Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista os comandos da CLI disponíveis nos sensores de rede OT do Defender para IoT.
Sugestão
Para reduzir a fadiga dos alertas e concentrar a monitorização de rede no tráfego de alta prioridade, pode decidir filtrar o tráfego transmitido para o Defender para IoT na origem. Para obter mais informações, veja Filtros de captura de tráfego.
Atenção
Apenas os parâmetros de configuração documentados no sensor de rede OT são suportados para a configuração do cliente. Não altere quaisquer parâmetros de configuração não documentados ou propriedades do sistema, uma vez que as alterações podem causar comportamentos inesperados e falhas do sistema.
Remover pacotes do sensor sem a aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.
Pré-requisitos
Antes de poder executar qualquer um dos seguintes comandos da CLI, terá de aceder à CLI no sensor de rede OT como um utilizador com privilégios.
Embora este artigo liste a sintaxe de comandos para cada utilizador, recomendamos que utilize o utilizador administrador para todos os comandos da CLI em que o utilizador administrador é suportado.
Para obter mais informações, veja Access the CLI and Privileged user access for OT monitoring (Aceder à CLI e acesso privilegiado ao utilizador para monitorização de OT).
Lista de comandos disponíveis
| Categoria | Comando |
|---|---|
| configuração | configuração |
| sistema | backup date hostname ntp password reboot sanity shell shutdown syslog version |
| rede | estatísticas de reconfiguração da lista de filtros de captura intermitente validam |
Listar comandos numa categoria
Para listar os comandos numa categoria, escreva help. Por exemplo:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
Comandos ao nível da shell e da categoria
Pode escrever comandos ao nível da shell ou da categoria.
No tipo de shell, escreva: parâmetro de comando<>de categoria><.><
Em alternativa, escreva a <categoria> e prima ENTER. A shell será alterada para o nome da categoria e, em seguida, escreverá o parâmetro de <comando><.> Por exemplo:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
Manutenção da aplicação
Verificar o estado de funcionamento dos serviços de monitorização de OT
Utilize os seguintes comandos para verificar se a aplicação Defender para IoT no sensor OT está a funcionar corretamente, incluindo a consola Web e os processos de análise de tráfego.
As verificações de estado de funcionamento também estão disponíveis na consola do sensor OT. Para obter mais informações, veja Resolução de problemas do sensor.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system sanity |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-sanity |
Sem atributos |
O exemplo seguinte mostra a sintaxe do comando e a resposta para o utilizador administrador :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Reiniciar uma aplicação
Utilize os seguintes comandos para reiniciar a aplicação do sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system reboot |
Sem atributos |
| cyberx_host ou administrador com acesso de raiz | sudo reboot |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system reboot
Encerrar uma aplicação
Utilize os seguintes comandos para encerrar a aplicação do sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system shutdown |
Sem atributos |
| cyberx_host ou administrador com acesso de raiz | sudo shutdown -r now |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system shutdown
Mostrar a versão do software instalado
Utilize os seguintes comandos para listar a versão de software do Defender para IoT instalada no sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system version |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-version |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system version
Version: 22.2.5.9-r-2121448
Mostrar data/hora do sistema atual
Utilize os seguintes comandos para mostrar a data e hora atuais do sistema no sensor de rede OT, no formato GMT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system date |
Sem atributos |
| cyberx ou administrador com acesso de raiz | date |
Sem atributos |
| cyberx_host ou administrador com acesso de raiz | date |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
Ativar a sincronização de hora NTP
Utilize os seguintes comandos para ativar a sincronização da hora da aplicação com um servidor NTP.
Para utilizar estes comandos, certifique-se de que:
- O servidor NTP pode ser acedido a partir da porta de gestão da aplicação
- Utiliza o mesmo servidor NTP para sincronizar todas as aplicações de sensores
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system ntp enable <IP address> |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-ntp-enable <IP address> |
Sem atributos |
Nestes comandos, <IP address> é o endereço IP de um servidor IPv4 NTP válido com a porta 123.
Por exemplo, para o utilizador administrador :
shell> system ntp enable 129.6.15.28
Desativar a sincronização de hora NTP
Utilize os seguintes comandos para desativar a sincronização da hora da aplicação com um servidor NTP.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system ntp disable <IP address> |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-ntp-disable <IP address> |
Sem atributos |
Nestes comandos, <IP address> é o endereço IP de um servidor IPv4 NTP válido com a porta 123.
Por exemplo, para o utilizador administrador :
shell> system ntp disable 129.6.15.28
Cópia de segurança e restauro
As secções seguintes descrevem os comandos da CLI suportados para criar cópias de segurança e restaurar um instantâneo do sistema do sensor de rede OT.
Os ficheiros de cópia de segurança incluem um instantâneo completo do estado do sensor, incluindo definições de configuração, valores de linha de base, dados de inventário e registos.
Atenção
Não interrompa uma operação de cópia de segurança ou restauro do sistema, uma vez que isto pode fazer com que o sistema se torne inutilizável.
Iniciar uma cópia de segurança imediata e não agendada
Utilize o seguinte comando para iniciar uma cópia de segurança imediata e não agendada dos dados no sensor OT. Para obter mais informações, veja Configurar ficheiros de cópia de segurança e restauro.
Atenção
Certifique-se de que não para ou desliga a aplicação durante a cópia de segurança dos dados.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system backup create |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-system-backup |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Listar ficheiros de cópia de segurança atuais
Utilize os seguintes comandos para listar os ficheiros de cópia de segurança atualmente armazenados no sensor de rede OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system backup list |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-system-backup-list |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Restaurar dados a partir da cópia de segurança mais recente
Utilize o seguinte comando para restaurar dados no sensor de rede OT com o ficheiro de cópia de segurança mais recente. Quando lhe for pedido, confirme que pretende continuar.
Atenção
Certifique-se de que não para ou desliga a aplicação durante o restauro dos dados.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system restore |
Sem atributos |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-system-restore |
-f
<filename>
|
Por exemplo, para o utilizador administrador :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Apresentar a alocação de espaço em disco de cópia de segurança
O comando seguinte lista a alocação atual de espaço em disco de cópia de segurança, incluindo os seguintes detalhes:
- Localização da pasta de cópia de segurança
- Tamanho da pasta cópia de segurança
- Limitações da pasta de cópias de segurança
- Hora da última operação de cópia de segurança
- Espaço livre em disco disponível para cópias de segurança
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | cyberx-backup-memory-check |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Gestão de utilizadores locais
Alterar palavras-passe de utilizador locais
Utilize os seguintes comandos para alterar as palavras-passe dos utilizadores locais no sensor de OT. A nova palavra-passe tem de ter, pelo menos, 8 carateres, conter minúsculas e maiúsculas, carateres alfabéticos, números e símbolos.
Quando altera a palavra-passe do administrador , a palavra-passe é alterada para acesso SSH e Web.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | system password |
<username> |
O exemplo seguinte mostra que o utilizador administrador está a alterar a palavra-passe. A nova palavra-passe não aparece no ecrã quando a escreve, certifique-se de que escreve para anotar a mesma e certifique-se de que está escrita corretamente quando lhe for pedido para reintroduzir a palavra-passe.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Configuração de rede
Alterar a configuração de rede ou reatribuir funções de interface de rede
Utilize o seguinte comando para executar novamente o assistente de configuração de software de monitorização OT, que o ajuda a definir ou reconfigurar as seguintes definições do sensor OT:
- Ativar/desativar interfaces de monitorização SPAN
- Configurar as definições de rede para a interface de gestão (IP, sub-rede, gateway predefinido, DNS)
- Atribuir um diretório de cópia de segurança
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network reconfigure |
Sem atributos |
| cyberx | python3 -m cyberx.config.configure |
Sem atributos |
Por exemplo, com o utilizador administrador :
shell> network reconfigure
O assistente de configuração é iniciado automaticamente depois de executar este comando. Para obter mais informações, veja Instalar software de monitorização OT.
Validar e mostrar a configuração da interface de rede
Utilize os seguintes comandos para validar e mostrar a configuração atual da interface de rede no sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network validate |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Verificar a conectividade de rede a partir do sensor OT
Utilize o seguinte comando para enviar uma mensagem ping a partir do sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | ping <IP address> |
Sem atributos |
| cyberx ou administrador com acesso de raiz | ping <IP address> |
Sem atributos |
Nestes comandos, <IP address> está o endereço IP de um anfitrião de rede IPv4 válido acessível a partir da porta de gestão no sensor OT.
Localizar uma porta física ao piscar as luzes da interface
Utilize o seguinte comando para localizar uma interface física específica, fazendo com que as luzes da interface pisquem.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network blink <INT> |
Sem atributos |
Neste comando, <INT> é uma porta ethernet física na aplicação.
O exemplo seguinte mostra o utilizador administrador a piscar a interface eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Listar interfaces físicas ligadas
Utilize o seguinte comando para listar as interfaces físicas ligadas no sensor OT.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network list |
Sem atributos |
| cyberx ou administrador com acesso de raiz | ifconfig |
Sem atributos |
Por exemplo, para o utilizador administrador :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filtros de captura de tráfego
Para reduzir a fadiga dos alertas e concentrar a monitorização de rede no tráfego de alta prioridade, pode decidir filtrar o tráfego transmitido para o Defender para IoT na origem. Os filtros de captura permitem-lhe bloquear o tráfego de largura de banda elevada na camada de hardware, otimizando o desempenho da aplicação e a utilização de recursos.
Utilize incluir uma/ou excluir listas para criar e configurar filtros de captura nos sensores de rede OT, certificando-se de que não bloqueia nenhum dos tráfegos que pretende monitorizar.
O caso de utilização básica para filtros de captura utiliza o mesmo filtro para todos os componentes do Defender para IoT. No entanto, para casos de utilização avançados, poderá querer configurar filtros separados para cada um dos seguintes componentes do Defender para IoT:
-
horizon: captura dados de inspeção de pacotes profundas (DPI) -
collector: captura dados PCAP -
traffic-monitor: captura estatísticas de comunicação
Nota
Os filtros de captura não se aplicam aos alertas de software maligno do Defender para IoT, que são acionados em todo o tráfego de rede detetado.
O comando de filtro de captura tem um limite de comprimento de carateres baseado na complexidade da definição do filtro de captura e nas capacidades disponíveis da placa de interface de rede. Se o comando de filtro pedido falhar, experimente agrupar sub-redes em âmbitos maiores e utilizar um comando de filtro de captura mais curto.
Criar um filtro básico para todos os componentes
O método utilizado para configurar um filtro de captura básico difere consoante o utilizador que executa o comando:
- utilizador cyberx: execute o comando especificado com atributos específicos para configurar o filtro de captura.
- utilizador administrador: execute o comando especificado e, em seguida, introduza os valores conforme pedido pela CLI, editando as listas de inclusão e exclusão num editor nano.
Utilize os seguintes comandos para criar um novo filtro de captura:
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network capture-filter |
Sem atributos. |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Os atributos suportados para o utilizador do cyberx são definidos da seguinte forma:
| Atributo | Descrição |
|---|---|
-h, --help |
Mostra a mensagem de ajuda e sai. |
-i <INCLUDE>, --include <INCLUDE> |
O caminho para um ficheiro que contém os dispositivos e máscaras de sub-rede que pretende incluir, em <INCLUDE> que é o caminho para o ficheiro. Por exemplo, veja Incluir ou excluir ficheiros de exemplo. |
-x EXCLUDE, --exclude EXCLUDE |
O caminho para um ficheiro que contém os dispositivos e máscaras de sub-rede que pretende excluir, em <EXCLUDE> que é o caminho para o ficheiro. Por exemplo, veja Incluir ou excluir ficheiros de exemplo. |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Exclui o tráfego TCP em quaisquer portas especificadas, em que define a <EXCLUDE_TCP_PORT> porta ou as portas que pretende excluir. Delimitar múltiplas portas por vírgulas, sem espaços. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Exclui o tráfego UDP em quaisquer portas especificadas, em que define a <EXCLUDE_UDP_PORT> porta ou as portas que pretende excluir. Delimitar múltiplas portas por vírgulas, sem espaços. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Inclui tráfego TCP em quaisquer portas especificadas, em que define a <INCLUDE_TCP_PORT> porta ou as portas que pretende incluir. Delimitar múltiplas portas por vírgulas, sem espaços. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Inclui tráfego UDP em quaisquer portas especificadas, em que define <INCLUDE_UDP_PORT> a porta ou as portas que pretende incluir. Delimitar múltiplas portas por vírgulas, sem espaços. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Inclui tráfego VLAN por IDs de VLAN especificados, <INCLUDE_VLAN_IDS> define o ID ou IDs de VLAN que pretende incluir. Delimitar vários IDs de VLAN por vírgulas, sem espaços. |
-p <PROGRAM>, --program <PROGRAM> |
Define o componente para o qual pretende configurar um filtro de captura. Utilize all para casos de utilização básicos, para criar um único filtro de captura para todos os componentes. Para casos de utilização avançados, crie filtros de captura separados para cada componente. Para obter mais informações, veja Criar um filtro avançado para componentes específicos. |
-m <MODE>, --mode <MODE> |
Define um modo de lista de inclusão e só é relevante quando é utilizada uma lista de inclusão. Utilize um dos seguintes valores: - internal: inclui toda a comunicação entre a origem e o destino especificados - all-connected: inclui toda a comunicação entre os pontos finais especificados e os pontos finais externos. Por exemplo, para os pontos finais A e B, se utilizar o modo, o internal tráfego incluído só incluirá comunicações entre os pontos finais A e B. No entanto, se utilizar o modo, o all-connected tráfego incluído incluirá todas as comunicações entre A ou B e outros pontos finais externos. |
Exemplo de inclusão ou exclusão de ficheiro
Por exemplo, uma inclusão ou exclusão .txt ficheiro pode incluir as seguintes entradas:
192.168.50.10
172.20.248.1
Criar um filtro de captura básico com o utilizador administrador
Se estiver a criar um filtro de captura básico como utilizador administrador , não serão transmitidos atributos no comando original. Em vez disso, é apresentada uma série de pedidos para o ajudar a criar o filtro de captura interativamente.
Responda aos pedidos apresentados da seguinte forma:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Selecione
Ypara abrir um novo ficheiro de inclusão, onde pode adicionar um dispositivo, canal e/ou sub-rede que pretende incluir no tráfego monitorizado. Qualquer outro tráfego, não listado no seu ficheiro de inclusão, não é ingerido no Defender para IoT.O ficheiro de inclusão é aberto no editor de texto Nano . No ficheiro de inclusão, defina dispositivos, canais e sub-redes da seguinte forma:
Tipo Descrição Exemplos: Dispositivo Definir um dispositivo pelo respetivo endereço IP. 1.1.1.1inclui todo o tráfego para este dispositivo.Canal Defina um canal pelos endereços IP dos respetivos dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2inclui todo o tráfego para este canal.Sub-rede Definir uma sub-rede pelo respetivo endereço de rede. 1.1.1inclui todo o tráfego para esta sub-rede.Listar vários argumentos em linhas separadas.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Selecione
Ypara abrir um novo ficheiro de exclusão, onde pode adicionar um dispositivo, canal e/ou sub-rede que pretende excluir do tráfego monitorizado. Qualquer outro tráfego, não listado no ficheiro de exclusão, é ingerido no Defender para IoT.O ficheiro de exclusão é aberto no editor de texto Nano . No ficheiro de exclusão, defina dispositivos, canais e sub-redes da seguinte forma:
Tipo Descrição Exemplos: Dispositivo Definir um dispositivo pelo respetivo endereço IP. 1.1.1.1exclui todo o tráfego para este dispositivo.Canal Defina um canal pelos endereços IP dos respetivos dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2exclui todo o tráfego entre estes dispositivos.Canal por porta Defina um canal pelos endereços IP dos respetivos dispositivos de origem e destino e pela porta de tráfego. 1.1.1.1,2.2.2.2,443exclui todo o tráfego entre estes dispositivos e a utilização da porta especificada.Sub-rede Definir uma sub-rede pelo respetivo endereço de rede. 1.1.1exclui todo o tráfego para esta sub-rede.Canal de sub-rede Defina os endereços de rede do canal de sub-rede para as sub-redes de origem e de destino. 1.1.1,2.2.2exclui todo o tráfego entre estas sub-redes.Listar vários argumentos em linhas separadas.
Responda aos seguintes pedidos para definir quaisquer portas TCP ou UDP a incluir ou excluir. Separe várias portas por vírgula e prima ENTER para ignorar qualquer pedido específico.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Por exemplo, introduza várias portas da seguinte forma:
502,443In which component do you wish to apply this capture filter?Introduza
allpara obter um filtro de captura básico. Para casos de utilização avançados, crie filtros de captura para cada componente do Defender para IoT separadamente.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Este pedido permite-lhe configurar o tráfego que está no âmbito. Defina se pretende recolher tráfego onde ambos os pontos finais estão no âmbito ou se apenas um deles está na sub-rede especificada. Os valores suportados incluem:
-
internal: inclui toda a comunicação entre a origem e o destino especificados -
all-connected: inclui toda a comunicação entre os pontos finais especificados e os pontos finais externos.
Por exemplo, para os pontos finais A e B, se utilizar o modo, o
internaltráfego incluído só incluirá comunicações entre os pontos finais A e B.
No entanto, se utilizar o modo, oall-connectedtráfego incluído incluirá todas as comunicações entre A ou B e outros pontos finais externos.O modo predefinido é
internal. Para utilizar oall-connectedmodo, selecioneYna linha de comandos e, em seguida, introduzaall-connected.-
O exemplo seguinte mostra uma série de pedidos que cria um filtro de captura para excluir a sub-rede 192.168.x.x e a porta 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Criar um filtro avançado para componentes específicos
Ao configurar filtros de captura avançados para componentes específicos, pode utilizar os ficheiros iniciais de inclusão e exclusão como filtro de captura base ou modelo. Em seguida, configure filtros adicionais para cada componente na parte superior da base, conforme necessário.
Para criar um filtro de captura para cada componente, certifique-se de que repete todo o processo para cada componente.
Nota
Se tiver criado filtros de captura diferentes para diferentes componentes, a seleção do modo é utilizada para todos os componentes. Definir o filtro de captura para um componente como internal e o filtro de captura para outro componente, tal como all-connected não é suportado.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | network capture-filter |
Sem atributos. |
| cyberx ou administrador com acesso de raiz | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Os seguintes atributos adicionais são utilizados para o utilizador do cyberx criar filtros de captura para cada componente separadamente:
| Atributo | Descrição |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Define o componente para o qual pretende configurar um filtro de captura, onde <PROGRAM> tem os seguintes valores suportados: - traffic-monitor - collector - horizon - all: cria um único filtro de captura para todos os componentes. Para obter mais informações, veja Criar um filtro básico para todos os componentes. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Define um filtro de captura de base para o horizon componente, onde <BASE_HORIZON> é o filtro que pretende utilizar. Valor predefinido = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Define um filtro de captura de base para o traffic-monitor componente. Valor predefinido = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Define um filtro de captura de base para o collector componente. Valor predefinido = "" |
Outros valores de atributo têm as mesmas descrições que no caso de utilização básica, descrito anteriormente.
Criar um filtro de captura avançado com o utilizador administrador
Se estiver a criar um filtro de captura para cada componente separadamente como utilizador administrador , não serão transmitidos atributos no comando original. Em vez disso, é apresentada uma série de pedidos para o ajudar a criar o filtro de captura interativamente.
A maioria dos pedidos são idênticos aos casos de utilização básicos. Responda aos seguintes pedidos adicionais da seguinte forma:
In which component do you wish to apply this capture filter?Introduza um dos seguintes valores, consoante o componente que pretende filtrar:
horizontraffic-monitorcollector
É-lhe pedido que configure um filtro de captura de base personalizado para o componente selecionado. Esta opção utiliza o filtro de captura que configurou nos passos anteriores como base ou modelo, onde pode adicionar configurações adicionais sobre a base.
Por exemplo, se tiver selecionado configurar um filtro de captura para o
collectorcomponente no passo anterior, ser-lhe-á pedido:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Introduza
Ypara personalizar o modelo para o componente especificado ouNpara utilizar o filtro de captura que configurou anteriormente tal como está.
Continue com os pedidos restantes, como no caso de utilização básica.
Listar filtros de captura atuais para componentes específicos
Utilize os seguintes comandos para mostrar detalhes sobre os filtros de captura atuais configurados para o sensor.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| administrador | Utilize os seguintes comandos para ver os filtros de captura de cada componente: - horizon: edit-config horizon_parser/horizon.properties - monitor de tráfego: edit-config traffic_monitor/traffic-monitor - recoletor: edit-config dumpark.properties |
Sem atributos |
| cyberx ou administrador com acesso de raiz | Utilize os seguintes comandos para ver os filtros de captura de cada componente: - horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - monitor de tráfego: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - recoletor: nano /var/cyberx/properties/dumpark.properties |
Sem atributos |
Estes comandos abrem os seguintes ficheiros, que listam os filtros de captura configurados para cada componente:
| Name | Ficheiro | Propriedade |
|---|---|---|
| horizonte | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| monitor de tráfego | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| recoletor | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Por exemplo, com o utilizador administrador , com um filtro de captura definido para o componente recoletor que exclui a sub-rede 192.168.x.x e a porta 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Repor todos os filtros de captura
Utilize o seguinte comando para repor o sensor para a configuração de captura predefinida com o utilizador cyberx , removendo todos os filtros de captura.
| Utilizador | Comando | Sintaxe de comandos completa |
|---|---|---|
| cyberx ou administrador com acesso de raiz | cyberx-xsense-capture-filter -p all -m all-connected |
Sem atributos |
Se quiser modificar os filtros de captura existentes, execute novamente o comando anterior com novos valores de atributo.
Para repor todos os filtros de captura com o utilizador administrador , execute novamente o comando anterior e responda N a todos os pedidos para repor todos os filtros de captura.
O exemplo seguinte mostra a sintaxe do comando e a resposta para o utilizador do cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#