Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran los comandos de la CLI disponibles en los sensores de red de Ot de Defender para IoT.
Sugerencia
Para reducir la fatiga de alertas y centrar la supervisión de red en el tráfico de alta prioridad, puede decidir filtrar el tráfico que fluye a Defender para IoT en el origen. Para obtener más información, vea Filtros de captura de tráfico.
Precaución
Solo se admiten los parámetros de configuración documentados en el sensor de red OT para la configuración del cliente. No cambie los parámetros de configuración no documentados ni las propiedades del sistema, ya que los cambios pueden provocar errores inesperados del sistema y comportamiento.
La eliminación de paquetes del sensor sin la aprobación de Microsoft puede producir resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para una funcionalidad correcta del sensor.
Requisitos previos
Antes de ejecutar cualquiera de los siguientes comandos de la CLI, necesitará acceso a la CLI en el sensor de red OT como usuario con privilegios.
Aunque en este artículo se muestra la sintaxis de comandos de cada usuario, se recomienda usar el usuario administrador para todos los comandos de la CLI en los que se admita el usuario administrador .
Para obtener más información, consulte Acceso a la CLI y acceso de usuario con privilegios para la supervisión de OT.
Lista de comandos disponibles
| Categoría | Get-Help |
|---|---|
| config | config |
| system | fecha de copia de seguridad Nombre de host ntp : versión de syslog de cierre del shell de cierre del shell de copia de seguridad |
| red | blink capture-filter list ping reconfigure statistics validate |
Enumeración de comandos en una categoría
Para enumerar los comandos de una categoría, escriba help. Por ejemplo:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
Comandos en el nivel de shell y categoría
Puede escribir comandos en el nivel de shell o categoría.
En el nivel de shell, escriba: <parámetro> de comando<>category><.
Como alternativa, escriba la <categoría> y presione ENTRAR. El shell cambiará al nombre de categoría y, a continuación, escriba <el parámetro> de comando><. Por ejemplo:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
Mantenimiento del dispositivo
Comprobación del estado de los servicios de supervisión de OT
Use los siguientes comandos para comprobar que la aplicación Defender para IoT en el sensor OT funciona correctamente, incluidos los procesos de análisis de tráfico y consola web.
Las comprobaciones de estado también están disponibles en la consola del sensor OT. Para obtener más información, consulte Solución de problemas del sensor.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system sanity |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-sanity |
Sin atributos |
En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Reinicio de un dispositivo
Use los siguientes comandos para reiniciar el dispositivo del sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system reboot |
Sin atributos |
| cyberx_host o administrador con acceso raíz | sudo reboot |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system reboot
Apagar un dispositivo
Use los siguientes comandos para apagar el dispositivo del sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system shutdown |
Sin atributos |
| cyberx_host o administrador con acceso raíz | sudo shutdown -r now |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system shutdown
Mostrar versión de software instalada
Use los siguientes comandos para enumerar la versión de software de Defender para IoT instalada en el sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system version |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-version |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system version
Version: 22.2.5.9-r-2121448
Mostrar fecha y hora del sistema actual
Use los siguientes comandos para mostrar la fecha y hora actuales del sistema en el sensor de red OT, en formato GMT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system date |
Sin atributos |
| cyberx o administrador con acceso raíz | date |
Sin atributos |
| cyberx_host o administrador con acceso raíz | date |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
Activar la sincronización de hora NTP
Use los siguientes comandos para activar la sincronización durante la hora del dispositivo con un servidor NTP.
Para usar estos comandos, asegúrese de que:
- Se puede acceder al servidor NTP desde el puerto de administración del dispositivo.
- Use el mismo servidor NTP para sincronizar todos los dispositivos de sensor.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system ntp enable <IP address> |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-ntp-enable <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido mediante el puerto 123.
Por ejemplo, para el usuario administrador :
shell> system ntp enable 129.6.15.28
Desactivar la sincronización de hora NTP
Use los siguientes comandos para desactivar la sincronización para la hora del dispositivo con un servidor NTP.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system ntp disable <IP address> |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-ntp-disable <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido mediante el puerto 123.
Por ejemplo, para el usuario administrador :
shell> system ntp disable 129.6.15.28
Copia de seguridad y restauración
En las secciones siguientes se describen los comandos de la CLI admitidos para realizar copias de seguridad y restaurar una instantánea del sistema del sensor de red OT.
Los archivos de copia de seguridad incluyen una instantánea completa del estado del sensor, incluida la configuración, los valores de línea base, los datos de inventario y los registros.
Precaución
No interrumpa una operación de copia de seguridad o restauración del sistema, ya que esto puede hacer que el sistema no se pueda usar.
Iniciar una copia de seguridad inmediata y no programada
Use el siguiente comando para iniciar una copia de seguridad inmediata y no programada de los datos en el sensor OT. Para obtener más información, vea Configurar archivos de copia de seguridad y restauración.
Precaución
Asegúrese de no detener ni apagar el dispositivo durante la copia de seguridad de los datos.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system backup create |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-system-backup |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Enumerar los archivos de copia de seguridad actuales
Use los siguientes comandos para enumerar los archivos de copia de seguridad almacenados actualmente en el sensor de red OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system backup list |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-system-backup-list |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Restauración de datos a partir de la copia de seguridad más reciente
Use el siguiente comando para restaurar los datos en el sensor de red OT mediante el archivo de copia de seguridad más reciente. Cuando se le solicite, confirme que desea continuar.
Precaución
Asegúrese de no detener ni apagar el dispositivo mientras se restauran los datos.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system restore |
Sin atributos |
| cyberx o administrador con acceso raíz | cyberx-xsense-system-restore |
-f
<filename>
|
Por ejemplo, para el usuario administrador :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Mostrar asignación de espacio en disco de copia de seguridad
El siguiente comando muestra la asignación de espacio en disco de copia de seguridad actual, incluidos los detalles siguientes:
- Ubicación de la carpeta de copia de seguridad
- Tamaño de la carpeta de copia de seguridad
- Limitaciones de la carpeta de copia de seguridad
- Hora de la última operación de copia de seguridad
- Espacio libre en disco disponible para las copias de seguridad
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | cyberx-backup-memory-check |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Administración local de usuarios
Cambio de contraseñas de usuario local
Use los siguientes comandos para cambiar las contraseñas de los usuarios locales en el sensor OT. La nueva contraseña debe tener al menos 8 caracteres, contener caracteres en minúsculas y mayúsculas, caracteres alfabéticos, números y símbolos.
Al cambiar la contraseña del administrador , la contraseña se cambia tanto para SSH como para el acceso web.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | system password |
<username> |
En el ejemplo siguiente se muestra el cambio de contraseña por parte del usuario administrador . La nueva contraseña no aparece en la pantalla al escribirla, asegúrese de escribir para anotarla y asegúrese de que está escrita correctamente cuando se le pida que vuelva a escribir la contraseña.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Configuración de red
Cambiar la configuración de red o reasignar roles de interfaz de red
Use el siguiente comando para volver a ejecutar el Asistente para configuración de software de supervisión de OT, que le ayuda a definir o volver a configurar la siguiente configuración del sensor OT:
- Habilitar o deshabilitar interfaces de supervisión de SPAN
- Configuración de la red para la interfaz de administración (IP, subred, puerta de enlace predeterminada, DNS)
- Asignación de un directorio de copia de seguridad
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network reconfigure |
Sin atributos |
| cyberx | python3 -m cyberx.config.configure |
Sin atributos |
Por ejemplo, con el usuario administrador :
shell> network reconfigure
El asistente para configuración se inicia automáticamente después de ejecutar este comando. Para obtener más información, consulte Instalación del software de supervisión de OT.
Validar y mostrar la configuración de la interfaz de red
Use los siguientes comandos para validar y mostrar la configuración de la interfaz de red actual en el sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network validate |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Comprobación de la conectividad de red desde el sensor OT
Use el siguiente comando para enviar un mensaje de ping desde el sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | ping <IP address> |
Sin atributos |
| cyberx o administrador con acceso raíz | ping <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un host de red IPv4 válido accesible desde el puerto de administración del sensor OT.
Busque un puerto físico parpadeando las luces de la interfaz.
Use el siguiente comando para localizar una interfaz física específica haciendo que las luces de interfaz parpadeen.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network blink <INT> |
Sin atributos |
En este comando, <INT> es un puerto Ethernet físico en el dispositivo.
En el ejemplo siguiente se muestra al usuario administrador parpadeando la interfaz eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Enumeración de interfaces físicas conectadas
Use el siguiente comando para enumerar las interfaces físicas conectadas en el sensor OT.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network list |
Sin atributos |
| cyberx o administrador con acceso raíz | ifconfig |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filtros de captura de tráfico
Para reducir la fatiga de alertas y centrar la supervisión de red en el tráfico de alta prioridad, puede decidir filtrar el tráfico que fluye a Defender para IoT en el origen. Los filtros de captura permiten bloquear el tráfico de ancho de banda alto en la capa de hardware, optimizando tanto el rendimiento del dispositivo como el uso de recursos.
Use incluir o excluir listas para crear y configurar filtros de captura en los sensores de red de OT, asegurándose de que no bloquee el tráfico que desea supervisar.
El caso de uso básico para los filtros de captura usa el mismo filtro para todos los componentes de Defender para IoT. Sin embargo, para casos de uso avanzados, es posible que desee configurar filtros independientes para cada uno de los siguientes componentes de Defender para IoT:
-
horizon: captura datos de inspección profunda de paquetes (PPP) -
collector: captura datos PCAP -
traffic-monitor: captura estadísticas de comunicación
Nota:
Los filtros de captura no se aplican a las alertas de malware de Defender para IoT, que se desencadenan en todo el tráfico de red detectado.
El comando de filtro de captura tiene un límite de longitud de caracteres que se basa en la complejidad de la definición del filtro de captura y las funcionalidades de tarjeta de interfaz de red disponibles. Si se produce un error en el comando de filtro solicitado, intente agrupar subredes en ámbitos más grandes y usar un comando de filtro de captura más corto.
Creación de un filtro básico para todos los componentes
El método usado para configurar un filtro de captura básico difiere en función del usuario que realice el comando:
- usuario cyberx : ejecute el comando especificado con atributos específicos para configurar el filtro de captura.
- usuario administrador : ejecute el comando especificado y, a continuación, escriba valores como se le pide en la CLI, editando las listas de inclusión y exclusión en un editor nano.
Use los siguientes comandos para crear un nuevo filtro de captura:
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network capture-filter |
Sin atributos. |
| cyberx o administrador con acceso raíz | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Los atributos admitidos para el usuario cyberx se definen de la siguiente manera:
| Atributo | Description |
|---|---|
-h, --help |
Muestra el mensaje de ayuda y se cierra. |
-i <INCLUDE>, --include <INCLUDE> |
Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea incluir, donde <INCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Archivo de inclusión o exclusión de ejemplo. |
-x EXCLUDE, --exclude EXCLUDE |
Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea excluir, donde <EXCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Archivo de inclusión o exclusión de ejemplo. |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Excluye el tráfico TCP en los puertos especificados, donde <EXCLUDE_TCP_PORT> define el puerto o los puertos que desea excluir. Delimitar varios puertos por comas, sin espacios. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Excluye el tráfico UDP en los puertos especificados, donde <EXCLUDE_UDP_PORT> define el puerto o los puertos que desea excluir. Delimitar varios puertos por comas, sin espacios. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Incluye el tráfico TCP en los puertos especificados, donde <INCLUDE_TCP_PORT> define el puerto o los puertos que desea incluir. Delimitar varios puertos por comas, sin espacios. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Incluye tráfico UDP en todos los puertos especificados, donde <INCLUDE_UDP_PORT> define el puerto o los puertos que desea incluir. Delimitar varios puertos por comas, sin espacios. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Incluye el tráfico VLAN por identificadores de VLAN especificados, <INCLUDE_VLAN_IDS> define el identificador de VLAN o los identificadores que desea incluir. Delimitar varios identificadores de VLAN por comas, sin espacios. |
-p <PROGRAM>, --program <PROGRAM> |
Define el componente para el que desea configurar un filtro de captura. Use all para casos de uso básicos para crear un único filtro de captura para todos los componentes. Para casos de uso avanzados, cree filtros de captura independientes para cada componente. Para obtener más información, consulte Creación de un filtro avanzado para componentes específicos. |
-m <MODE>, --mode <MODE> |
Define un modo de lista de inclusión y solo es relevante cuando se usa una lista de inclusión. Use uno de los siguientes valores: - internal: incluye toda la comunicación entre el origen y el destino especificados. - all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos. Por ejemplo, para los puntos de conexión A y B, si usa el modo , el internal tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B. Sin embargo, si usa el modo , el all-connected tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos. |
Archivo de inclusión o exclusión de ejemplo
Por ejemplo, un archivo de inclusión o exclusión .txt puede incluir las siguientes entradas:
192.168.50.10
172.20.248.1
Creación de un filtro de captura básico mediante el usuario administrador
Si va a crear un filtro de captura básico como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.
Responda a las solicitudes mostradas de la siguiente manera:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Seleccione
Yesta opción para abrir un nuevo archivo de inclusión, donde puede agregar un dispositivo, un canal o una subred que quiera incluir en el tráfico supervisado. Ningún otro tráfico, que no aparezca en el archivo de inclusión, no se ingiere en Defender para IoT.El archivo de inclusión se abre en el editor de texto Nano . En el archivo include, defina dispositivos, canales y subredes como se indica a continuación:
Tipo Descripción Ejemplo Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1incluye todo el tráfico de este dispositivo.Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma. 1.1.1.1,2.2.2.2incluye todo el tráfico de este canal.Subred Defina una subred por su dirección de red. 1.1.1incluye todo el tráfico de esta subred.Enumera varios argumentos en filas independientes.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Seleccione
Yesta opción para abrir un nuevo archivo de exclusión en el que pueda agregar un dispositivo, un canal o una subred que quiera excluir del tráfico supervisado. Cualquier otro tráfico, que no aparezca en el archivo de exclusión, se ingiere en Defender para IoT.El archivo de exclusión se abre en el editor de texto nano . En el archivo de exclusión, defina dispositivos, canales y subredes como se indica a continuación:
Tipo Descripción Ejemplo Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1excluye todo el tráfico de este dispositivo.Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma. 1.1.1.1,2.2.2.2excluye todo el tráfico entre estos dispositivos.Canal por puerto Defina un canal por las direcciones IP de sus dispositivos de origen y destino, y el puerto de tráfico. 1.1.1.1,2.2.2.2,443excluye todo el tráfico entre estos dispositivos y el uso del puerto especificado.Subred Defina una subred por su dirección de red. 1.1.1excluye todo el tráfico de esta subred.Canal de subred Defina direcciones de red de canal de subred para las subredes de origen y destino. 1.1.1,2.2.2excluye todo el tráfico entre estas subredes.Enumera varios argumentos en filas independientes.
Responda a las siguientes solicitudes para definir los puertos TCP o UDP que se van a incluir o excluir. Separe varios puertos por coma y presione ENTRAR para omitir cualquier solicitud específica.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Por ejemplo, escriba varios puertos como se indica a continuación:
502,443In which component do you wish to apply this capture filter?Escriba
allpara un filtro de captura básico. Para casos de uso avanzados, cree filtros de captura para cada componente de Defender para IoT por separado.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Este símbolo del sistema le permite configurar qué tráfico está en el ámbito. Defina si desea recopilar el tráfico donde ambos puntos de conexión están en el ámbito, o solo uno de ellos está en la subred especificada. Los valores admitidos son:
-
internal: incluye toda la comunicación entre el origen y el destino especificados. -
all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos.
Por ejemplo, para los puntos de conexión A y B, si usa el modo , el
internaltráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B.
Sin embargo, si usa el modo , elall-connectedtráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.El modo predeterminado es
internal. Para usar elall-connectedmodo, seleccioneYen el símbolo del sistema y escribaall-connected.-
En el ejemplo siguiente se muestra una serie de mensajes que crean un filtro de captura para excluir la subred 192.168.x.x y el puerto. 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Creación de un filtro avanzado para componentes específicos
Al configurar filtros de captura avanzados para componentes específicos, puede usar los archivos de inclusión y exclusión iniciales como filtro de captura base o plantilla. A continuación, configure filtros adicionales para cada componente sobre la base según sea necesario.
Para crear un filtro de captura para cada componente, asegúrese de repetir todo el proceso para cada componente.
Nota:
Si ha creado diferentes filtros de captura para distintos componentes, la selección de modo se usa para todos los componentes. No se admite la definición del filtro de captura para un componente como internal y el filtro de captura para otro componente all-connected .
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | network capture-filter |
Sin atributos. |
| cyberx o administrador con acceso raíz | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Los siguientes atributos adicionales se usan para que el usuario cyberx cree filtros de captura para cada componente por separado:
| Atributo | Description |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Define el componente para el que desea configurar un filtro de captura, donde <PROGRAM> tiene los siguientes valores admitidos: - traffic-monitor - collector - horizon - all: crea un único filtro de captura para todos los componentes. Para obtener más información, consulte Creación de un filtro básico para todos los componentes. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Define un filtro de captura base para el horizon componente, donde <BASE_HORIZON> es el filtro que desea usar. Valor predeterminado = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Define un filtro de captura base para el traffic-monitor componente. Valor predeterminado = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Define un filtro de captura base para el collector componente. Valor predeterminado = "" |
Otros valores de atributo tienen las mismas descripciones que en el caso de uso básico, descrito anteriormente.
Creación de un filtro de captura avanzada mediante el usuario administrador
Si va a crear un filtro de captura para cada componente por separado como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.
La mayoría de las solicitudes son idénticas al caso de uso básico. Responda a las siguientes indicaciones adicionales como se indica a continuación:
In which component do you wish to apply this capture filter?Escriba uno de los siguientes valores, en función del componente que quiera filtrar:
horizontraffic-monitorcollector
Se le pedirá que configure un filtro de captura base personalizado para el componente seleccionado. Esta opción usa el filtro de captura que configuró en los pasos anteriores como base o plantilla, donde puede agregar configuraciones adicionales sobre la base.
Por ejemplo, si ha seleccionado configurar un filtro de captura para el
collectorcomponente en el paso anterior, se le pedirá lo siguiente:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Escriba
Ypara personalizar la plantilla del componente especificado oNpara usar el filtro de captura que ha configurado anteriormente tal y como está.
Continúe con las solicitudes restantes, como en el caso de uso básico.
Enumeración de filtros de captura actuales para componentes específicos
Use los siguientes comandos para mostrar detalles sobre los filtros de captura actuales configurados para el sensor.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| administrador | Use los siguientes comandos para ver los filtros de captura de cada componente: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - recopilador: edit-config dumpark.properties |
Sin atributos |
| cyberx o administrador con acceso raíz | Use los siguientes comandos para ver los filtros de captura de cada componente: - horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - recopilador: nano /var/cyberx/properties/dumpark.properties |
Sin atributos |
Estos comandos abren los siguientes archivos, que muestran los filtros de captura configurados para cada componente:
| Nombre | Archivo | Propiedad |
|---|---|---|
| horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| recopilador | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Por ejemplo, con el usuario administrador , con un filtro de captura definido para el componente de recopilador que excluye la subred 192.168.x.x y el puerto 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Restablecer todos los filtros de captura
Use el siguiente comando para restablecer el sensor a la configuración de captura predeterminada con el usuario cyberx , quitando todos los filtros de captura.
| Usuario | Get-Help | Sintaxis de comando completa |
|---|---|---|
| cyberx o administrador con acceso raíz | cyberx-xsense-capture-filter -p all -m all-connected |
Sin atributos |
Si desea modificar los filtros de captura existentes, vuelva a ejecutar el comando anterior con nuevos valores de atributo.
Para restablecer todos los filtros de captura mediante el usuario administrador , vuelva a ejecutar el comando anterior y responda N a todos los mensajes para restablecer todos los filtros de captura.
En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#