CLI-Befehlsreferenz für OT-Netzwerksensoren
In diesem Artikel werden die CLI-Befehle aufgeführt, die für OT-Netzwerksensoren von Defender for IoT verfügbar sind.
Achtung
Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter für den OT-Netzwerksensor und die lokale Verwaltungskonsole unterstützt. Nehmen Sie keine Änderungen an nicht dokumentierten Konfigurationsparametern oder Systemeigenschaften vor, da Änderungen zu unerwartetem Verhalten und zu Systemfehlern führen können.
Das Entfernen von Paketen aus Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.
Voraussetzungen
Damit Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie als privilegierter Benutzer Zugriff auf die CLI Ihres OT-Netzwerksensors.
Während in diesem Artikel die Befehlssyntax für jeden Benutzer aufgeführt wird, empfehlen wir die Verwendung des Administratorbenutzers für alle CLI-Befehle, in denen der Administratorbenutzer unterstützt wird.
Weitere Informationen finden Sie unter Zugreifen auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.
Appliancewartung
Überprüfen der Integrität der OT-Überwachungsdienste
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender for IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.
Integritätsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung beim Sensor.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system sanity |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-sanity |
Keine Attribute |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Neustarten einer Appliance
Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance neu zu starten:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system reboot |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | sudo reboot |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system reboot
Herunterfahren einer Appliance
Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance herunterzufahren:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system shutdown |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | sudo shutdown -r now |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system shutdown
Anzeigen der installierten Softwareversion
Verwenden Sie die folgenden Befehle, um die auf Ihrem OT-Sensor installierte Defender for IoT-Softwareversion aufzuführen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system version |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-version |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system version
Version: 22.2.5.9-r-2121448
Anzeigen des aktuellen Systemdatums/der aktuellen Systemzeit
Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Systemzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | date |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | date |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | date |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
Aktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu aktivieren:
Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:
- Der NTP-Server kann über den Applianceverwaltungsport erreicht werden.
- Sie verwenden denselben NTP-Server, um alle Sensorappliances und die lokale Verwaltungskonsole zu synchronisieren.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ntp enable <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-ntp-enable <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
shell> ntp enable 129.6.15.28
shell>
Deaktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu deaktivieren:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ntp disable <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-ntp-disable <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
shell> ntp disable 129.6.15.28
shell>
Sichern und Wiederherstellen
In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen einer Systemmomentaufnahme Ihres OT-Netzwerksensors unterstützt werden.
Sicherungsdateien enthalten eine vollständige Momentaufnahme des Sensorzustands, einschließlich Konfigurationseinstellungen, Baselinewerten, Bestandsdaten und Protokollen.
Achtung
Unterbrechen Sie einen Systemsicherungs- oder Wiederherstellungsvorgang nicht, da dies dazu führen kann, dass das System nicht mehr verwendet werden kann.
Starten einer sofortigen, nicht geplanten Sicherung
Verwenden Sie den folgenden Befehl, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.
Achtung
Stellen Sie sicher, dass die Appliance beim Sichern von Daten nicht beendet oder ausgeschaltet wird.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system backup create |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-backup |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Auflisten der aktuellen Sicherungsdateien
Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit in Ihrem OT-Netzwerksensor gespeichert sind:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system backup list |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-backup-list |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Wiederherstellen von Daten aus der letzten Sicherung
Verwenden Sie den folgenden Befehl, um Daten auf Ihrem OT-Netzwerksensor mithilfe der neuesten Sicherungsdatei wiederherzustellen. Bestätigen Sie bei Aufforderung, dass Sie den Vorgang fortsetzen möchten.
Achtung
Stellen Sie sicher, dass die Appliance beim Wiederherstellen von Daten nicht beendet oder ausgeschaltet wird.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system restore |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-restore |
-f <filename> |
Beispiel: Für den Administratorbenutzer :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Anzeigen der Speicherbelegung auf dem Sicherungsdatenträger
Der folgende Befehl listet die aktuelle Speicherbelegung auf dem Sicherungsdatenträger auf, einschließlich der folgenden Details:
- Speicherort des Ordners
- Größe des Sicherungsordners
- Einschränkungen des Sicherungsordners
- Zeitpunkt des letzten Sicherungsvorgangs
- Für Sicherungen verfügbarer freier Speicherplatz
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | cyberx-backup-memory-check |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Lokale Benutzerverwaltung
Ändern der Kennwörter von lokalen Benutzern
Verwenden Sie die folgenden Befehle, um Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern. Das neue Kennwort muss mindestens 8 Zeichen lang sein, enthält Klein- und Großbuchstaben, alphabetische Zeichen, Zahlen und Symbole.
Wenn Sie das Kennwort für den Administrator ändern, wird das Kennwort sowohl für SSH als auch für den Webzugriff geändert.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system password |
<username> |
Das folgende Beispiel zeigt das Ändern des Kennworts durch den Administratorbenutzer . Das neue Kennwort wird beim Eingeben nicht auf dem Bildschirm angezeigt, stellen Sie sicher, dass Sie schreiben, um eine Notiz davon zu erstellen, und stellen Sie sicher, dass es korrekt eingegeben wird, wenn Sie aufgefordert werden, das Kennwort erneut einzugeben.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Netzwerkkonfiguration
Ändern der Netzwerkkonfiguration oder erneutes Zuweisen von Netzwerkschnittstellenrollen
Verwenden Sie den folgenden Befehl, um den Assistenten zur Konfiguration der OT-Überwachungssoftware erneut auszuführen, mit dem Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:
- Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
- Konfigurieren von Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
- Zuweisen eines Sicherungsverzeichnisses
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network reconfigure |
Keine Attribute |
cyberx | python3 -m cyberx.config.configure |
Keine Attribute |
Beispiel: Mit dem Administratorbenutzer :
shell> network reconfigure
Der Konfigurations-Assistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.
Überprüfen und Anzeigen der Netzwerkschnittstellenkonfiguration
Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu überprüfen und anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network validate |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Überprüfen der Netzwerkkonnektivität über den OT-Sensor
Verwenden Sie den folgenden Befehl, um eine Pingnachricht vom OT-Sensor zu senden.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ping <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | ping <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-Netzwerkhosts, auf den über den Verwaltungsport Ihres OT-Sensors zugegriffen werden kann.
Ermitteln eines physischen Ports mithilfe blinkender Schnittstellenleuchten
Verwenden Sie den folgenden Befehl, um nach einer bestimmten physischen Schnittstelle zu suchen, indem Sie ein Blinken der Schnittstellenleuchten verursachen.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network blink <INT> |
Keine Attribute |
In diesem Befehl ist <INT>
ein physischer Ethernet-Port auf der Appliance.
Das folgende Beispiel zeigt den Administratorbenutzer , der die Eth0-Schnittstelle blinkt:
shell> network blink eth0
Blinking interface for 20 seconds ...
Auflisten verbundener physischer Schnittstellen
Verwenden Sie den folgenden Befehl, um die verbundenen physischen Schnittstellen auf Ihrem OT-Sensor auflisten.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network list |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | ifconfig |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filter für die Datenverkehrserfassung
Um Warnungsermüdung zu reduzieren und Ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle bei Defender for IoT eingeht. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf Hardwareebene blockieren und so sowohl die Leistung der Appliance als auch die Ressourcennutzung optimieren.
Verwenden Sie Einschluss- und/oder Ausschlusslisten, um Erfassungsfilter für Ihre OT-Netzwerksensoren zu erstellen und konfigurieren. Stellen Sie sicher, dass Sie den zu überwachenden Datenverkehr nicht blockieren.
Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender for IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender for IoT-Komponenten konfigurieren:
horizon
: Erfasst DPI-Daten (Deep Packet Inspection, eingehende Paketuntersuchung)collector
: Erfasst PCAP-Datentraffic-monitor
: Erfasst Kommunikationsstatistiken
Hinweis
Erfassungsfilter gelten nicht für Defender for IoT-Schadsoftwarewarnungen, die für den gesamten erkannten Netzwerkdatenverkehr ausgelöst werden.
Der Befehl capture filter hat einen Grenzwert für die Zeichenlänge, der sich nach der Komplexität der Definition des Erfassungsfilters und den verfügbaren Fähigkeiten der Netzwerkkarte richtet. Wenn der angeforderte Filterbefehl fehlschlägt, versuchen Sie, Subnetze in größere Bereiche zu gruppieren und einen kürzeren Aufnahmefilterbefehl zu verwenden.
Erstellen eines einfachen Filters für alle Komponenten
Die zum Konfigurieren eines einfachen Erfassungsfilters verwendete Methode unterscheidet sich je nach Benutzer, der den Befehl ausführt:
- Benutzer cyberx: Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um den Erfassungsfilter zu konfigurieren.
- Administratorbenutzer : Führen Sie den angegebenen Befehl aus, und geben Sie dann Werte ein, wie sie von der CLI aufgefordert werden, und bearbeiten Sie Ihre Listen in einem Nano-Editor, und schließen Sie sie aus.
Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network capture-filter |
Keine Attribute. |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Unterstützte Attribute für den Benutzer cyberx sind wie folgt definiert:
attribute | BESCHREIBUNG |
---|---|
-h , --help |
Zeigt die Hilfemeldung an; dann wird der Vorgang beendet. |
-i <INCLUDE> , --include <INCLUDE> |
Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie einschließen möchten, wobei <INCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei. |
-x EXCLUDE , --exclude EXCLUDE |
Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie ausschließen möchten, wobei <EXCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_TCP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_UDP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_TCP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_UDP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Schließt VLAN-Datenverkehr anhand der angegebenen VLAN-IDs ein. <INCLUDE_VLAN_IDS> definiert die VLAN-IDs, die Sie einschließen möchten. Trennen Sie mehrere VLAN-IDs durch Komma ohne Leerzeichen. |
-p <PROGRAM> , --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten. Verwenden Sie all für einfache Anwendungsfälle, um einen einzelnen Erfassungsfilter für alle Komponenten zu erstellen. Erstellen Sie für erweiterte Anwendungsfälle separate Erfassungsfilter für die einzelnen Komponenten. Weitere Informationen finden Sie unter Erstellen eines erweiterten Filters für bestimmte Komponenten. |
-m <MODE> , --mode <MODE> |
Definiert einen Einschlusslistenmodus und ist nur relevant, wenn eine Einschlussliste verwendet wird. Verwenden Sie einen der folgenden Werte: - internal : Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel - all-connected : Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten. Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B. Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten. |
Beispiel: Einschluss- oder Ausschlussdatei
Eine Einschluss- oder Ausschlussdatei .txt kann beispielsweise die folgenden Einträge beinhalten:
192.168.50.10
172.20.248.1
Erstellen eines einfachen Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen einfachen Erfassungsfilter als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Antworten Sie wie folgt auf die angezeigten Eingabeaufforderungen:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Wählen Sie
Y
aus, um eine neue Einschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie in den überwachten Datenverkehr einschließen möchten. Jeder andere Datenverkehr, der nicht in der Einschlussdatei aufgeführt ist, wird nicht in Defender for IoT erfasst.Die Einschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Einschlussdatei wie folgt Geräte, Kanäle und Subnetze:
type Beschreibung Beispiel Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1
schließt den gesamten Datenverkehr für dieses Gerät ein.Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2
schließt den gesamten Datenverkehr für diesen Kanal ein.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1
schließt den gesamten Datenverkehr für dieses Subnetz ein.Listen Sie mehrere Argumente in separaten Zeilen auf.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Wählen Sie
Y
aus, um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie aus dem überwachten Datenverkehr ausschließen möchten. Jeder andere Datenverkehr, der nicht in der Ausschlussdatei aufgeführt ist, wird in Defender for IoT erfasst.Die Ausschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Ausschlussdatei wie folgt Geräte, Kanäle und Subnetze:
type Beschreibung Beispiel Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1
schließt den gesamten Datenverkehr für dieses Gerät aus.Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2
schließt den gesamten Datenverkehr zwischen diesen Geräten aus.Kanal nach Port Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte sowie den Datenverkehrsport. 1.1.1.1,2.2.2.2,443
schließt den gesamten Datenverkehr zwischen diesen Geräten und unter Verwendung des angegebenen Ports aus.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1
schließt den gesamten Datenverkehr für dieses Subnetz aus.Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2
schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.Listen Sie mehrere Argumente in separaten Zeilen auf.
Antworten Sie auf die folgenden Aufforderungen, um TCP- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Komma, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Geben Sie mehrere Ports beispielsweise wie folgt an:
502,443
.In which component do you wish to apply this capture filter?
Geben Sie
all
für einen einfachen Erfassungsfilter ein. Erstellen Sie für erweiterte Anwendungsfälle separat Erfassungsfilter für die einzelnen Defender for IoT-Komponenten.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Mit dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Gültigkeitsbereich befindet. Legen Sie fest, ob Sie Datenverkehr sammeln möchten, wenn sich beide Endpunkte im Gültigkeitsbereich befinden oder wenn sich nur einer davon im angegebenen Subnetz befindet. Unterstützte Werte sind:
internal
: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Zielall-connected
: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.
Wenn Sie beispielsweise den Modus
internal
für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
Wenn Sie den Modusall-connected
verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.Der Standardmodus ist
internal
. Um den Modusall-connected
zu verwenden, wählen SieY
an der Eingabeaufforderung aus, und geben Sie dannall-connected
ein.
Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, die einen Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x
und Port 9000:
erstellen.
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Erstellen eines erweiterten Filters für bestimmte Komponenten
Beim Konfigurieren von erweiterten Erfassungsfiltern für bestimmte Komponenten können Sie Ihre anfänglichen Ein- und Ausschlussdateien als Basis- oder Vorlagenerfassungsfilter verwenden. Konfigurieren Sie dann zusätzlich zum Basisfilter ggf. weitere Filter für die einzelnen Komponenten.
Um einen Erfassungsfilter für die einzelnen Komponente zu erstellen, müssen Sie den gesamten Prozess für die einzelnen Komponenten wiederholen.
Hinweis
Wenn Sie verschiedene Erfassungsfilter für verschiedene Komponenten erstellt haben, wird die Modusauswahl für alle Komponenten verwendet. Das Definieren des Erfassungsfilters für eine Komponente als internal
und des Erfassungsfilters für eine andere Komponente als all-connected
wird nicht unterstützt.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network capture-filter |
Keine Attribute. |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Die folgenden zusätzlichen Attribute werden für den Benutzer cyberx verwendet, um Erfassungsfilter für die einzelnen Komponenten separat zu erstellen:
attribute | BESCHREIBUNG |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten, wobei <PROGRAM> die folgenden unterstützten Werte hat: - traffic-monitor - collector - horizon - all : Erstellt einen einzelnen Erfassungsfilter für alle Komponenten. Weitere Informationen finden Sie unter Erstellen eines einfachen Filters für alle Komponenten. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Definiert einen Basiserfassungsfilter für die Komponente horizon . Dabei ist <BASE_HORIZON> der Filter, den Sie verwenden möchten. Standardwert = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definiert einen Basiserfassungsfilter für die Komponente traffic-monitor . Standardwert = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Definiert einen Basiserfassungsfilter für die Komponente collector . Standardwert = "" |
Andere Attributwerte weisen die gleichen Beschreibungen auf wie im zuvor beschriebenen einfachen Anwendungsfall.
Erstellen eines erweiterten Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen Aufnahmefilter für jede Komponente separat als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Die meisten Eingabeaufforderungen sind mit denen für den einfachen Anwendungsfall identisch. Reagieren Sie auf die folgenden zusätzlichen Eingabeaufforderungen wie folgt:
In which component do you wish to apply this capture filter?
Geben Sie je nach der zu filternden Komponente einen der folgenden Werte ein:
horizon
traffic-monitor
collector
Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Diese Option verwendet den Erfassungsfilter, den Sie in den vorherigen Schritten als Basis oder Vorlage konfiguriert haben, und Sie können zusätzlich zur Basis weitere Konfigurationen hinzufügen.
Wenn Sie beispielsweise im vorherigen Schritt das Konfigurieren eines Erfassungsfilters für die Komponente
collector
ausgewählt haben, wird folgende Eingabeaufforderung angezeigt:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Geben Sie
Y
ein, um die Vorlage für die angegebene Komponente anzupassen, oderN
, um den zuvor konfigurierten Erfassungsfilter unverändert zu verwenden.
Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im einfachen Anwendungsfall fort.
Auflisten der aktuellen Erfassungsfilter für bestimmte Komponenten
Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
Keine Attribute |
Mit diesen Befehlen werden die folgenden Dateien geöffnet, in denen die Erfassungsfilter aufgelistet werden, die für die einzelnen Komponenten konfiguriert sind:
Name | Datei | Eigenschaft |
---|---|---|
horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
Sammlung | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Beispiel: mit dem Administratorbenutzer, mit einem für die Sammlungskomponente definierten Aufnahmefilter, der Subnetz 192.168.x.x und Port 9000 ausschließt:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Zurücksetzen aller Erfassungsfilter
Verwenden Sie den folgenden Befehl, um Ihren Sensor auf die Standarderfassungskonfiguration mit dem Benutzer cyberx zurückzusetzen und alle Erfassungsfilter zu entfernen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter -p all -m all-connected |
Keine Attribute |
Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den vorherigen Befehl erneut mit neuen Attributwerten aus.
Um alle Aufnahmefilter mithilfe des Administratorbenutzers zurückzusetzen, führen Sie den früheren Befehl erneut aus, und reagieren Sie auf N
alle Eingabeaufforderungen , um alle Aufnahmefilter zurückzusetzen.
Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#