Artikel Metafilter für Web-Services

Sicherheitsanalysten wollen relevante IPs und andere Daten aus Nachrichten in vorhandenen Datensätzen finden, damit sie Zeit für Untersuchungen sparen können, indem sie die Webservice-Schnittstellen des Metadatensammlers nutzen, anstatt Zeit für die manuelle Suche nach vorhandenen Übereinstimmungen von empfangenen IPs oder anderen Daten zu verschwenden, wenn Nachrichten Daten für Untersuchungen enthalten.

Das Prinzip dieser Funktion ist das gleiche wie bei anderen Artikel-Meta-Filtern. Es können einige reguläre Ausdrücke definiert werden, um einen Web Service Invoker aufzurufen. Abhängig von dem Web-Service und dem externen Server, den der Web-Service aufruft, enthält die Antwort eine Liste von Ergebnissen. Die Ergebnisliste sollte in einem bestimmten Format vorliegen, damit OTRS sie verstehen kann. Es ist sehr empfehlenswert, ein XSLT Mapping für diesen Invoker zu verwenden, so dass er die Ergebnisse des externen Providers in ein für OTRS verständliches Format umwandeln kann.

Das Feature kann mit der Einstellung AgentFrontend::TicketDetailView::ArticleMeta aktiviert werden. Diese Einstellung wird für die im OTRS-Framework eingebauten Meta-Filter benötigt, aber auch für den Webservice-Artikel-Meta-Filter ist dies erforderlich.

There are some examples in the AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0001-Framework setting, but all of them are inactive by default. To activate any of them, just change the value of the Active key to 1.

• Der erste Meta-Filter ist nur ein Beispiel dafür, wie man mit Google nach Hostnamen sucht.

• Der zweite Meta-Filter ist nur ein Beispiel dafür, wie man mit Google nach Servern sucht.

It may be necessary to set the correct values for the WebService, Invoker and Payload keys to match the current system.

Sie können sehen, welche regulären Ausdrücke in dem RegExp-Array definiert sind.

Es gibt eine weitere Einstellung AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0002-Custom, in der die Administratoren benutzerdefinierte Metafilter definieren können.

In der Konfiguration muss angegeben werden, welcher Webservice und welcher Invoker aufgerufen wird. Der Remote-Server sollte eine Liste von Elementen zurückgeben. Diese Liste wird in einem Popup-Fenster im Artikel angezeigt, wenn der Artikel einige Schlüsselwörter enthält, die mit dem konfigurierten regulären Ausdruck übereinstimmen.

Die Payload ist die Information, die OTRS an den Remote-Server sendet. Diese Informationen werden vom Remote-Web-Service-Provider spezifiziert und können statische Daten oder die im RegExp Array spezifizierten Matches oder Matching Groups enthalten. Die Payload kann Referenzen auf die TicketID, ArticleID und TicketNumber durch die OTRS Smart Tags <OTRS_TICKET_TicketID>, <OTRS_TICKET_ArticleID> und <OTRS_TICKET_TicketNumber> enthalten.

Beispiel:

Payload:
  # ...
  TicketID: <OTRS_TICKET_TicketID>
  ArticleID: <OTRS_TICKET_ArticleID>
  TicketNumber: <OTRS_TICKET_TicketNumber>
  # ...

Es ist möglich, für jedes Element in der Liste eine URL zu konfigurieren, so dass der Agent die Möglichkeit hat, mit nur einem Klick direkt auf eine Website zu gehen.

OTRS comes a builtin invoker type called Generic::ArticleMetaFilter to be used in web services for this specific purpose. Only this type of invoker can be used for this functionality.

Um die Ergebnisse der Anfragen des Artikel-Meta-Filters korrekt anzuzeigen, wird dringend empfohlen, die XSLT-Eingangszuordnung zu ergänzen oder zu erweitern, um die Liste der Ergebnisse in Tags mit der Bezeichnung Items einzuschließen, die aus einem oder mehreren Tags bestehen.

Beispiel für ein Element:

<Items>Result 1</Items>

Beispiel für mehrere Elemente:

<Items>Result 1</Items>
<Items>Result 2</Items>
<Items>Result 3</Items>

So suchen Sie nach IP-Adressen:

1. Gehen Sie zur Ansicht Systemkonfiguration.

2. Search for the setting AgentFrontend::TicketDetailView::ArticleMeta and enable it.

3. Search for the setting AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0002-Custom.

4. Fügen Sie der Einstellung eine Regelkonfiguration im YAML-Format hinzu.

   - Label: IP Address (DS)
     Name: Example Document Search for IP Address
     Target: _blank
     DocumentSearchString: <MATCH1>
     ShowPreview: 1
     ShowTotal: 1
     LiteralSearch: 0
     RegExp:
     - (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
     Active: 1
   

5. Erstellen Sie einen Web-Service mit der obigen XSLT-Zuordnung, um einen externen Server mit den IP-Adressen aufzurufen. Der Web-Service sollte eine Liste zurückgeben, z. B. eine Liste von Host-Namen, die mit den übergebenen IP-Adressen verbunden sind.

6. Erstellen Sie ein neues Ticket.

7. Füllen Sie die Pflichtfelder aus.

8. Geben Sie den folgenden Text in den Textkörper ein: Ihre IP-Adresse ist 192.168.0.1 und Ihre Subnetzmaske ist 255.255.255.0.

9. Gehen Sie zur Ticket-Detailansicht des neu erstellten Tickets.

10. Erweitern Sie den ersten Artikel im Communication Stream Widget, um die Schaltflächen unter dem Artikel zu sehen.

Der Web-Service sucht nach allen möglichen IP-Adressen im Artikel, die durch den regulären Ausdruck konfiguriert sind, und gibt eine Liste von Host-Namen zurück.

Die Schaltflächen verweisen auf die Suchergebnisse eines Web-Service. Dieser sollte die gleichen Suchergebnisse zurückgeben, wenn ein Agent den Web Service mit den angegebenen IP-Adressen aufruft. Der Text für die Schaltflächen (IP-Adresse in diesem Beispiel) stammt aus dem Schlüssel Label der zugrunde liegenden Systemkonfigurations-Einstellung.

Wenn die Agenten mit der Maus über eine Schaltfläche fahren, erhalten sie eine Vorschau auf die vom Web-Service zurückgegebene Ergebnisliste. Durch Anklicken der Schaltflächen kann eine mit den Ergebnissen verknüpfte URL geöffnet werden.

Diese Funktion funktioniert für alle Artikel eines Tickets.