Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel sind die CLI-Befehle aufgeführt, die über OT-Netzwerksensoren von Defender für IoT verfügbar sind.
Tipp
Um die Ermüdung von Warnungen zu reduzieren und ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle in Defender für IoT gestreamt wird. Weitere Informationen finden Sie unter Filter zur Erfassung von Datenverkehr.
Achtung
Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter auf dem OT-Netzwerksensor unterstützt. Ändern Sie keine nicht dokumentierten Konfigurationsparameter oder Systemeigenschaften, da Änderungen zu unerwartetem Verhalten und Systemfehlern führen können.
Das Entfernen von Paketen von Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.
Voraussetzungen
Bevor Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie zugriff auf die CLI auf Ihrem OT-Netzwerksensor als privilegierter Benutzer.
In diesem Artikel wird die Befehlssyntax für jeden Benutzer aufgeführt, es wird jedoch empfohlen, den Administratorbenutzer für alle CLI-Befehle zu verwenden, für die der Administratorbenutzer unterstützt wird.
Weitere Informationen finden Sie unter Zugriff auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.
Liste der verfügbaren Befehle
| Kategorie | Befehl |
|---|---|
| Config | Config |
| System | Sicherungsdatum Hostname ntp Kennwort Neustart Sanity Shell herunterfahren Syslog-Version |
| Netzwerk | blink capture-filter list ping refigure statistics validate |
Auflisten von Befehlen in einer Kategorie
Um die Befehle in einer Kategorie aufzulisten, geben Sie ein help. Zum Beispiel:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
Befehle auf Shell- und Kategorieebene
Sie können Befehle auf Shell- oder Kategorieebene eingeben.
Geben Sie auf Shellebene: <category><command parameter> ein><.
Geben Sie alternativ die <Kategorie> ein, und drücken Sie die EINGABETASTE. Die Shell ändert sich in den Kategorienamen, und geben Sie <dann den Befehlsparameter> ein><. Zum Beispiel:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
Appliancewartung
Überprüfen der Integrität der OT-Überwachungsdienste
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender für IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.
Integritätsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung für den Sensor.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system sanity |
Keine Attribute |
| Cyberx oder Administrator mit Root-Zugriff | cyberx-xsense-sanity |
Keine Attribute |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Neustarten eines Anwendung
Verwenden Sie die folgenden Befehle, um den OT-Sensor Anwendung neu zu starten.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system reboot |
Keine Attribute |
| cyberx_host oder administrator mit Stammzugriff | sudo reboot |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system reboot
Herunterfahren eines Anwendung
Verwenden Sie die folgenden Befehle, um den OT-Sensor Anwendung herunterzufahren.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system shutdown |
Keine Attribute |
| cyberx_host oder Administrator mit Stammzugriff | sudo shutdown -r now |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system shutdown
Installierte Softwareversion anzeigen
Verwenden Sie die folgenden Befehle, um die auf Ihrem OT-Sensor installierte Defender für IoT-Softwareversion aufzulisten.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system version |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | cyberx-xsense-version |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system version
Version: 22.2.5.9-r-2121448
Aktuelles Systemdatum/-uhrzeit anzeigen
Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Systemzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system date |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | date |
Keine Attribute |
| cyberx_host oder administrator mit Stammzugriff | date |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
Aktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Anwendung Zeit mit einem NTP-Server zu aktivieren.
Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:
- Der NTP-Server kann über den Anwendung-Verwaltungsport erreicht werden.
- Sie verwenden denselben NTP-Server, um alle Sensorappliances zu synchronisieren.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system ntp enable <IP address> |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | cyberx-xsense-ntp-enable <IP address> |
Keine Attribute |
In diesen Befehlen ist die IP-Adresse eines gültigen <IP address> IPv4 NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
shell> system ntp enable 129.6.15.28
Deaktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Anwendung Zeit mit einem NTP-Server zu deaktivieren.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system ntp disable <IP address> |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | cyberx-xsense-ntp-disable <IP address> |
Keine Attribute |
In diesen Befehlen ist die IP-Adresse eines gültigen <IP address> IPv4 NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
shell> system ntp disable 129.6.15.28
Sichern und Wiederherstellen
In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen eines Systems Momentaufnahme Ihres OT-Netzwerksensors unterstützt werden.
Sicherungsdateien enthalten eine vollständige Momentaufnahme des Sensorzustands, einschließlich Konfigurationseinstellungen, Baselinewerten, Bestandsdaten und Protokollen.
Achtung
Unterbrechen Sie keinen Systemsicherungs- oder -wiederherstellungsvorgang, da dies dazu führen kann, dass das System nicht mehr verwendet werden kann.
Sofortige, ungeplante Sicherung starten
Verwenden Sie den folgenden Befehl, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.
Achtung
Achten Sie darauf, die Anwendung beim Sichern von Daten nicht zu beenden oder auszuschalten.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system backup create |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | cyberx-xsense-system-backup |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Auflisten der aktuellen Sicherungsdateien
Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit auf Ihrem OT-Netzwerksensor gespeichert sind.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system backup list |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | cyberx-xsense-system-backup-list |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Wiederherstellen von Daten aus der letzten Sicherung
Verwenden Sie den folgenden Befehl, um Daten auf Ihrem OT-Netzwerksensor mithilfe der neuesten Sicherungsdatei wiederherzustellen. Bestätigen Sie, dass Sie fortfahren möchten, wenn Sie dazu aufgefordert werden.
Achtung
Stellen Sie sicher, dass Sie die Anwendung beim Wiederherstellen von Daten nicht beenden oder ausschalten.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system restore |
Keine Attribute |
| Cyberx oder Administrator mit Root-Zugriff | cyberx-xsense-system-restore |
-f
<filename>
|
Beispiel: Für den Administratorbenutzer :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Anzeigen der Speicherbelegung auf dem Sicherungsdatenträger
Der folgende Befehl listet die aktuelle Speicherbelegung des Sicherungsdatenträgers auf, einschließlich der folgenden Details:
- Speicherort des Sicherungsordners
- Größe des Sicherungsordners
- Einschränkungen für Sicherungsordner
- Zeitpunkt des letzten Sicherungsvorgangs
- Verfügbarer freier Speicherplatz für Sicherungen
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | cyberx-backup-memory-check |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Lokale Benutzerverwaltung
Ändern lokaler Benutzerkennwörter
Verwenden Sie die folgenden Befehle, um Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern. Das neue Kennwort muss mindestens 8 Zeichen lang sein und Klein- und Großbuchstaben, alphabetische Zeichen, Zahlen und Symbole enthalten.
Wenn Sie das Kennwort für den Administrator ändern, wird das Kennwort sowohl für DEN SSH- als auch für den Webzugriff geändert.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | system password |
<username> |
Das folgende Beispiel zeigt die Änderung des Kennworts durch den Administratorbenutzer . Das neue Kennwort wird nicht auf dem Bildschirm angezeigt, wenn Sie es eingeben. Achten Sie darauf, dass Sie schreiben, um es zu notieren, und stellen Sie sicher, dass es richtig eingegeben wurde, wenn Sie aufgefordert werden, das Kennwort erneut einzugeben.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Netzwerkkonfiguration
Ändern der Netzwerkkonfiguration oder erneutes Zuweisen von Netzwerkschnittstellenrollen
Verwenden Sie den folgenden Befehl, um den Konfigurations-Assistenten für die OT-Überwachungssoftware erneut auszuführen, mit dem Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:
- Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
- Konfigurieren von Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
- Zuweisen eines Sicherungsverzeichnisses
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network reconfigure |
Keine Attribute |
| cyberx | python3 -m cyberx.config.configure |
Keine Attribute |
Beispiel: Mit dem Administratorbenutzer :
shell> network reconfigure
Der Konfigurations-Assistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.
Überprüfen und Anzeigen der Konfiguration der Netzwerkschnittstelle
Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu überprüfen und anzuzeigen.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network validate |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Überprüfen der Netzwerkkonnektivität über den OT-Sensor
Verwenden Sie den folgenden Befehl, um eine Pingnachricht vom OT-Sensor zu senden.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | ping <IP address> |
Keine Attribute |
| cyberx oder administrator mit Root-Zugriff | ping <IP address> |
Keine Attribute |
In diesen Befehlen ist die IP-Adresse eines gültigen IPv4-Netzwerkhosts, <IP address> auf den über den Verwaltungsport ihres OT-Sensors zugegriffen werden kann.
Suchen eines physischen Ports durch blinkende Schnittstellenleuchten
Verwenden Sie den folgenden Befehl, um nach einer bestimmten physischen Schnittstelle zu suchen, indem die Schnittstellenbeleuchtung blinkt.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network blink <INT> |
Keine Attribute |
In diesem Befehl <INT> ist ein physischer Ethernet-Port auf dem Anwendung.
Das folgende Beispiel zeigt, wie der Administratorbenutzer die eth0-Schnittstelle blinkt:
shell> network blink eth0
Blinking interface for 20 seconds ...
Auflisten verbundener physischer Schnittstellen
Verwenden Sie den folgenden Befehl, um die verbundenen physischen Schnittstellen auf Ihrem OT-Sensor aufzulisten.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network list |
Keine Attribute |
| Cyberx oder Administrator mit Root-Zugriff | ifconfig |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filter für die Datenverkehrserfassung
Um die Ermüdung von Warnungen zu reduzieren und ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle in Defender für IoT gestreamt wird. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf der Hardwareebene blockieren und so sowohl Anwendung Leistung als auch Ressourcennutzung optimieren.
Verwenden Sie Include an/Exclude Lists, um Erfassungsfilter auf Ihren OT-Netzwerksensoren zu erstellen und zu konfigurieren. Stellen Sie dabei sicher, dass Sie den zu überwachenden Datenverkehr nicht blockieren.
Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender für IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender für IoT-Komponenten konfigurieren:
-
horizon: Erfasst DPI-Daten (Deep Packet Inspection) -
collector: Erfasst PCAP-Daten -
traffic-monitor: Erfasst Kommunikationsstatistiken
Hinweis
Erfassungsfilter gelten nicht für Defender für IoT-Schadsoftwarewarnungen, die für den gesamten erkannten Netzwerkdatenverkehr ausgelöst werden.
Der Befehl capture filter verfügt über eine Zeichenlängenbegrenzung, die auf der Komplexität der Erfassungsfilterdefinition und der verfügbaren Netzwerkschnittstelle Karte Funktionen basiert. Wenn der angeforderte Filterbefehl fehlschlägt, versuchen Sie, Subnetze in größeren Bereichen zu gruppieren und einen kürzeren Erfassungsfilterbefehl zu verwenden.
Erstellen eines einfachen Filters für alle Komponenten
Die Zum Konfigurieren eines einfachen Erfassungsfilters verwendete Methode unterscheidet sich je nach Benutzer, der den Befehl ausführt:
- cyberx-Benutzer : Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um Ihren Erfassungsfilter zu konfigurieren.
- Administratorbenutzer : Führen Sie den angegebenen Befehl aus, und geben Sie dann Werte ein, wie von der CLI aufgefordert, und bearbeiten Sie Ihre Ein- und Ausschlusslisten in einem Nano-Editor.
Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network capture-filter |
Keine Attribute. |
| Cyberx oder Administrator mit Root-Zugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Unterstützte Attribute für den cyberx-Benutzer sind wie folgt definiert:
| Attribut | Beschreibung |
|---|---|
-h, --help |
Zeigt die Hilfenachricht an und beendet. |
-i <INCLUDE>, --include <INCLUDE> |
Der Pfad zu einer Datei, die die Geräte- und Subnetzmasken enthält, die Sie einschließen möchten, wobei <INCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie z. B. unter Beispiel zum Einschließen oder Ausschließen von Dateien. |
-x EXCLUDE, --exclude EXCLUDE |
Der Pfad zu einer Datei, die die Geräte- und Subnetzmasken enthält, die Sie ausschließen möchten, wobei <EXCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie z. B. unter Beispiel zum Einschließen oder Ausschließen von Dateien. |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports aus, wobei die <EXCLUDE_TCP_PORT> den oder die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Kommas ohne Leerzeichen. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports aus, bei denen der port oder die <EXCLUDE_UDP_PORT> Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Kommas ohne Leerzeichen. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports ein, in denen der <INCLUDE_TCP_PORT> port oder die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Kommas ohne Leerzeichen. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports ein, wobei die <INCLUDE_UDP_PORT> port oder ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Kommas ohne Leerzeichen. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Schließt VLAN-Datenverkehr nach angegebenen VLAN-IDs ein, <INCLUDE_VLAN_IDS> definiert die VLAN-ID oder die IDs, die Sie einschließen möchten. Trennen Sie mehrere VLAN-IDs durch Kommas ohne Leerzeichen. |
-p <PROGRAM>, --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten. Verwenden Sie diese Option all für einfache Anwendungsfälle, um einen einzelnen Erfassungsfilter für alle Komponenten zu erstellen. Erstellen Sie für erweiterte Anwendungsfälle separate Erfassungsfilter für jede Komponente. Weitere Informationen finden Sie unter Erstellen eines erweiterten Filters für bestimmte Komponenten. |
-m <MODE>, --mode <MODE> |
Definiert einen Includelistenmodus und ist nur relevant, wenn eine Includeliste verwendet wird. Verwenden Sie einen der folgenden Werte: - internal: Schließt die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel ein. - all-connected: Schließt die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten ein. Wenn Sie z. B. für die Endpunkte A und B den Modus verwenden, umfasst der internal eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B. Wenn Sie den Modus verwenden, umfasst der all-connected eingeschlossene Datenverkehr jedoch die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten. |
Beispieldatei einschließen oder ausschließen
Beispielsweise kann eine Include- oder Exclude -.txt Datei die folgenden Einträge enthalten:
192.168.50.10
172.20.248.1
Erstellen eines einfachen Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen einfachen Erfassungsfilter als Administratorbenutzer erstellen, werden im ursprünglichen Befehl keine Attribute übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Antworten Sie auf die angezeigten Eingabeaufforderungen wie folgt:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Wählen Sie diese Option aus
Y, um eine neue Includedatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das Sie in den überwachten Datenverkehr einschließen möchten. Jeder andere Datenverkehr, der nicht in Ihrer Includedatei aufgeführt ist, wird nicht in Defender für IoT erfasst.Die Includedatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Includedatei Geräte, Kanäle und Subnetze wie folgt:
Typ Beschreibung Beispiel Gerät Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1enthält den gesamten Datenverkehr für dieses Gerät.Kanal Definieren Sie einen Kanal durch die IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2enthält den gesamten Datenverkehr für diesen Kanal.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1enthält den gesamten Datenverkehr für dieses Subnetz.Listen Sie mehrere Argumente in separaten Zeilen auf.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Wählen Sie diese Option aus
Y, um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das Sie vom überwachten Datenverkehr ausschließen möchten. Jeder andere Datenverkehr, der nicht in Ihrer Ausschlussdatei aufgeführt ist, wird in Defender für IoT erfasst.Die Ausschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Ausschlussdatei Geräte, Kanäle und Subnetze wie folgt:
Typ Beschreibung Beispiel Gerät Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1schließt den gesamten Datenverkehr für dieses Gerät aus.Kanal Definieren Sie einen Kanal durch die IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2schließt den gesamten Datenverkehr zwischen diesen Geräten aus.Kanal nach Port Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte und des Datenverkehrsports. 1.1.1.1,2.2.2.2,443schließt den gesamten Datenverkehr zwischen diesen Geräten und unter Verwendung des angegebenen Ports aus.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1schließt den gesamten Datenverkehr für dieses Subnetz aus.Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzes für die Quell- und Zielsubnetze. 1.1.1,2.2.2schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.Listen Sie mehrere Argumente in separaten Zeilen auf.
Antworten Sie auf die folgenden Aufforderungen, um tcp- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Komma, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Geben Sie beispielsweise mehrere Ports wie folgt ein:
502,443In which component do you wish to apply this capture filter?Geben Sie für einen einfachen Erfassungsfilter ein
all. Für erweiterte Anwendungsfälle erstellen Sie Erfassungsfilter für jede Defender für IoT-Komponente separat.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Mit dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Gültigkeitsbereich befindet. Legen Sie fest, ob Sie Datenverkehr sammeln möchten, bei dem sich beide Endpunkte im Bereich befinden, oder ob sich nur einer davon im angegebenen Subnetz befindet. Unterstützte Werte:
-
internal: Schließt die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel ein. -
all-connected: Schließt die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten ein.
Wenn Sie z. B. für die Endpunkte A und B den Modus verwenden, umfasst der
internaleingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
Wenn Sie den Modus verwenden, umfasst derall-connectedeingeschlossene Datenverkehr jedoch die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.Der Standardmodus ist
internal. Um denall-connectedModus zu verwenden, wählen SieYan der Eingabeaufforderung aus, und geben Sie dann einall-connected.-
Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, die einen Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x und Port erstellen. 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Erstellen eines erweiterten Filters für bestimmte Komponenten
Beim Konfigurieren erweiterter Erfassungsfilter für bestimmte Komponenten können Sie Ihre anfänglichen Ein- und Ausschlussdateien als Basis- oder Vorlagenerfassungsfilter verwenden. Konfigurieren Sie dann nach Bedarf zusätzliche Filter für jede Komponente zusätzlich zur Basis.
Um einen Erfassungsfilter für jede Komponente zu erstellen, wiederholen Sie den gesamten Prozess für jede Komponente.
Hinweis
Wenn Sie verschiedene Erfassungsfilter für verschiedene Komponenten erstellt haben, wird die Modusauswahl für alle Komponenten verwendet. Das Definieren des Erfassungsfilters für eine Komponente als internal und des Erfassungsfilters für eine andere Komponente wird all-connected nicht unterstützt.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | network capture-filter |
Keine Attribute. |
| Cyberx oder Administrator mit Root-Zugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Die folgenden zusätzlichen Attribute werden für den cyberx-Benutzer verwendet, um Erfassungsfilter für jede Komponente separat zu erstellen:
| Attribut | Beschreibung |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten, wobei <PROGRAM> die folgenden werte unterstützt werden: - traffic-monitor - collector - horizon - all: Erstellt einen einzelnen Erfassungsfilter für alle Komponenten. Weitere Informationen finden Sie unter Erstellen eines einfachen Filters für alle Komponenten. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Definiert einen Basiserfassungsfilter für die horizon Komponente, wobei <BASE_HORIZON> der Filter ist, den Sie verwenden möchten. Standardwert = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definiert einen Basiserfassungsfilter für die traffic-monitor Komponente. Standardwert = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Definiert einen Basiserfassungsfilter für die collector Komponente. Standardwert = "" |
Andere Attributwerte haben die gleichen Beschreibungen wie im weiter oben beschriebenen einfachen Anwendungsfall.
Erstellen eines erweiterten Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen Erfassungsfilter für jede Komponente separat als Administratorbenutzer erstellen, werden im ursprünglichen Befehl keine Attribute übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Die meisten Eingabeaufforderungen sind mit dem grundlegenden Anwendungsfall identisch. Antworten Sie auf die folgenden zusätzlichen Eingabeaufforderungen wie folgt:
In which component do you wish to apply this capture filter?Geben Sie abhängig von der zu filternden Komponente einen der folgenden Werte ein:
horizontraffic-monitorcollector
Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Diese Option verwendet den Erfassungsfilter, den Sie in den vorherigen Schritten als Basis oder Vorlage konfiguriert haben, in der Sie zusätzliche Konfigurationen zusätzlich zur Basis hinzufügen können.
Wenn Sie z. B. im vorherigen Schritt ausgewählt haben, einen Erfassungsfilter für die
collectorKomponente zu konfigurieren, werden Sie dazu aufgefordert:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Geben Sie ein
Y, um die Vorlage für die angegebene Komponente anzupassen oderNden Zuvor konfigurierten Erfassungsfilter zu verwenden.
Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im grundlegenden Anwendungsfall fort.
Auflisten aktueller Erfassungsfilter für bestimmte Komponenten
Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Admin | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für jede Komponente anzuzeigen: - Horizont: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - Collector: edit-config dumpark.properties |
Keine Attribute |
| Cyberx oder Administrator mit Root-Zugriff | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für jede Komponente anzuzeigen: - Horizont: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - Collector: nano /var/cyberx/properties/dumpark.properties |
Keine Attribute |
Mit diesen Befehlen werden die folgenden Dateien geöffnet, die die für die einzelnen Komponenten konfigurierten Erfassungsfilter auflisten:
| Name | File | Eigenschaft |
|---|---|---|
| Horizont | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| Sammler | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Beispielsweise mit dem Administratorbenutzer mit einem für die Collectorkomponente definierten Erfassungsfilter, der subnetz 192.168.x.x und Port 9000 ausschließt:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Zurücksetzen aller Erfassungsfilter
Verwenden Sie den folgenden Befehl, um ihren Sensor auf die Standarderfassungskonfiguration mit dem cyberx-Benutzer zurückzusetzen und alle Erfassungsfilter zu entfernen.
| Benutzer | Befehl | Vollständige Befehlssyntax |
|---|---|---|
| Cyberx oder Administrator mit Root-Zugriff | cyberx-xsense-capture-filter -p all -m all-connected |
Keine Attribute |
Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den früheren Befehl erneut mit neuen Attributwerten aus.
Um alle Erfassungsfilter mithilfe des Administratorbenutzers zurückzusetzen, führen Sie den früheren Befehl erneut aus, und reagieren Sie auf N alle Eingabeaufforderungen, um alle Erfassungsfilter zurückzusetzen.
Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den cyberx-Benutzer :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#