Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel indeholder en liste over de kommandolinjegrænsefladekommandoer, der er tilgængelige fra Defender for IoT OT-netværkssensorer.
Tip
Hvis du vil reducere advarselstræthed og fokusere din netværksovervågning på trafik med høj prioritet, kan du vælge at filtrere den trafik, der streamer, i Defender for IoT ved kilden. Du kan få flere oplysninger under Trafikhentningsfiltre.
Forsigtighed
Kun dokumenterede konfigurationsparametre på OT-netværkssensoren understøttes i forbindelse med kundekonfiguration. Undlad at ændre nogen udokumenterede konfigurationsparametre eller systemegenskaber, da ændringer kan medføre uventet funktionsmåde og systemfejl.
Hvis du fjerner pakker fra din sensor uden Microsoft-godkendelse, kan det give uventede resultater. Alle pakker, der er installeret på sensoren, er påkrævet for at opnå korrekt sensorfunktionalitet.
Forudsætninger
Før du kan køre en af følgende CLI-kommandoer, skal du have adgang til kommandolinjegrænsefladen på din OT-netværkssensor som en privilegeret bruger.
Selvom der i denne artikel vises en liste over kommandosyntaksen for hver bruger, anbefaler vi, at du bruger administratorbrugeren til alle kommandolinjegrænsefladekommandoer, hvor administratorbrugeren understøttes.
Du kan få flere oplysninger under Få adgang til kommandolinjegrænsefladen og privilegeret brugeradgang til ot-overvågning.
Liste over tilgængelige kommandoer
| Kategori | Kommando |
|---|---|
| Config | Config |
| System | backup dato værtsnavn ntp adgangskode genstart sanity shell lukning syslog version |
| Netværk | blink capture-filter list ping omkonfigurer statistik valider |
Vis kommandoer i en kategori
Hvis du vil have vist kommandoerne i en kategori, skal du skrive help. Det kan f.eks. være:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
Kommandoer på shell- og kategoriniveau
Du kan skrive kommandoer på shell- eller kategoriniveau.
På shellniveautypen: <kommandoparameter><for> kategori><.
Du kan også skrive <kategorien> og trykke på ENTER. Shell ændres til kategorinavnet, og skriv <derefter kommandoparameteren><>. Det kan f.eks. være:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
Vedligeholdelse af apparat
Kontrollér tilstand for ot-overvågningstjenester
Brug følgende kommandoer til at bekræfte, at Defender for IoT-programmet på OT-sensoren fungerer korrekt, herunder webkonsollen og trafikanalyseprocesserne.
Tilstandskontroller er også tilgængelige fra OT-sensorkonsollen. Du kan finde flere oplysninger under Fejlfinding af sensoren.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system sanity |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-sanity |
Ingen attributter |
I følgende eksempel vises kommandosyntaksen og svaret for administratorbrugeren :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Genstart en apparat
Brug følgende kommandoer til at genstarte OT-sensorapparatet.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system reboot |
Ingen attributter |
| cyberx_host eller administrator med rodadgang | sudo reboot |
Ingen attributter |
For administratorbrugeren :
shell> system reboot
Luk et apparat
Brug følgende kommandoer til at lukke OT-sensorapparatet.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system shutdown |
Ingen attributter |
| cyberx_host eller administrator med rodadgang | sudo shutdown -r now |
Ingen attributter |
For administratorbrugeren :
shell> system shutdown
Vis installeret softwareversion
Brug følgende kommandoer til at angive den Defender for IoT-softwareversion, der er installeret på ot-sensoren.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system version |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-version |
Ingen attributter |
For administratorbrugeren :
shell> system version
Version: 22.2.5.9-r-2121448
Vis aktuel dato/klokkeslæt i systemet
Brug følgende kommandoer til at få vist den aktuelle systemdato og det aktuelle klokkeslæt på din OT-netværkssensor i GMT-format.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system date |
Ingen attributter |
| cyberx eller administrator med rodadgang | date |
Ingen attributter |
| cyberx_host eller administrator med rodadgang | date |
Ingen attributter |
For administratorbrugeren :
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
Slå NTP-tidssynkronisering til
Brug følgende kommandoer til at aktivere synkronisering for apparattiden med en NTP-server.
Hvis du vil bruge disse kommandoer, skal du sørge for, at:
- NTP-serveren kan nås fra enhedens administrationsport
- Du bruger den samme NTP-server til at synkronisere alle sensorapparater
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system ntp enable <IP address> |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-ntp-enable <IP address> |
Ingen attributter |
I disse kommandoer <IP address> er IP-adressen på en gyldig IPv4 NTP-server, der bruger port 123.
For administratorbrugeren :
shell> system ntp enable 129.6.15.28
Slå NTP-tidssynkronisering fra
Brug følgende kommandoer til at deaktivere synkroniseringen af apparattiden med en NTP-server.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system ntp disable <IP address> |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-ntp-disable <IP address> |
Ingen attributter |
I disse kommandoer <IP address> er IP-adressen på en gyldig IPv4 NTP-server, der bruger port 123.
For administratorbrugeren :
shell> system ntp disable 129.6.15.28
Sikkerhedskopiering og gendannelse
I følgende afsnit beskrives de kommandolinjegrænsefladekommandoer, der understøttes til sikkerhedskopiering og gendannelse af et systemsnapshot af ot-netværkssensoren.
Sikkerhedskopifiler omfatter et fuldt øjebliksbillede af sensortilstanden, herunder konfigurationsindstillinger, oprindelige værdier, lagerdata og logge.
Forsigtighed
Du må ikke afbryde en sikkerhedskopiering eller gendannelse af systemet, da det kan medføre, at systemet bliver ubrugeligt.
Start en øjeblikkelig, ikke-planlagte sikkerhedskopiering
Brug følgende kommando til at starte en øjeblikkelig, uplanlagt sikkerhedskopiering af dataene på din OT-sensor. Du kan finde flere oplysninger under Konfigurer sikkerhedskopierings- og gendannelsesfiler.
Forsigtighed
Sørg for ikke at stoppe eller slukke for apparatet under sikkerhedskopiering af data.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system backup create |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-system-backup |
Ingen attributter |
For administratorbrugeren :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Vis aktuelle sikkerhedskopifiler
Brug følgende kommandoer til at få vist de sikkerhedskopifiler, der i øjeblikket er gemt på ot-netværkssensoren.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system backup list |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-system-backup-list |
Ingen attributter |
For administratorbrugeren :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Gendan data fra den seneste sikkerhedskopi
Brug følgende kommando til at gendanne data på ot-netværkssensoren ved hjælp af den nyeste sikkerhedskopifil. Når du bliver bedt om det, skal du bekræfte, at du vil fortsætte.
Forsigtighed
Sørg for, at du ikke stopper eller slukker for apparatet under gendannelsen af data.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system restore |
Ingen attributter |
| cyberx eller administrator med rodadgang | cyberx-xsense-system-restore |
-f
<filename>
|
For administratorbrugeren :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Vis allokering af diskplads til sikkerhedskopiering
Følgende kommando viser den aktuelle allokering af diskplads til sikkerhedskopiering, herunder følgende oplysninger:
- Placering af sikkerhedskopimappe
- Størrelse på sikkerhedskopimappe
- Begrænsninger for sikkerhedskopimappe
- Tidspunkt for seneste sikkerhedskopiering
- Ledig diskplads til sikkerhedskopiering
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | cyberx-backup-memory-check |
Ingen attributter |
For administratorbrugeren :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Lokal brugeradministration
Skift adgangskoder for lokale brugere
Brug følgende kommandoer til at ændre adgangskoder for lokale brugere på din OT-sensor. Den nye adgangskode skal være på mindst 8 tegn, den skal indeholde små og store bogstaver, alfabetiske tegn, tal og symboler.
Når du ændrer adgangskoden for administratoren , ændres adgangskoden for både SSH- og webadgang.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | system password |
<username> |
I følgende eksempel vises administratorbrugerens ændring af adgangskoden. Den nye adgangskode vises ikke på skærmen, når du skriver den. Sørg for at skrive for at notere den og sikre, at den er skrevet korrekt, når du bliver bedt om at skrive adgangskoden igen.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Netværkskonfiguration
Skift netværkskonfiguration, eller tildel netværksgrænsefladeroller igen
Brug følgende kommando til at køre guiden konfiguration af OT-overvågningssoftwaren igen, som hjælper dig med at definere eller omkonfigurere følgende OT-sensorindstillinger:
- Aktivér/deaktiver SPAN-overvågningsgrænseflader
- Konfigurer netværksindstillinger for administrationsgrænsefladen (IP, undernet, standardgateway, DNS)
- Tildeling af en sikkerhedskopimappe
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network reconfigure |
Ingen attributter |
| cyberx | python3 -m cyberx.config.configure |
Ingen attributter |
For eksempel med administratorbrugeren :
shell> network reconfigure
Konfigurationsguiden starter automatisk, når du har kørt denne kommando. Du kan få flere oplysninger under Installér OT-overvågningssoftware.
Valider og vis konfiguration af netværksgrænseflade
Brug følgende kommandoer til at validere og vise den aktuelle konfiguration af netværksgrænsefladen på OT-sensoren.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network validate |
Ingen attributter |
For administratorbrugeren :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Kontrollér netværksforbindelsen fra OT-sensoren
Brug følgende kommando til at sende en pingmeddelelse fra OT-sensoren.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | ping <IP address> |
Ingen attributter |
| cyberx eller administrator med rodadgang | ping <IP address> |
Ingen attributter |
I disse kommandoer er IP-adressen på en gyldig IPv4-netværksvært, <IP address> der er tilgængelig fra administrationsporten på din OT-sensor.
Find en fysisk port ved at blinke grænsefladelamper
Brug følgende kommando til at finde en bestemt fysisk grænseflade ved at få grænsefladelygterne til at blinke.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network blink <INT> |
Ingen attributter |
I denne kommando <INT> er der en fysisk Ethernet-port på enheden.
I følgende eksempel vises den administratorbruger , der blinker grænsefladen eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Vis forbundne fysiske grænseflader
Brug følgende kommando til at få vist de forbundne fysiske grænseflader på din OT-sensor.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network list |
Ingen attributter |
| cyberx eller administrator med rodadgang | ifconfig |
Ingen attributter |
For administratorbrugeren :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Trafikhentningsfiltre
Hvis du vil reducere advarselstræthed og fokusere din netværksovervågning på trafik med høj prioritet, kan du vælge at filtrere den trafik, der streamer, i Defender for IoT ved kilden. Med hentning af filtre kan du blokere trafik med høj båndbredde på hardwarelaget og optimere ydeevnen for både apparat og ressourceforbrug.
Brug inkluder en/eller udelad-lister til at oprette og konfigurere hentningsfiltre på dine OT-netværkssensorer, og sørg for, at du ikke blokerer for den trafik, du vil overvåge.
Den grundlæggende use case til hentning af filtre bruger det samme filter for alle Defender for IoT-komponenter. I forbindelse med avancerede use cases kan det dog være en god idé at konfigurere separate filtre for hver af følgende Defender for IoT-komponenter:
-
horizon: Registrerer DPI-data (Deep Packet Inspection) -
collector: Henter PCAP-data -
traffic-monitor: Registrerer kommunikationsstatistik
Bemærk!
Hent filtre gælder ikke for Defender for IoT-malwarebeskeder, der udløses af al registreret netværkstrafik.
Kommandoen til hentning af filter har en tegnlængdegrænse, der er baseret på kompleksiteten af definitionen af hentningsfilteret og de tilgængelige egenskaber for netværkskortets kort. Hvis den ønskede filterkommando mislykkes, kan du prøve at gruppere undernet i større områder og bruge en kortere hentningsfilterkommando.
Opret et grundlæggende filter for alle komponenter
Den metode, der bruges til at konfigurere et grundlæggende hentningsfilter, varierer afhængigt af den bruger, der udfører kommandoen:
- cyberx-bruger : Kør den angivne kommando med bestemte attributter for at konfigurere dit registreringsfilter.
- administratorbruger : Kør den angivne kommando, og angiv derefter værdier, som kommandolinjegrænsefladen beder om, og rediger listen over de elementer, der skal medtages og udelades, i en nanoeditor.
Brug følgende kommandoer til at oprette et nyt hentningsfilter:
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network capture-filter |
Ingen attributter. |
| cyberx eller administrator med rodadgang | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Understøttede attributter for cyberxbrugeren er defineret på følgende måde:
| Attribut | Beskrivelse |
|---|---|
-h, --help |
Viser Hjælp-meddelelsen og afslutter. |
-i <INCLUDE>, --include <INCLUDE> |
Stien til en fil, der indeholder de enheder og undernetmasker, du vil medtage, hvor <INCLUDE> er stien til filen. Du kan f.eks. se Eksempelfilen "include" eller "exclude". |
-x EXCLUDE, --exclude EXCLUDE |
Stien til en fil, der indeholder de enheder og undernetmasker, du vil udelade, hvor <EXCLUDE> er stien til filen. Du kan f.eks. se Eksempelfilen "include" eller "exclude". |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Udelader TCP-trafik på alle angivne porte, hvor definerer den eller de <EXCLUDE_TCP_PORT> porte, du vil udelade. Afgræns flere porte med kommaer uden mellemrum. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Ekskluderer UDP-trafik på alle angivne porte, hvor definerer den eller de <EXCLUDE_UDP_PORT> porte, du vil udelade. Afgræns flere porte med kommaer uden mellemrum. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Omfatter TCP-trafik på alle angivne porte, hvor <INCLUDE_TCP_PORT> definerer den eller de porte, du vil medtage. Afgræns flere porte med kommaer uden mellemrum. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Omfatter UDP-trafik på alle angivne porte, hvor <INCLUDE_UDP_PORT> definerer den eller de porte, du vil medtage. Afgræns flere porte med kommaer uden mellemrum. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Inkluderer VLAN-trafik med angivne VLAN-id'er, <INCLUDE_VLAN_IDS> definerer det eller de VLAN-id'er, du vil medtage. Afgræns flere VLAN-id'er med kommaer uden mellemrum. |
-p <PROGRAM>, --program <PROGRAM> |
Definerer den komponent, du vil konfigurere et hentningsfilter for. Bruges all til grundlæggende use cases til at oprette et enkelt hentningsfilter for alle komponenter. I forbindelse med avancerede use cases skal du oprette separate hentningsfiltre for hver komponent. Du kan få flere oplysninger under Opret et avanceret filter for bestemte komponenter. |
-m <MODE>, --mode <MODE> |
Definerer tilstanden "include list", og den er kun relevant, når der bruges en "include list"-liste. Brug en af følgende værdier: - internal: Omfatter al kommunikation mellem den angivne kilde og destination - all-connected: Omfatter al kommunikation mellem et af de angivne slutpunkter og eksterne slutpunkter. Hvis du f.eks. bruger internal tilstanden for slutpunkterne A og B, omfatter inkluderet trafik kun kommunikation mellem slutpunkterne A og B. Men hvis du bruger all-connected tilstanden, omfatter inkluderet trafik al kommunikation mellem A eller B og andre eksterne slutpunkter. |
Eksempel på en "include" eller "exclude"-fil
En "include" eller "exclude"-fil .txt kan f.eks. indeholde følgende poster:
192.168.50.10
172.20.248.1
Opret et grundlæggende hentningsfilter ved hjælp af administratorbrugeren
Hvis du opretter et grundlæggende hentningsfilter som administratorbruger , overføres der ingen attributter i den oprindelige kommando. Der vises i stedet en række prompts, der kan hjælpe dig med at oprette hentningsfilteret interaktivt.
Svar på de viste prompter på følgende måde:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Vælg
Yat åbne en ny "include"-fil, hvor du kan tilføje en enhed, kanal og/eller undernet, som du vil medtage i overvåget trafik. Al anden trafik, der ikke er angivet i din "include"-fil, overføres ikke til Defender for IoT."include"-filen åbnes i teksteditoren Nano . I "include"-filen skal du definere enheder, kanaler og undernet på følgende måde:
Type Beskrivelse Eksempel Enhed Definer en enhed ved hjælp af dens IP-adresse. 1.1.1.1omfatter al trafik for denne enhed.Kanal Definer en kanal efter IP-adresserne på dens kilde- og destinationsenheder adskilt af et komma. 1.1.1.1,2.2.2.2inkluderer al trafik for denne kanal.Undernet Definer et undernet ud fra netværksadressen. 1.1.1omfatter al trafik for dette undernet.Vis flere argumenter i separate rækker.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Vælg
Yat åbne en ny ekskluderingsfil, hvor du kan tilføje en enhed, kanal og/eller undernet, som du vil udelukke fra overvåget trafik. Al anden trafik, der ikke er angivet i din ekskluderingsfil, overføres til Defender for IoT.Ekskluderingsfilen åbnes i teksteditoren Nano . I udelad filen skal du definere enheder, kanaler og undernet på følgende måde:
Type Beskrivelse Eksempel Enhed Definer en enhed ved hjælp af dens IP-adresse. 1.1.1.1ekskluderer al trafik for denne enhed.Kanal Definer en kanal efter IP-adresserne på dens kilde- og destinationsenheder adskilt af et komma. 1.1.1.1,2.2.2.2udelukker al trafik mellem disse enheder.Kanal efter port Definer en kanal ud fra IP-adresserne på dens kilde- og destinationsenheder samt trafikporten. 1.1.1.1,2.2.2.2,443udelukker al trafik mellem disse enheder og bruger den angivne port.Undernet Definer et undernet ud fra netværksadressen. 1.1.1udelader al trafik for dette undernet.Undernetkanal Definer netværksadresser for undernetkanalen for kilde- og destinationsundernet. 1.1.1,2.2.2udelukker al trafik mellem disse undernet.Vis flere argumenter i separate rækker.
Svar på følgende prompter for at definere alle TCP- eller UDP-porte, der skal medtages eller udelades. Adskil flere porte med komma, og tryk på ENTER for at springe en bestemt prompt over.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Angiv f.eks. flere porte på følgende måde:
502,443In which component do you wish to apply this capture filter?Angiv
allfor et grundlæggende hentningsfilter. I forbindelse med avancerede use cases skal du oprette hentningsfiltre for hver Defender for IoT-komponent separat.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Denne prompt giver dig mulighed for at konfigurere, hvilken trafik der er i området. Definer, om du vil indsamle trafik, hvor begge slutpunkter er inden for området, eller kun ét af dem er i det angivne undernet. Understøttede værdier omfatter:
-
internal: Omfatter al kommunikation mellem den angivne kilde og destination -
all-connected: Omfatter al kommunikation mellem et af de angivne slutpunkter og eksterne slutpunkter.
Hvis du f.eks. bruger
internaltilstanden for slutpunkterne A og B, omfatter inkluderet trafik kun kommunikation mellem slutpunkterne A og B.
Men hvis du brugerall-connectedtilstanden, omfatter inkluderet trafik al kommunikation mellem A eller B og andre eksterne slutpunkter.Standardtilstanden er
internal. Hvis du vil brugeall-connectedtilstanden , skal du vælgeYved prompten og derefter angiveall-connected.-
I følgende eksempel vises en række prompts, der opretter et hentningsfilter for at udelade undernet 192.168.x.x og port 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Opret et avanceret filter for bestemte komponenter
Når du konfigurerer avancerede hentningsfiltre for bestemte komponenter, kan du bruge dit indledende "include" og "exclude"-filer som basisfil eller skabelon, hentningsfilter. Konfigurer derefter ekstra filtre for hver komponent oven på basen efter behov.
Hvis du vil oprette et hentningsfilter for hver komponent, skal du sørge for at gentage hele processen for hver komponent.
Bemærk!
Hvis du har oprettet forskellige hentningsfiltre for forskellige komponenter, bruges valg af tilstand til alle komponenter. Definition af hentningsfilteret for én komponent som internal og hentningsfilteret for en anden komponent, da all-connected det ikke understøttes.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | network capture-filter |
Ingen attributter. |
| cyberx eller administrator med rodadgang | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Følgende ekstra attributter bruges til cyberx-brugeren til at oprette hentningsfiltre for hver komponent separat:
| Attribut | Beskrivelse |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Definerer den komponent, du vil konfigurere et hentningsfilter for, hvor <PROGRAM> har følgende understøttede værdier: - traffic-monitor - collector - horizon - all: Opretter et enkelt hentningsfilter for alle komponenter. Du kan få flere oplysninger under Opret et grundlæggende filter for alle komponenter. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Definerer et grundlæggende hentningsfilter for komponenten horizon , hvor <BASE_HORIZON> er det filter, du vil bruge. Standardværdi = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definerer et grundlæggende hentningsfilter for komponenten traffic-monitor . Standardværdi = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Definerer et grundlæggende hentningsfilter for komponenten collector . Standardværdi = "" |
Andre attributværdier har de samme beskrivelser som i den grundlæggende use case, der er beskrevet tidligere.
Opret et avanceret hentningsfilter ved hjælp af administratorbrugeren
Hvis du opretter et hentningsfilter for hver komponent separat som administratorbruger , overføres der ingen attributter i den oprindelige kommando. Der vises i stedet en række prompts, der kan hjælpe dig med at oprette hentningsfilteret interaktivt.
De fleste prompter er identiske med grundlæggende use case. Besvar følgende ekstra prompter på følgende måde:
In which component do you wish to apply this capture filter?Angiv en af følgende værdier afhængigt af den komponent, du vil filtrere:
horizontraffic-monitorcollector
Du bliver bedt om at konfigurere et brugerdefineret grundlæggende hentningsfilter for den valgte komponent. Denne indstilling bruger det hentningsfilter, du konfigurerede i de forrige trin som basis, eller en skabelon, hvor du kan tilføje ekstra konfigurationer oven på basen.
Hvis du f.eks. har valgt at konfigurere et hentningsfilter for komponenten
collectori det forrige trin, bliver du bedt om følgende:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Angiv
Yfor at tilpasse skabelonen for den angivne komponent ellerNfor at bruge det hentningsfilter, du havde konfigureret tidligere, som det er.
Fortsæt med de resterende prompter som i den grundlæggende use case.
Vis aktuelle hentningsfiltre for bestemte komponenter
Brug følgende kommandoer til at få vist detaljer om de aktuelle hentningsfiltre, der er konfigureret for din sensor.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| Admin | Brug følgende kommandoer til at få vist hentningsfiltrene for hver komponent: - horisont: edit-config horizon_parser/horizon.properties - trafikovervågning: edit-config traffic_monitor/traffic-monitor - samler: edit-config dumpark.properties |
Ingen attributter |
| cyberx eller administrator med rodadgang | Brug følgende kommandoer til at få vist hentningsfiltrene for hver komponent: - horisont: nano /var/cyberx/properties/horizon_parser/horizon.properties - trafikovervågning: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - samler: nano /var/cyberx/properties/dumpark.properties |
Ingen attributter |
Disse kommandoer åbner følgende filer, som indeholder de hentningsfiltre, der er konfigureret for hver komponent:
| Navn | Filer | Ejendom |
|---|---|---|
| Horisonten | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| trafikovervågning | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| Samler | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Med administratorbrugeren f.eks. er der defineret et hentningsfilter for indsamlerkomponenten , der udelukker undernet 192.168.x.x og port 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Nulstil alle hentningsfiltre
Brug følgende kommando til at nulstille din sensor til standardkonfigurationen for hentning med cyberxbrugeren og fjerne alle registreringsfiltre.
| Bruger | Kommando | Fuld kommandosyntaks |
|---|---|---|
| cyberx eller administrator med rodadgang | cyberx-xsense-capture-filter -p all -m all-connected |
Ingen attributter |
Hvis du vil ændre de eksisterende hentningsfiltre, skal du køre den tidligere kommando igen med nye attributværdier.
Hvis du vil nulstille alle hentningsfiltre ved hjælp af administratorbrugeren , skal du køre den tidligere kommando igen og svare på N alle prompter for at nulstille alle hentningsfiltre .
I følgende eksempel vises kommandosyntaksen og svaret for cyberxbrugeren :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#