This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

RSA NetWitness® Platformプラットフォームのドキュメント(日本語)

RSA NetWitness Platformの公式ドキュメント(日本語)を参照して、役立つチュートリアル、ステップバイステップの手順、およびその他の貴重なリソースを確認してください。
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

  

Investigationには外部URL統合が含まれており、Security Analyticsに対する検索を可能にすることによって、サード パーティ製品との統合が容易になっています。URIにクエリーを記述することにより、カスタム リンクを作成可能なサード パーティ製品から、Security Analyticsの[Investigation]ビューの特定のドリルダウン ポイントに直接アクセスできます。この統合によって、ユーザーのクエリーをサード パーティ製品の内部で表示できます。

URL統合では、ユーザーは、Security Analyticsでの定義に従って、ホストIDまたはサービスとポートでサービスを識別できるようになります。Security Analyticsがサービスを解決できない場合、アナリストは[ナビゲート]ビューにリダイレクトされ、[サービス選択]ダイアログが表示されます。サービスを選択すると、クエリーに定義されているドリルダウン ポイントが[ナビゲート]ビューにロードされます。

サービスIDが分かる場合

調査に使用するサービスのIDが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリーを指定します。

http://<sa host:port>/investigation/<deviceId>/navigate/query/<encoded query>/date/<start date>/<enddate>

where

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <deviceId>はSecurity Analyticsインスタンスの内部サービスIDであり、クエリーの対象となります。サービスIDは、常に整数です。サービスIDは、Security Analyticsから[Investigation]ビューにアクセスする際にURLで確認できます。この値は、調査対象のサービスによって異なります。
  • <encoded query>は、URLエンコードされたSecurity Analyticsクエリーです。クエリーの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリーの日付範囲を定義します。形式は、<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザー デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/12/navigate/query/alias%20exists/date/2012-09-01T00:00:00Z/2012-...

ホストとポート番号がわかる場合

調査に使用するサービスのホストとポートが分かっている場合、URIには次のフォーマットでURLエンコードされたクエリーを指定します。

http://<sa host:port>/investigation/<device host:port>/navigate/query/<encoded query>/date/<start date>/<enddate>

ここで、

  • <sa host: port>は、SAサーバのIPアドレスまたはDNS名で、必要に応じて、ポート(SSLの場合等)を指定します。ポート番号は、プロキシ使用時など非標準ポートでアクセスを構成する場合にのみ必要です。
  • <device host:port>は、Security Analyticsインスタンスで定義されているクエリー対象のサービスのホストとポートです。Security AnalyticsはホストとポートからサービスIDの解決を試みます。
  • <encoded query>は、URLエンコードされたSecurity Analyticsクエリーです。クエリーの長さはHTMLのURL制限で制限されています。
  • <start date>および<end date>は、クエリーの日付範囲を定義します。形式は、<yyyy-mm-dd>T<hh:mm:ss>Zです。start date(開始日)とend date(終了日)は指定が必要なパラメータです。日付を指定しない場合、サービスのユーザー デフォルトが使用されます。相対日付範囲(たとえば、「直近1時間」など)はサポートされていません。すべての時間はUTCとして処理されます。
    例:
    http://localhost:9191/investigation/concentrator:50105/navigate/query/alias%20exists/date/2012-09-01...

これらのクエリーの例では、SAサーバが192.168.1.10で、デバイスIDが2に指定されています。

2013年3月12日の午前5:00から午前6:00までのすべてのアクティビティで、alias host(ホスト名)が存在するデータ

2013年3月12日の午後5:00から午後5:10までのすべてのアクティビティで、IPアドレス10.10.10.3において送受信されるhttpトラフィック

追加の注意事項

一部の値はエンコードする必要がない場合があります。たとえば、クエリーにip.srcとip.dstを指定する場合、これらのパラメータはエンコードせずに参照することが可能です。

You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのデータ クエリー > URL統合を使用したクエリーの表示と変更
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.