Sdílet prostřednictvím

Referenční informace k příkazům rozhraní příkazového řádku ze síťových senzorů OT

  • Článek

Tento článek uvádí příkazy rozhraní příkazového řádku, které jsou k dispozici v programu Defender pro síťové senzory OT IoT.

Upozornění

Pro konfiguraci zákazníka se podporují pouze zdokumentované parametry konfigurace v síťovém senzoru OT a místní konzole pro správu. Neměňte žádné nezdokumentované parametry konfigurace ani systémové vlastnosti, protože změny můžou způsobit neočekávané chování a selhání systému.

Odebrání balíčků ze senzoru bez schválení Microsoftem může způsobit neočekávané výsledky. Všechny balíčky nainstalované na senzoru jsou vyžadovány pro správnou funkčnost senzoru.

Požadavky

Než budete moct spustit některý z následujících příkazů rozhraní příkazového řádku, budete potřebovat přístup k rozhraní příkazového řádku na síťovém senzoru OT jako privilegovaný uživatel.

I když tento článek uvádí syntaxi příkazů pro každého uživatele, doporučujeme použít uživatele správce pro všechny příkazy rozhraní příkazového řádku, ve kterých je uživatel s rolí správce podporovaný.

Další informace najdete v tématu Přístup k rozhraní příkazového řádku a privilegovanému přístupu uživatelů pro monitorování OT.

Údržba zařízení

Kontrola stavu služeb monitorování OT

Pomocí následujících příkazů ověřte, že aplikace Defender for IoT na senzoru OT funguje správně, včetně procesů analýzy provozu a webové konzoly.

Kontroly stavu jsou k dispozici také z konzoly senzoru OT. Další informace najdete v tématu Řešení potíží se senzorem.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system sanity Žádné atributy
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-sanity Žádné atributy

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele správce :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Restartování zařízení

Pomocí následujících příkazů restartujte zařízení senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system reboot Žádné atributy
cyberx_host nebo správce s kořenovým přístupem sudo reboot Žádné atributy

Například pro uživatele s rolí správce :

shell> system reboot

Vypnutí zařízení

Pomocí následujících příkazů vypněte zařízení senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system shutdown Žádné atributy
cyberx_host nebo správce s kořenovým přístupem sudo shutdown -r now Žádné atributy

Například pro uživatele s rolí správce :

shell> system shutdown

Zobrazit nainstalovanou verzi softwaru

Pomocí následujících příkazů vypíšete verzi softwaru Defender for IoT nainstalovanou na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system version Žádné atributy
cyberx nebo admin with root access cyberx-xsense-version Žádné atributy

Například pro uživatele s rolí správce :

shell> system version
Version: 22.2.5.9-r-2121448

Zobrazení aktuálního systémového data a času

Pomocí následujících příkazů zobrazíte aktuální systémové datum a čas na síťovém senzoru OT ve formátu GMT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin date Žádné atributy
cyberx nebo admin with root access date Žádné atributy
cyberx_host nebo správce s kořenovým přístupem date Žádné atributy

Například pro uživatele s rolí správce :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Zapnutí synchronizace času NTP

Pomocí následujících příkazů zapněte synchronizaci času zařízení se serverem NTP.

Pokud chcete použít tyto příkazy, ujistěte se, že:

  • Server NTP je dostupný z portu pro správu zařízení.
  • Použijete stejný server NTP k synchronizaci všech zařízení snímačů a místní konzoly pro správu.
Uživatelská Příkaz Úplná syntaxe příkazů
Admin ntp enable <IP address> Žádné atributy
cyberx nebo admin with root access cyberx-xsense-ntp-enable <IP address> Žádné atributy

V těchto příkazech <IP address> je IP adresa platného serveru IPv4 NTP pomocí portu 123.

Například pro uživatele s rolí správce :

shell> ntp enable 129.6.15.28
shell>

Vypnutí synchronizace času NTP

Pomocí následujících příkazů vypněte synchronizaci času zařízení se serverem NTP.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin ntp disable <IP address> Žádné atributy
cyberx nebo admin with root access cyberx-xsense-ntp-disable <IP address> Žádné atributy

V těchto příkazech <IP address> je IP adresa platného serveru IPv4 NTP pomocí portu 123.

Například pro uživatele s rolí správce :

shell> ntp disable 129.6.15.28
shell>

Zálohování a obnovení

Následující části popisují příkazy rozhraní příkazového řádku podporované pro zálohování a obnovení systémového snímku síťového senzoru OT.

Záložní soubory zahrnují úplný snímek stavu senzoru, včetně nastavení konfigurace, standardních hodnot, dat inventáře a protokolů.

Upozornění

Nepřerušujte operaci zálohování nebo obnovení systému, protože to může způsobit, že se systém stane nepoužitelným.

Spuštění okamžitého neplánovaného zálohování

Pomocí následujícího příkazu spusťte okamžitou neplánovanou zálohu dat na senzoru OT. Další informace najdete v tématu Nastavení souborů zálohování a obnovení.

Upozornění

Při zálohování dat nezapomeňte zařízení zastavit nebo vypnout.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system backup create Žádné atributy
cyberx nebo admin with root access cyberx-xsense-system-backup Žádné atributy

Například pro uživatele s rolí správce :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Výpis aktuálních záložních souborů

Pomocí následujících příkazů zobrazíte seznam záložních souborů aktuálně uložených na síťovém senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system backup list Žádné atributy
cyberx nebo admin with root access cyberx-xsense-system-backup-list Žádné atributy

Například pro uživatele s rolí správce :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Obnovení dat z nejnovější zálohy

Pomocí následujícího příkazu obnovte data na síťovém senzoru OT pomocí nejnovějšího záložního souboru. Po zobrazení výzvy potvrďte, že chcete pokračovat.

Upozornění

Při obnovování dat nezapomeňte zařízení zastavit nebo vypnout.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system restore Žádné atributy
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-system-restore -f <filename>

Například pro uživatele s rolí správce :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Zobrazení přidělení místa na záložním disku

Následující příkaz zobrazí aktuální přidělení místa na záložním disku, včetně následujících podrobností:

  • Umístění záložní složky
  • Velikost záložní složky
  • Omezení složky zálohování
  • Čas poslední operace zálohování
  • Volné místo na disku dostupné pro zálohy
Uživatelská Příkaz Úplná syntaxe příkazů
Admin cyberx-backup-memory-check Žádné atributy

Například pro uživatele s rolí správce :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Místní správa uživatelů

Změna místních uživatelských hesel

Pomocí následujících příkazů můžete změnit hesla pro místní uživatele na senzoru OT. Nové heslo musí mít alespoň 8 znaků, musí obsahovat malá a velká písmena, abecední znaky, čísla a symboly.

Když změníte heslo správce, změní se heslo pro přístup pomocí SSH i webu.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system password <username>

Následující příklad ukazuje, že uživatel s oprávněním správce mění heslo. Nové heslo se při psaní nezobrazí na obrazovce, nezapomeňte si ho napsat, abyste si ho poznamenali, a ujistěte se, že je správně napsané, když se zobrazí výzva k opětovnému zadání hesla.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Konfigurace sítě

Změna konfigurace sítě nebo změna přiřazení rolí síťového rozhraní

Pomocí následujícího příkazu znovu spusťte průvodce konfigurací softwaru monitorování OT, který vám pomůže definovat nebo překonfigurovat následující nastavení senzoru OT:

  • Povolení nebo zakázání monitorovacích rozhraní SPAN
  • Konfigurace nastavení sítě pro rozhraní pro správu (IP, podsíť, výchozí brána, DNS)
  • Přiřazení záložního adresáře
Uživatelská Příkaz Úplná syntaxe příkazů
Admin network reconfigure Žádné atributy
kyberzločinek python3 -m cyberx.config.configure Žádné atributy

Například s uživatelem správce :

shell> network reconfigure

Průvodce konfigurací se spustí automaticky po spuštění tohoto příkazu. Další informace naleznete v tématu Instalace monitorovacího softwaru OT.

Ověření a zobrazení konfigurace síťového rozhraní

Pomocí následujících příkazů ověřte a zobrazte aktuální konfiguraci síťového rozhraní na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network validate Žádné atributy

Například pro uživatele s rolí správce :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Kontrola síťového připojení ze senzoru OT

Pomocí následujícího příkazu odešlete zprávu ping ze senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin ping <IP address> Žádné atributy
cyberx nebo admin with root access ping <IP address> Žádné atributy

V těchtopříkazch <IP address>

Vyhledání fyzického portu pomocí blikajících světel rozhraní

Pomocí následujícího příkazu vyhledejte konkrétní fyzické rozhraní tím, že způsobí, že světla rozhraní bliknou.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network blink <INT> Žádné atributy

V tomto příkazu <INT> je fyzický ethernetový port na zařízení.

Následující příklad ukazuje, že uživatel správce bliká na rozhraní eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Výpis připojených fyzických rozhraní

Pomocí následujícího příkazu zobrazte seznam připojených fyzických rozhraní na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network list Žádné atributy
kyberzločince nebo správce s kořenovým přístupem ifconfig Žádné atributy

Například pro uživatele s rolí správce :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtry zachytávání provozu

Pokud chcete snížit únavu výstrah a zaměřit se monitorování sítě na provoz s vysokou prioritou, můžete se rozhodnout filtrovat provoz, který streamuje do defenderu pro IoT ve zdroji. Zachytávání filtrů umožňuje blokovat přenosy s velkou šířkou pásma na hardwarové vrstvě a optimalizovat výkon zařízení i využití prostředků.

Pomocí seznamů zahrnutí nebo vyloučení můžete vytvářet a konfigurovat filtry zachytávání v síťových senzorech OT, abyste nezablokovali žádný provoz, který chcete monitorovat.

Základní případ použití pro filtry zachycení používá stejný filtr pro všechny komponenty Defenderu pro IoT. V případě pokročilých případů použití ale můžete chtít nakonfigurovat samostatné filtry pro každou z následujících komponent Defenderu pro IoT:

  • horizon: Zachytává data hloubkové kontroly paketů (DPI).
  • collector: Zaznamenává data PCAP.
  • traffic-monitor: Zaznamenává statistiky komunikace.

Poznámka:

  • Filtry zachycení se nevztahují na výstrahy malwaru Defenderu pro IoT, které se aktivují na všech detekovaných síťových přenosech.

  • Příkaz filtru zachycení má omezení délky znaků založené na složitosti definice filtru zachycení a dostupných funkcí síťové karty. Pokud požadovaný příkaz filtru selže, zkuste seskupit podsítě do větších oborů a použít kratší příkaz filtru zachycení.

Vytvoření základního filtru pro všechny komponenty

Metoda použitá ke konfiguraci základního filtru zachycení se liší v závislosti na uživateli, který provádí příkaz:

  • uživatel cyberx : Spuštěním zadaného příkazu s konkrétními atributy nakonfigurujte filtr zachycení.
  • uživatel s oprávněním správce : Spusťte zadaný příkaz a zadejte hodnoty podle výzvy rozhraní příkazového řádku, upravte seznamy zahrnutí a vyloučení v editoru nano.

Pomocí následujících příkazů vytvořte nový filtr zachycení:

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network capture-filter Žádné atributy.
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Podporované atributy pro uživatele cyberxu jsou definovány takto:

Atribut Popis
-h, --help Zobrazí zprávu nápovědy a ukončí.
-i <INCLUDE>, --include <INCLUDE> Cesta k souboru, který obsahuje zařízení a masky podsítě, které chcete zahrnout, kde <INCLUDE> je cesta k souboru. Příklad najdete v části Ukázka zahrnutí nebo vyloučení souboru.
-x EXCLUDE, --exclude EXCLUDE Cesta k souboru, který obsahuje zařízení a masky podsítě, které chcete vyloučit, kde <EXCLUDE> je cesta k souboru. Příklad najdete v části Ukázka zahrnutí nebo vyloučení souboru.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Vyloučí provoz TCP na všech zadaných portech, kde <EXCLUDE_TCP_PORT> definuje port nebo porty, které chcete vyloučit. Oddělovačte více portů čárkami bez mezer.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Vyloučí provoz UDP na všech zadaných portech, kde <EXCLUDE_UDP_PORT> definuje port nebo porty, které chcete vyloučit. Oddělovačte více portů čárkami bez mezer.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Zahrnuje provoz TCP na všech zadaných portech, kde <INCLUDE_TCP_PORT> definuje port nebo porty, které chcete zahrnout. Oddělovačte více portů čárkami bez mezer.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Zahrnuje provoz UDP na všech zadaných portech, kde <INCLUDE_UDP_PORT> definuje port nebo porty, které chcete zahrnout. Oddělovačte více portů čárkami bez mezer.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Zahrnuje provoz sítě VLAN podle zadaných ID sítě VLAN, definuje ID sítě VLAN nebo ID, <INCLUDE_VLAN_IDS> které chcete zahrnout. Oddělovačte více ID sítě VLAN čárkami bez mezer.
-p <PROGRAM>, --program <PROGRAM> Definuje komponentu, pro kterou chcete nakonfigurovat filtr zachycení. Pro all základní případy použití slouží k vytvoření jednoho filtru zachycení pro všechny komponenty.

V případě pokročilých případů použití vytvořte pro každou komponentu samostatné filtry zachycení. Další informace naleznete v tématu Vytvoření rozšířeného filtru pro konkrétní komponenty.
-m <MODE>, --mode <MODE> Definuje režim zahrnutí seznamu a je relevantní pouze v případě, že se použije seznam zahrnutí. Použijte jednu z následujících hodnot:

- internal: Zahrnuje veškerou komunikaci mezi zadaným zdrojem a cílem.
- all-connected: Zahrnuje veškerou komunikaci mezi některým ze zadaných koncových bodů a externími koncovými body.

Pokud například použijete internal režim koncových bodů A a B, bude zahrnutý provoz zahrnovat pouze komunikaci mezi koncovými body A a B.
Pokud ale použijete all-connected režim, bude zahrnutý provoz zahrnovat veškerou komunikaci mezi A nebo B a dalšími externími koncovými body.

Ukázkový soubor zahrnutí nebo vyloučení

Například zahrnutí nebo vyloučení souboru .txt může obsahovat následující položky:

192.168.50.10
172.20.248.1

Vytvoření základního filtru zachycení pomocí uživatele správce

Pokud vytváříte základní filtr zachycení jako uživatel správce , v původním příkazu se nepředají žádné atributy. Místo toho se zobrazí řada výzev, které vám pomůžou interaktivně vytvořit filtr zachycení.

Odpovědět na výzvy zobrazené následujícím způsobem:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Vyberte Y , pokud chcete otevřít nový soubor include, kde můžete přidat zařízení, kanál a/nebo podsíť, které chcete zahrnout do monitorovaného provozu. Jakýkoli jiný provoz, který není uvedený v souboru include, se neingestuje do Defenderu pro IoT.

    Soubor include se otevře v textovém editoru Nano . V souboru include definujte zařízení, kanály a podsítě následujícím způsobem:

    Typ Popis Příklad
    Zařízení Definujte zařízení podle jeho IP adresy. 1.1.1.1 zahrnuje veškerý provoz pro toto zařízení.
    Kanál Definujte kanál podle IP adres jeho zdrojových a cílových zařízení oddělených čárkou. 1.1.1.1,2.2.2.2 zahrnuje veškerý provoz pro tento kanál.
    Podsíť Definujte podsíť podle její síťové adresy. 1.1.1 zahrnuje veškerý provoz pro tuto podsíť.

    Zobrazení seznamu více argumentů v samostatných řádcích

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Výběrem Y otevřete nový soubor vyloučení, ve kterém můžete přidat zařízení, kanál a/nebo podsíť, které chcete vyloučit z monitorovaného provozu. Jakýkoli jiný provoz, který není uvedený v souboru vyloučení, se ingestuje do Defenderu pro IoT.

    Soubor vyloučení se otevře v textovém editoru Nano . V souboru vyloučení definujte zařízení, kanály a podsítě následujícím způsobem:

    Typ Popis Příklad
    Zařízení Definujte zařízení podle jeho IP adresy. 1.1.1.1 vyloučí veškerý provoz pro toto zařízení.
    Kanál Definujte kanál podle IP adres jeho zdrojových a cílových zařízení oddělených čárkou. 1.1.1.1,2.2.2.2 vyloučí veškerý provoz mezi těmito zařízeními.
    Kanál podle portu Definujte kanál podle IP adres jeho zdrojových a cílových zařízení a portu provozu. 1.1.1.1,2.2.2.2,443 vylučuje veškerý provoz mezi těmito zařízeními a použitím zadaného portu.
    Podsíť Definujte podsíť podle její síťové adresy. 1.1.1 vyloučí veškerý provoz pro tuto podsíť.
    Kanál podsítě Definujte síťové adresy kanálu podsítě pro zdrojové a cílové podsítě. 1.1.1,2.2.2 vylučuje veškerý provoz mezi těmito podsítěmi.

    Zobrazení seznamu více argumentů v samostatných řádcích

  3. Odpovězte na následující výzvy a definujte všechny porty TCP nebo UDP, které se mají zahrnout nebo vyloučit. Oddělte několik portů čárkami a stisknutím klávesy ENTER přeskočte všechny konkrétní výzvy.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Zadejte například několik portů následujícím způsobem: 502,443

  4. In which component do you wish to apply this capture filter?

    Zadejte all základní filtr zachycení. V případě pokročilých případů použití vytvořte filtry zachycení pro každou komponentu Defenderu pro IoT samostatně.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Tato výzva umožňuje nakonfigurovat, který provoz je v oboru. Definujte, jestli chcete shromažďovat provoz, ve kterém jsou oba koncové body v oboru, nebo jenom jeden z nich je v zadané podsíti. Mezi podporované hodnoty patří:

    • internal: Zahrnuje veškerou komunikaci mezi zadaným zdrojem a cílem.
    • all-connected: Zahrnuje veškerou komunikaci mezi některým ze zadaných koncových bodů a externími koncovými body.

    Pokud například použijete internal režim koncových bodů A a B, bude zahrnutý provoz zahrnovat pouze komunikaci mezi koncovými body A a B.
    Pokud ale použijete all-connected režim, bude zahrnutý provoz zahrnovat veškerou komunikaci mezi A nebo B a dalšími externími koncovými body.

    Výchozí režim je internal. Chcete-li použít all-connected režim, vyberte Y na příkazovém řádku a pak zadejte all-connected.

Následující příklad ukazuje řadu výzev, které vytvoří filtr zachycení pro vyloučení podsítě 192.168.x.x a portu. 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Vytvoření rozšířeného filtru pro konkrétní komponenty

Při konfiguraci rozšířených filtrů zachycení pro konkrétní komponenty můžete použít počáteční zahrnutí a vyloučení souborů jako základní nebo šablonu filtru zachycení. Potom podle potřeby nakonfigurujte další filtry pro každou komponentu nad základnou.

Pokud chcete vytvořit filtr zachycení pro každou komponentu, nezapomeňte celý proces opakovat pro každou komponentu.

Poznámka:

Pokud jste pro různé komponenty vytvořili různé filtry zachycení, použije se výběr režimu pro všechny komponenty. Definování filtru zachycení pro jednu komponentu jako internal a filtru zachycení pro jinou komponentu, protože all-connected se nepodporuje.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network capture-filter Žádné atributy.
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Pro uživatele kyberzločinců se používají následující další atributy k vytvoření filtrů zachycení pro každou komponentu samostatně:

Atribut Popis
-p <PROGRAM>, --program <PROGRAM> Definuje komponentu, pro kterou chcete nakonfigurovat filtr zachycení, kde <PROGRAM> mají následující podporované hodnoty:
- traffic-monitor
- collector
- horizon
- all: Vytvoří jeden filtr zachycení pro všechny komponenty. Další informace naleznete v tématu Vytvoření základního filtru pro všechny komponenty.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definuje základní filtr zachycení pro komponentu horizon , kde je filtr, který <BASE_HORIZON> chcete použít.
Výchozí hodnota = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definuje filtr základního zachytávání pro komponentu traffic-monitor .
Výchozí hodnota = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definuje filtr základního zachytávání pro komponentu collector .
Výchozí hodnota = ""

Jiné hodnoty atributů mají stejné popisy jako v případě základního použití popsané výše.

Vytvoření rozšířeného filtru zachycení pomocí uživatele správce

Pokud vytváříte filtr zachycení pro každou komponentu samostatně jako uživatel správce , v původním příkazu se nepředají žádné atributy. Místo toho se zobrazí řada výzev, které vám pomůžou interaktivně vytvořit filtr zachycení.

Většina výzev je shodná se základním případem použití. Na následující dodatečné výzvy odpovězte následujícím způsobem:

  1. In which component do you wish to apply this capture filter?

    V závislosti na komponentě, kterou chcete filtrovat, zadejte jednu z následujících hodnot:

    • horizon
    • traffic-monitor
    • collector

  2. Zobrazí se výzva ke konfiguraci vlastního filtru základního zachytávání pro vybranou komponentu. Tato možnost používá filtr zachycení, který jste nakonfigurovali v předchozích krocích jako základ, nebo šablonu, kde můžete nad základnu přidat další konfigurace.

    Pokud jste například vybrali konfiguraci filtru zachycení pro komponentu collector v předchozím kroku, zobrazí se výzva: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Zadáním Y můžete přizpůsobit šablonu pro zadanou komponentu nebo N použít filtr zachycení, který jste nakonfigurovali dříve.

Pokračujte zbývajícími výzvami jako v případě základního použití.

Výpis aktuálních filtrů zachycení pro konkrétní komponenty

Pomocí následujících příkazů zobrazíte podrobnosti o aktuálních filtrech zachytávání nakonfigurovaných pro váš senzor.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin Pomocí následujících příkazů zobrazte filtry zachytávání pro každou komponentu:

- horizont: edit-config horizon_parser/horizon.properties
- monitorování provozu:edit-config traffic_monitor/traffic-monitor
- kolektor: edit-config dumpark.properties		 Žádné atributy
kyberzločince nebo správce s kořenovým přístupem Pomocí následujících příkazů zobrazte filtry zachytávání pro každou komponentu:

-horizont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitorování provozu:nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- kolektor: nano /var/cyberx/properties/dumpark.properties		 Žádné atributy

Tyto příkazy otevřou následující soubory, které uvádějí filtry zachycení nakonfigurované pro každou komponentu:

Název Soubor Vlastnost
horizont /var/cyberx/properties/horizon.properties horizon.processor.filter
monitorování provozu /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
sběratel /var/cyberx/properties/dumpark.properties dumpark.network.filter

Například s uživatelem správce s filtrem zachycení definovaným pro komponentu kolektoru , který vylučuje podsíť 192.168.x.x a port 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Resetování všech filtrů zachycení

Pomocí následujícího příkazu resetujte senzor na výchozí konfiguraci zachytávání s uživatelem cyberxu a odeberte všechny filtry zachycení.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter -p all -m all-connected Žádné atributy

Pokud chcete upravit existující filtry zachycení, spusťte znovu předchozí příkaz s novými hodnotami atributů.

Pokud chcete obnovit všechny filtry zachycení pomocí uživatele správce , spusťte znovu předchozí příkaz a odpovězte N na všechny výzvy k resetování všech filtrů zachycení.

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele cyberxu :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Další kroky

Další informace o příkazech Rozhraní příkazového řádku Defenderu pro IoT