Sicherheitsanalysten wollen relevante IPs und andere Daten aus Nachrichten in vorhandenen Datensätzen finden, damit sie Zeit für Untersuchungen sparen können, indem sie die Webservice-Schnittstellen des Metadatensammlers nutzen, anstatt Zeit für die manuelle Suche nach vorhandenen Übereinstimmungen von empfangenen IPs oder anderen Daten zu verschwenden, wenn Nachrichten Daten für Untersuchungen enthalten.
Das Prinzip dieser Funktion ist das gleiche wie bei anderen Artikel-Meta-Filtern. Es können einige reguläre Ausdrücke definiert werden, um einen Web Service Invoker aufzurufen. Abhängig von dem Web-Service und dem externen Server, den der Web-Service aufruft, enthält die Antwort eine Liste von Ergebnissen. Die Ergebnisliste sollte in einem bestimmten Format vorliegen, damit OTRS sie verstehen kann. Es ist sehr empfehlenswert, ein XSLT Mapping für diesen Invoker zu verwenden, so dass er die Ergebnisse des externen Providers in ein für OTRS verständliches Format umwandeln kann.
Einrichtung
Das Feature kann mit der Einstellung AgentFrontend::TicketDetailView::ArticleMeta aktiviert werden. Diese Einstellung wird für die im OTRS-Framework eingebauten Meta-Filter benötigt, aber auch für den Webservice-Artikel-Meta-Filter ist dies erforderlich.
Es gibt einige Beispiele in der Einstellung AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0001-OTRSSTORM, aber alle sind standardmäßig inaktiv. Um einen von ihnen zu aktivieren, ändern Sie einfach den Wert des Schlüssels Active auf 1.
-
Der erste Meta-Filter ist nur ein Beispiel dafür, wie man mit Google nach Hostnamen sucht.
-
Der zweite Meta-Filter ist nur ein Beispiel dafür, wie man mit Google nach Servern sucht.
-
Der dritte Meta-Filter ist ein komplexeres Beispiel für die Suche nach IP-Adressen mit einem „Who is“-Dienst.
-
Der vierte Metafilter kann Informationen über IP-Adressen liefern.
-
Der fünfte Meta-Filter kann Informationen zu Schwachstellenproblemen liefern.
Es kann notwendig sein, die richtigen Werte für die Schlüssel WebService, Invoker und Payload in den ersten drei Beispielen zu setzen, damit sie zum aktuellen System passen. Der vierte und fünfte Meta-Filter sind Beispiele aus der Praxis, sie sollten nach der Aktivierung unverändert funktionieren.
Sie können sehen, welche regulären Ausdrücke in dem RegExp-Array definiert sind.
Es gibt eine weitere Einstellung AgentFrontend::TicketDetailView::ArticleMetaFilters::WebService###0002-Custom, in der die Administratoren benutzerdefinierte Metafilter definieren können.
Bemerkung
Es wird nicht empfohlen, die Beispiele zu ändern oder zu erweitern, da die eingebauten Beispiele in Zukunft geändert werden können. Verwenden Sie die benutzerdefinierte Einstellung, um eigene Meta-Filter zu definieren oder kopieren Sie den Inhalt aus dem Beispiel und erweitern Sie ihn dort.
In der Konfiguration muss angegeben werden, welcher Webservice und welcher Invoker aufgerufen wird. Der Remote-Server sollte eine Liste von Elementen zurückgeben. Diese Liste wird in einem Popup-Fenster im Artikel angezeigt, wenn der Artikel einige Schlüsselwörter enthält, die mit dem konfigurierten regulären Ausdruck übereinstimmen.
Die Payload ist die Information, die OTRS an den Remote-Server sendet. Diese Informationen werden vom Remote-Web-Service-Provider spezifiziert und können statische Daten oder die im RegExp Array spezifizierten Matches oder Matching Groups enthalten. Die Payload kann Referenzen auf die TicketID, ArticleID und TicketNumber durch die OTRS Smart Tags <OTRS_TICKET_TicketID>, <OTRS_TICKET_ArticleID> und <OTRS_TICKET_TicketNumber> enthalten.
Beispiel:
Payload:
# ...
TicketID: <OTRS_TICKET_TicketID>
ArticleID: <OTRS_TICKET_ArticleID>
TicketNumber: <OTRS_TICKET_TicketNumber>
# ...
Es ist möglich, für jedes Element in der Liste eine URL zu konfigurieren, so dass der Agent die Möglichkeit hat, mit nur einem Klick direkt auf eine Website zu gehen.
STORM verfügt über einen eingebauten Invokertyp namens Generic::ArticleMetaFilter, der in Web-Services für diesen speziellen Zweck verwendet werden kann. Nur diese Art von Invoker kann für diese Funktionalität verwendet werden.
Verwendung
Um die Ergebnisse der Anfragen des Artikel-Meta-Filters korrekt anzuzeigen, wird dringend empfohlen, die XSLT-Eingangszuordnung zu ergänzen oder zu erweitern, um die Liste der Ergebnisse in Tags mit der Bezeichnung Items einzuschließen, die aus einem oder mehreren Tags bestehen.
Beispiel für ein Element:
<Items>Result 1</Items>
Beispiel für mehrere Elemente:
<Items>Result 1</Items>
<Items>Result 2</Items>
<Items>Result 3</Items>
So suchen Sie nach IP-Adressen:
-
Erstellen Sie einen Web-Service mit der obigen XSLT-Zuordnung, um einen externen Server mit den IP-Adressen aufzurufen. Der Web-Service sollte eine Liste zurückgeben, z. B. eine Liste von Host-Namen, die mit den übergebenen IP-Adressen verbunden sind.
-
Erstellen Sie ein neues Ticket.
-
Füllen Sie die Pflichtfelder aus.
-
Geben Sie den folgenden Text in den Textkörper ein: Ihre IP-Adresse ist 192.168.0.1 und Ihre Subnetzmaske ist 255.255.255.0.
-
Gehen Sie zur Ticket-Detailansicht des neu erstellten Tickets.
-
Erweitern Sie den ersten Artikel im Communication Stream Widget, um die Schaltflächen unter dem Artikel zu sehen.
Der Web-Service sucht nach allen möglichen IP-Adressen im Artikel, die durch den regulären Ausdruck konfiguriert sind, und gibt eine Liste von Host-Namen zurück.
Die Schaltflächen verweisen auf die Suchergebnisse eines Web-Service. Dieser sollte die gleichen Suchergebnisse zurückgeben, wenn ein Agent den Web Service mit den angegebenen IP-Adressen aufruft. Der Text für die Schaltflächen (IP-Adresse in diesem Beispiel) stammt aus dem Schlüssel Label der zugrunde liegenden Systemkonfigurations-Einstellung.
Wenn die Agenten mit der Maus über eine Schaltfläche fahren, erhalten sie eine Vorschau auf die vom Web-Service zurückgegebene Ergebnisliste. Durch Anklicken der Schaltflächen kann eine mit den Ergebnissen verknüpfte URL geöffnet werden.
Diese Funktion funktioniert für alle Artikel eines Tickets.
