されます。
  例：
  http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-10-31T00:00:00Z

例

次のクエリの例では、NetWitness Serverが192.168.1.10で、デバイスIDが2に指定されています。

2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host（ホスト名）が存在するデータ

• カスタム ピボット：alias.host exists
• https://192.168.1.10/investigation/2/navigate/query/alias%2Ehost%20exists/date/2013-03-12T05:00:00Z/2013-03-12T06:00:00Z

2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック

• カスタム ピボット：service=80 && (ip.src=10.10.10.3 || ip.dst=10.0.3.3)
• ピボットのエンコード：
  • service=80 => service&3D80
  • ip.src=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
  • ip.dst=10.10.10.3 => ip%2Esrc%3D10%2E10%2E10%2E3
  • https://192.168.1.10/investigation/2/navigate/query/service%3D80%20%26%26%20%28ip%2Esrc%3D10%2E10%2E10%
    2E3%20%7C%7C%20ip%2Edst%3D10%2E10%2E10%2E3%29/date/2013-03-12T17:00:00Z/2013-03-12T17:10:00Z

追加の注意事項

一部の値はエンコードする必要がない場合があります。たとえば、クエリにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。