この記事では、Defender for IoT OT ネットワーク センサーから使用できる CLI コマンドの一覧を示します。
ヒント
アラートの疲労を軽減し、優先度の高いトラフィックにネットワーク監視を集中させるために、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することを決定できます。 詳細については、「 トラフィック キャプチャ フィルター」を参照してください。
注意
OT ネットワーク センサーの文書化された構成パラメーターのみが、お客様の構成でサポートされます。 予期しない動作やシステム エラーが発生する可能性があるため、文書化されていない構成パラメーターやシステム プロパティは変更しないでください。
Microsoft の承認なしでセンサーからパッケージを削除すると、予期しない結果が発生する可能性があります。 センサーにインストールされているすべてのパッケージは、正しいセンサー機能に必要です。
前提条件
次のいずれかの CLI コマンドを実行する前に、特権ユーザーとして OT ネットワーク センサーの CLI にアクセスする必要があります。
この記事では、各ユーザーのコマンド構文の一覧を示しますが、 管理者 ユーザーがサポートされているすべての CLI コマンドに対して 管理者 ユーザーを使用することをお勧めします。
詳細については、「 CLI へのアクセス 」と「 OT 監視用の特権ユーザー アクセス」を参照してください。
使用可能なコマンドの一覧
| カテゴリ | command |
|---|---|
| 設定 | 設定 |
| system | backup date hostname ntp password reboot sanity shell shutdown syslog version |
| ネットワーク | blink capture-filter list ping reconfigure statistics validate |
カテゴリ内のコマンドを一覧表示する
カテゴリ内のコマンドを一覧表示するには、「 help」と入力します。 例:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
シェルおよびカテゴリ レベルのコマンド
シェル レベルまたはカテゴリ レベルでコマンドを入力できます。
シェル レベルの型: <category><command><parameter>。
または、 <カテゴリを入力し> Enter キーを押します。 シェルはカテゴリ名に変更され、「 <command><parameter>」と入力します。 例:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
アプライアンスのメンテナンス
OT 監視サービスの正常性を確認する
次のコマンドを使用して、OT センサー上の Defender for IoT アプリケーションが正常に動作していることを確認します (Web コンソールやトラフィック分析プロセスを含む)。
正常性チェックは、OT センサー コンソールからも利用できます。 詳細については、「 センサーのトラブルシューティング」を参照してください。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system sanity |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-sanity |
属性なし |
次の例は、 管理者 ユーザーのコマンド構文と応答を示しています。
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
アプライアンスを再起動する
OT センサーのアプライアンスを再起動するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system reboot |
属性なし |
| cyberx_host、またはルート アクセス権を持つ管理者 | sudo reboot |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system reboot
アプライアンスをシャットダウンする
OT センサーのアプライアンスをシャットダウンするには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system shutdown |
属性なし |
| ルート アクセス権を持つcyberx_hostまたは管理者 | sudo shutdown -r now |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system shutdown
インストールされているソフトウェアのバージョンを表示する
次のコマンドを使用して、OT センサーにインストールされている Defender for IoT ソフトウェアのバージョンを一覧表示します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system version |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-version |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system version
Version: 22.2.5.9-r-2121448
現在のシステムの日付/時刻を表示する
次のコマンドを使用して、OT ネットワーク センサーの現在のシステムの日付と時刻を GMT 形式で表示します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system date |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | date |
属性なし |
| cyberx_host、またはルート アクセス権を持つ管理者 | date |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
NTP 時刻同期を有効にする
次のコマンドを使用して、NTP サーバーとのアプライアンス時間の同期を有効にします。
これらのコマンドを使用するには、次の点を確認します。
- NTP サーバーは、アプライアンス管理ポートからアクセスできます
- 同じ NTP サーバーを使用して、すべてのセンサー アプライアンスを同期します
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system ntp enable <IP address> |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-ntp-enable <IP address> |
属性なし |
これらのコマンドでは、 <IP address> は、ポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 管理者 ユーザーの場合:
shell> system ntp enable 129.6.15.28
NTP 時刻同期をオフにする
次のコマンドを使用して、NTP サーバーとのアプライアンス時間の同期をオフにします。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system ntp disable <IP address> |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-ntp-disable <IP address> |
属性なし |
これらのコマンドでは、 <IP address> は、ポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 管理者 ユーザーの場合:
shell> system ntp disable 129.6.15.28
バックアップと復元
次のセクションでは、OT ネットワーク センサーのシステム スナップショットのバックアップと復元にサポートされる CLI コマンドについて説明します。
バックアップ ファイルには、構成設定、ベースライン値、インベントリ データ、ログなど、センサー状態の完全なスナップショットが含まれます。
注意
これによりシステムが使用できなくなる可能性があるため、システムのバックアップまたは復元操作を中断しないでください。
スケジュールされていない即時バックアップを開始する
次のコマンドを使用して、OT センサー上のデータのスケジュールされていない即時バックアップを開始します。 詳細については、「 バックアップファイルと復元ファイルを設定する」を参照してください。
注意
データのバックアップ中に、アプライアンスを停止または電源オフしないようにしてください。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system backup create |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-system-backup |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
現在のバックアップ ファイルを一覧表示する
OT ネットワーク センサーに現在格納されているバックアップ ファイルを一覧表示するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system backup list |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-system-backup-list |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
最新のバックアップからデータを復元する
次のコマンドを使用して、最新のバックアップ ファイルを使用して OT ネットワーク センサー上のデータを復元します。 メッセージが表示されたら、続行することを確認します。
注意
データの復元中に、アプライアンスを停止または電源オフしないようにしてください。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system restore |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-system-restore |
-f
<filename>
|
たとえば、 管理者 ユーザーの場合:
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
バックアップ ディスク領域の割り当てを表示する
次のコマンドは、次の詳細を含む、現在のバックアップ ディスク領域の割り当てを一覧表示します。
- バックアップ フォルダーの場所
- バックアップ フォルダーのサイズ
- バックアップ フォルダーの制限事項
- 前回のバックアップ操作時刻
- バックアップに使用できる空きディスク領域
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | cyberx-backup-memory-check |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
ローカル ユーザー管理
ローカル ユーザー パスワードを変更する
OT センサーのローカル ユーザーのパスワードを変更するには、次のコマンドを使用します。 新しいパスワードは少なくとも 8 文字で、小文字と大文字、アルファベット、数字、記号を含む必要があります。
管理者のパスワードを変更すると、SSH と Web アクセスの両方のパスワードが変更されます。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system password |
<username> |
次の例は、 管理者 ユーザーがパスワードを変更する方法を示しています。 新しいパスワードは、入力時に画面に表示されません。パスワードを書き込んでメモし、パスワードの再入力を求められたときに正しく入力されていることを確認してください。
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
ネットワーク構成
ネットワーク構成を変更するか、ネットワーク インターフェイスの役割を再割り当てする
OT 監視ソフトウェア構成ウィザードを再実行するには、次のコマンドを使用します。これは、次の OT センサー設定を定義または再構成するのに役立ちます。
- SPAN 監視インターフェイスを有効または無効にする
- 管理インターフェイス (IP、サブネット、既定のゲートウェイ、DNS) のネットワーク設定を構成する
- バックアップ ディレクトリの割り当て
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network reconfigure |
属性なし |
| cyberx | python3 -m cyberx.config.configure |
属性なし |
たとえば、 管理者 ユーザーは次のようになります。
shell> network reconfigure
このコマンドを実行すると、構成ウィザードが自動的に起動します。 詳細については、「 OT 監視ソフトウェアのインストール」を参照してください。
ネットワーク インターフェイスの構成を検証して表示する
OT センサーの現在のネットワーク インターフェイス構成を検証して表示するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network validate |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
OT センサーからのネットワーク接続を確認する
OT センサーから ping メッセージを送信するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | ping <IP address> |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | ping <IP address> |
属性なし |
これらのコマンドでは、 <IP address> は OT センサーの管理ポートからアクセス可能な有効な IPv4 ネットワーク ホストの IP アドレスです。
インターフェイス ライトを点滅させて物理ポートを見つける
次のコマンドを使用して、インターフェイス ライトを点滅させて特定の物理インターフェイスを見つけます。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network blink <INT> |
属性なし |
このコマンドでは、<INT>はアプライアンスの物理イーサネット ポートです。
次の例は、eth0 インターフェイスを点滅させる管理者ユーザーを示しています。
shell> network blink eth0
Blinking interface for 20 seconds ...
接続されている物理インターフェイスを一覧表示する
OT センサーで接続されている物理インターフェイスを一覧表示するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network list |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | ifconfig |
属性なし |
たとえば、 管理者 ユーザーの場合:
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
トラフィック キャプチャ フィルター
アラートの疲労を軽減し、優先度の高いトラフィックにネットワーク監視を集中させるために、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することを決定できます。 キャプチャ フィルターを使用すると、ハードウェア 層で高帯域幅のトラフィックをブロックし、アプライアンスパフォーマンスとリソース使用量の両方を最適化できます。
OT ネットワーク センサーでキャプチャ フィルターを作成および構成するには、リストを含める(または除外する) を使用して、監視するトラフィックをブロックしないようにします。
キャプチャ フィルターの基本的なユース ケースでは、すべての Defender for IoT コンポーネントに同じフィルターが使用されます。 ただし、高度なユース ケースでは、次の Defender for IoT コンポーネントごとに個別のフィルターを構成できます。
-
horizon: ディープ パケット検査 (DPI) データをキャプチャします -
collector: PCAP データをキャプチャします -
traffic-monitor: 通信統計をキャプチャします。
注:
キャプチャ フィルターは、検出されたすべてのネットワーク トラフィックでトリガーされる Defender for IoT マルウェア アラートには適用されません。
キャプチャ フィルター コマンドには、キャプチャ フィルター定義の複雑さと使用可能なネットワーク インターフェイスのカード機能に基づく文字数制限があります。 要求されたフィルター コマンドが失敗した場合は、サブネットをより大きなスコープにグループ化し、短いキャプチャ フィルター コマンドを使用してみてください。
すべてのコンポーネントの基本フィルターを作成する
基本的なキャプチャ フィルターの構成に使用されるメソッドは、コマンドを実行するユーザーによって異なります。
- cyberx ユーザー: 特定の属性で指定されたコマンドを実行して、キャプチャ フィルターを構成します。
- 管理者 ユーザー: 指定したコマンドを実行し、 CLI のプロンプトに従って値を入力し、ナノ エディターでインクルード リストと除外リストを編集します。
次のコマンドを使用して、新しいキャプチャ フィルターを作成します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network capture-filter |
属性なし。 |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
cyberx ユーザーでサポートされる属性は、次のように定義されます。
| 属性 | 説明 |
|---|---|
-h, --help |
ヘルプ メッセージを表示し、終了します。 |
-i <INCLUDE>, --include <INCLUDE> |
含めるデバイスとサブネット マスクを含むファイルへのパス。ここで、 <INCLUDE> はファイルへのパスです。 たとえば、「 サンプルインクルードまたは除外ファイル」を参照してください。 |
-x EXCLUDE, --exclude EXCLUDE |
除外するデバイスとサブネット マスクを含むファイルへのパス。ここで、 <EXCLUDE> はファイルへのパスです。 たとえば、「 サンプルインクルードまたは除外ファイル」を参照してください。 |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
指定したポートで TCP トラフィックを除外します。ここで、 <EXCLUDE_TCP_PORT> は除外するポートまたはポートを定義します。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
指定したポートで UDP トラフィックを除外します。ここで、 <EXCLUDE_UDP_PORT> は除外するポートまたはポートを定義します。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックが含まれます。ここで、 <INCLUDE_TCP_PORT> は、含めるポートを定義します。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
指定したポート上の UDP トラフィックが含まれます。ここで、 <INCLUDE_UDP_PORT> は、含めるポートを定義します。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
指定した VLAN ID による VLAN トラフィックが含まれます。 <INCLUDE_VLAN_IDS> は、含める VLAN ID または ID を定義します。 スペースを使用せず、複数の VLAN ID をコンマで区切ります。 |
-p <PROGRAM>, --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。 基本的なユース ケースに all を使用して、すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成します。 高度なユース ケースの場合は、コンポーネントごとに個別のキャプチャ フィルターを作成します。 詳細については、「特定の コンポーネントの高度なフィルターを作成する」を参照してください。 |
-m <MODE>, --mode <MODE> |
インクルード リスト モードを定義し、インクルード リストが使用されている場合にのみ関連します。 次のいずれかの値を使用します。 - internal: 指定した送信元と宛先の間のすべての通信が含まれます - all-connected: 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。 たとえば、エンドポイント A と B の場合、 internal モードを使用する場合、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。 ただし、 all-connected モードを使用する場合、含まれているトラフィックには、A または B と他の外部エンドポイント間のすべての通信が含まれます。 |
たとえば、インクルードまたは除外 .txt ファイルには、次のエントリが含まれる場合があります。
192.168.50.10
172.20.248.1
管理者ユーザーを使用して基本的なキャプチャ フィルターを作成する
管理者ユーザーとして基本的なキャプチャ フィルターを作成する場合、元のコマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話形式で作成するのに役立つ一連のプロンプトが表示されます。
次のように表示されるプロンプトに応答します。
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:[
Y] を選択して新しいインクルード ファイルを開きます。ここで、監視対象のトラフィックに含めるデバイス、チャネル、サブネットを追加できます。 インクルード ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれません。インクルード ファイルは Nano テキスト エディターで開きます。 インクルード ファイルで、デバイス、チャネル、サブネットを次のように定義します。
型 説明 例 デバイス IP アドレスでデバイスを定義します。 1.1.1.1には、このデバイスのすべてのトラフィックが含まれます。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2には、このチャネルのすべてのトラフィックが含まれます。Subnet ネットワーク アドレスでサブネットを定義します。 1.1.1には、このサブネットのすべてのトラフィックが含まれます。複数の引数を個別の行に一覧表示します。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:[
Y] を選択して、監視対象のトラフィックから除外するデバイス、チャネル、サブネットを追加できる新しい除外ファイルを開きます。 除外ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれます。除外ファイルは Nano テキスト エディター で開きます。 除外ファイルで、デバイス、チャネル、サブネットを次のように定義します。
型 説明 例 デバイス IP アドレスでデバイスを定義します。 1.1.1.1は、このデバイスのすべてのトラフィックを除外します。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2は、これらのデバイス間のすべてのトラフィックを除外します。ポート別チャネル 送信元デバイスと宛先デバイスの IP アドレスとトラフィック ポートによってチャネルを定義します。 1.1.1.1,2.2.2.2,443では、これらのデバイス間と指定したポートを使用するすべてのトラフィックが除外されます。Subnet ネットワーク アドレスでサブネットを定義します。 1.1.1は、このサブネットのすべてのトラフィックを除外します。サブネット チャネル 送信元サブネットと宛先サブネットのサブネット チャネル ネットワーク アドレスを定義します。 1.1.1,2.2.2は、これらのサブネット間のすべてのトラフィックを除外します。複数の引数を個別の行に一覧表示します。
次のプロンプトに応答して、含めるか除外する TCP または UDP ポートを定義します。 複数のポートをコンマで区切り、Enter キーを押して特定のプロンプトをスキップします。
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
たとえば、次のように複数のポートを入力します。
502,443In which component do you wish to apply this capture filter?基本的なキャプチャ フィルターに「
all」と入力します。 高度なユース ケースの場合は、Defender for IoT コンポーネントごとに個別にキャプチャ フィルターを作成します。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:このプロンプトを使用すると、スコープ内のトラフィックを構成できます。 両方のエンドポイントがスコープ内にあるトラフィックを収集するか、そのうちの 1 つだけが指定されたサブネット内にあるかを定義します。 サポートされている値は、次のとおりです。
-
internal: 指定した送信元と宛先の間のすべての通信が含まれます -
all-connected: 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。
たとえば、エンドポイント A と B の場合、
internalモードを使用する場合、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。
ただし、all-connectedモードを使用する場合、含まれているトラフィックには、A または B と他の外部エンドポイント間のすべての通信が含まれます。既定のモードは
internalです。all-connectedモードを使用するには、プロンプトで [Y] を選択し、「all-connected」と入力します。-
次の例は、サブネットの 192.168.x.x とポートを除外するキャプチャ フィルターを作成する一連のプロンプトを示しています 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
特定のコンポーネントの高度なフィルターを作成する
特定のコンポーネントに対して高度なキャプチャ フィルターを構成する場合は、最初のインクルード ファイルと除外ファイルをベースとして使用するか、テンプレートとしてキャプチャ フィルターを使用できます。 次に、必要に応じてベースの上にコンポーネントごとに追加のフィルターを構成します。
コンポーネントごとにキャプチャ フィルターを作成するには、コンポーネントごとにプロセス全体を繰り返します。
注:
コンポーネントごとに異なるキャプチャ フィルターを作成した場合は、すべてのコンポーネントでモードの選択が使用されます。 1 つのコンポーネントのキャプチャ フィルターを internal として定義し、 all-connected として別のコンポーネントのキャプチャ フィルターを定義することはサポートされていません。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network capture-filter |
属性なし。 |
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
cyberx ユーザーがコンポーネントごとにキャプチャ フィルターを個別に作成するには、次の追加属性が使用されます。
| 属性 | 説明 |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。ここで、 <PROGRAM> には次のサポートされている値があります。 - traffic-monitor - collector - horizon - all: すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成します。 詳細については、「 すべてのコンポーネントの基本的なフィルターを作成する」を参照してください。 |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
horizon コンポーネントの基本キャプチャ フィルターを定義します。ここで、<BASE_HORIZON>は使用するフィルターです。 既定値 = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
traffic-monitor コンポーネントの基本キャプチャ フィルターを定義します。 既定値 = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
collector コンポーネントの基本キャプチャ フィルターを定義します。 既定値 = "" |
他の属性値の説明は、 前に説明した基本的なユース ケースと同じです。
管理者ユーザーを使用して高度なキャプチャ フィルターを作成する
各コンポーネントのキャプチャ フィルターを 管理者 ユーザーとして個別に作成する場合、 元のコマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話形式で作成するのに役立つ一連のプロンプトが表示されます。
ほとんどのプロンプトは 、基本的なユース ケースと同じです。 次のように、次の追加プロンプトに応答します。
In which component do you wish to apply this capture filter?フィルター処理するコンポーネントに応じて、次のいずれかの値を入力します。
horizontraffic-monitorcollector
選択したコンポーネントのカスタム ベース キャプチャ フィルターを構成するように求められます。 このオプションでは、前の手順で構成したキャプチャ フィルターをベースまたはテンプレートとして使用します。ここで、ベースの上に追加の構成を追加できます。
たとえば、前の手順で
collectorコンポーネントのキャプチャ フィルターを構成することを選択した場合は、次のように求められます。Would you like to supply a custom base capture filter for the collector component? [Y/N]:「
Y」と入力して、指定したコンポーネントのテンプレートをカスタマイズするか、N、前に構成したキャプチャ フィルターをそのまま使用します。
基本的なユース ケースと同様に、残りのプロンプトに進みます。
特定のコンポーネントの現在のキャプチャ フィルターを一覧表示する
センサー用に構成されている現在のキャプチャ フィルターの詳細を表示するには、次のコマンドを使用します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| 管理者 | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - コレクター: edit-config dumpark.properties |
属性なし |
| cyberx、またはルート アクセス権を持つ管理者 | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - コレクター: nano /var/cyberx/properties/dumpark.properties |
属性なし |
これらのコマンドを実行すると、次のファイルが開き、コンポーネントごとに構成されたキャプチャ フィルターが一覧表示されます。
| 名前 | File | プロパティ |
|---|---|---|
| 地平線 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| コレクター | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
たとえば、 管理者 ユーザーの場合、サブネット 192.168.x.x とポート 9000 を除外する コレクター コンポーネントに対してキャプチャ フィルターが定義されています。
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
すべてのキャプチャ フィルターをリセットする
次のコマンドを使用して、 センサーを cyberx ユーザーと共に既定のキャプチャ構成にリセットし、すべてのキャプチャ フィルターを削除します。
| User | command | 完全なコマンド構文 |
|---|---|---|
| cyberx、またはルート アクセス権を持つ管理者 | cyberx-xsense-capture-filter -p all -m all-connected |
属性なし |
既存のキャプチャ フィルターを変更する場合は、新しい属性値を使用して、 前 のコマンドをもう一度実行します。
管理者ユーザーを使用してすべてのキャプチャ フィルターをリセットするには、前のコマンドをもう一度実行し、すべてのプロンプトにN応答して、すべてのキャプチャ フィルターをリセットします。
次の例は、 cyberx ユーザーのコマンド構文と応答を示しています。
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#