A biztonsági elemzők szeretnék megtalálni a kapcsolódó IP-címeket és egyéb adatokat a meglévő rekordokban lévő üzenetekből, hogy időt takaríthassanak meg a vizsgálathoz a metaadatgyűjtő webes szolgáltatási felületek használatával, ahelyett hogy időt pazarolnának a kapott IP-címek vagy egyéb adatok meglévő egyezéseinek kézi keresésére, amikor az üzenetek vizsgálati adatokat tartalmaznak.
Ennek a funkciónak az elve ugyanaz, mint a többi bejegyzés metaszűrőé. Reguláris kifejezések határozhatók meg egy webszolgáltatás meghívójának meghívásához. A webszolgáltatástól és a webszolgáltatás által meghívott külső kiszolgálótól függően a válasz az eredmények listáját fogja tartalmazni. Az eredmények listájának meghatározott formátumban kell érkeznie, hogy az OTRS megértse. Erősen ajánlott egy XSLT leképezést használni ehhez a meghívóhoz, hogy át tudja alakítani a külső szolgáltatótól kapott eredményeket olyanra, amelyet az OTRS-ben megérthetővé tudunk tenni.
Beállítás
A funkció az AgentFrontend::TicketDetailView::ArticleMeta beállítással engedélyezhető. Ez a beállítás szükséges az OTRS keretrendszerbe beépített metaszűrőkhöz, de szintén ez szükséges a webszolgáltatás bejegyzés metaszűrőhöz.
There are some examples in the AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0001-OTRSSTORM setting, but all of them are inactive by default. To activate any of them, just change the value of the Active key to 1.
-
The first meta filter is just an example how to search for host names using Google.
-
The second meta filter is another example how to search for servers using Google.
-
The third meta filter is a more complex example how to search for IP addresses using a “who is” service.
-
The fourth meta filter can bring information of IP addresses.
-
The fifth meta filter can bring information of vulnerability issues.
It may be necessary to set the correct values for the WebService, Invoker and Payload keys in the first three examples to match the current system. The fourth and fifth meta filters are real world examples, they should work without any change after activation.
You can see what regular expressions are defined in the RegExp array.
Van egy másik AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0002-Custom beállítás, ahol az adminisztrátorok egyéni metaszűrőket határozhatnak meg.
Megjegyzés
It is not recommended to change or extend the examples, because the built in examples can be changed in the future. Use the custom setting to define the own meta filters or copy the content from the example and extend it there.
In the configuration is needed to specify which web service and which invoker is going to be called. The remote server should return a list of elements. This list will be displayed in a popup window in the article, if the article has some keywords that matches with the configured regular expression.
The Payload is the information that OTRS sends to the remote server. This information is specified by the remote web service provider and it could contain static data or the match or matching groups specified in the RegExp array. The Payload can contain references to the TicketID, ArticleID and TicketNumber through the OTRS smart tags <OTRS_TICKET_TicketID>, <OTRS_TICKET_ArticleID> and <OTRS_TICKET_TicketNumber>.
Example:
Payload:
# ...
TicketID: <OTRS_TICKET_TicketID>
ArticleID: <OTRS_TICKET_ArticleID>
TicketNumber: <OTRS_TICKET_TicketNumber>
# ...
Lehetőség van a lista minden egyes eleméhez egy URL beállítására, így az ügyintézőnek lehetősége van arra, hogy egyetlen kattintással közvetlenül egy weboldalra lépjen.
A STORM egy beépített Generic::ArticleMetaFilter nevű meghívótípussal érkezik, amelyet a webszolgáltatásokban erre a bizonyos célra lehet használni. Kizárólag ez a típusú meghívó használható erre a funkcionalitásra.
Használat
A bejegyzés metaszűrő kérései eredményeinek megfelelő megjelenítéséhez erősen ajánlott az XSLT bejövő leképezés hozzáadása vagy kiterjesztése, hogy az eredmények listáját az egyetlen vagy több címkéből álló Items nevű címkékben tartalmazza.
Példa egy elemre:
<Items>Result 1</Items>
Példa több elemre:
<Items>Result 1</Items>
<Items>Result 2</Items>
<Items>Result 3</Items>
Az IP-címekre való kereséshez:
-
Hozzon létre egy webszolgáltatást a fenti XSLT leképezéssel egy külső kiszolgáló IP-címekkel való hívásához. A webszolgáltatásnak vissza kell adnia valaminek a listáját, például az átadott IP-címekhez hozzárendelt gépnevek listáját.
-
Hozzon létre egy új jegyet.
-
Töltse ki a szükséges mezőket.
-
Adja meg a következő szöveget a törzsben: Az Ön IP-címe 192.168.0.1 és az alhálózati maszkja 255.255.255.0.
-
Menjen az újonnan létrehozott jegynek a jegy részletes nézetére.
-
Nyissa ki az első bejegyzést a Kommunikációs folyam felületi elemben, hogy meglássa a gombokat a bejegyzés alatt.
A webszolgáltatás az összes lehetséges IP-címre rá fog keresni a bejegyzésben, ahogy a reguláris kifejezések által be van állítva, és visszaadja a gépnevek listáját.
A gombok a webszolgáltatás keresési eredményeire mutatnak. Ennek ugyanazokat a keresési eredményeket kell visszaadnia, mintha egy ügyintéző hívta volna meg a webszolgáltatást a megadott IP-címekre. A gombok szövege (ebben a példában IP-cím) az alapjául szolgáló rendszerbeállítási lehetőség Label kulcsából származik.
Ha az ügyintézők egy gomb fölé húzzák az egeret, akkor a webszolgáltatás által visszaadott eredmények listájának előnézetét fogják kapni. A gombokra kattintva megnyitható a eredményekhez hozzárendelt URL.
Ez a funkció egy jegy összes bejegyzésénél működik.
