Partager via


Référence des commandes CLI à partir de capteurs réseau OT

Cet article répertorie les commandes CLI disponibles à partir des capteurs réseau OT Defender pour IoT.

Attention

Seuls les paramètres de configuration documentés sur le capteur réseau OT et la console de gestion locale sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ni les propriétés système, car ces modifications peuvent entraîner un comportement inattendu et des défaillances système.

La suppression de packages de votre capteur sans l’approbation de Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité correcte du capteur.

Prérequis

Avant de pouvoir exécuter l’une des commandes CLI suivantes, vous devez accéder à l’interface CLI sur votre capteur réseau OT en tant qu’utilisateur privilégié.

Bien que cet article répertorie la syntaxe de commande pour chaque utilisateur, nous vous recommandons d’utiliser l’utilisateur administrateur pour toutes les commandes CLI où l’utilisateur administrateur est pris en charge.

Pour plus d’informations, consultez Accéder à l’interface CLI et Accès utilisateur privilégié pour la surveillance OT.

Maintenance de l’appliance

Vérification de l’intégrité des services de surveillance OT

Utilisez les commandes suivantes pour vérifier que l'application Defender pour IoT sur le capteur OT fonctionne correctement, y compris la console Web et les processus d'analyse du trafic.

Des contrôles d’intégrité sont également disponibles depuis la console du capteur OT. Pour plus d’informations, consultez Dépanner le capteur.

Utilisateur Commande Syntaxe de la commande complète
admin system sanity Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-sanity Aucun attribut

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Redémarrer une appliance

Utilisez les commandes suivantes pour redémarrer l’appliance de capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system reboot Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine sudo reboot Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> system reboot

Arrêt d’une appliance

Utilisez les commandes suivantes pour arrêter l’appliance de capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system shutdown Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine sudo shutdown -r now Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> system shutdown

Afficher la version du logiciel installée

Utilisez les commandes suivantes pour répertorier la version du logiciel Defender pour IoT installée sur votre capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system version Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-version Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> system version
Version: 22.2.5.9-r-2121448

Affichage de la date/heure système actuelle

Utilisez les commandes suivantes pour afficher la date et l’heure système actuelles sur votre capteur réseau OT, au format GMT.

Utilisateur Commande Syntaxe de la commande complète
admin date Aucun attribut
cyberx ou administrateur disposant d’un accès racine date Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine date Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Activation de la synchronisation de l’heure NTP

Utilisez les commandes suivantes afin d’activer la synchronisation pour l’heure de l’appliance avec un serveur NTP.

Pour utiliser ces commandes, vérifiez que :

  • Le serveur NTP est accessible à partir du port de gestion de l’appliance
  • Vous utilisez le même serveur NTP pour synchroniser toutes les appliances de capteur et la console de gestion locale
Utilisateur Commande Syntaxe de la commande complète
admin ntp enable <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-ntp-enable <IP address> Aucun attribut

Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.

Par exemple, pour l’utilisateur administrateur :

shell> ntp enable 129.6.15.28
shell>

Désactivation de la synchronisation de l’heure NTP

Utilisez les commandes suivantes afin de désactiver la synchronisation pour l’heure de l’appliance avec un serveur NTP.

Utilisateur Commande Syntaxe de la commande complète
admin ntp disable <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-ntp-disable <IP address> Aucun attribut

Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.

Par exemple, pour l’utilisateur administrateur :

shell> ntp disable 129.6.15.28
shell>

Sauvegarde et restauration

Les sections suivantes décrivent les commandes CLI prises en charge pour la sauvegarde et la restauration d’un instantané système de votre capteur réseau OT.

Les fichiers de sauvegarde incluent un instantané complet de l’état du capteur, y compris les paramètres de configuration, les valeurs de base, les données d’inventaire et les journaux.

Attention

N’interrompez pas une opération de sauvegarde ou de restauration du système, car cela risque de rendre le système inutilisable.

Lancement d’une sauvegarde non planifiée immédiate

Utilisez la commande suivante pour démarrer une sauvegarde immédiate et non planifiée des données sur votre capteur OT. Pour plus d’informations, consultez Configurer des fichiers de sauvegarde et de restauration.

Attention

Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la sauvegarde des données.

Utilisateur Commande Syntaxe de la commande complète
admin system backup create Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-backup Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Liste des fichiers de sauvegarde actuels

Utilisez les commandes suivantes pour répertorier les fichiers de sauvegarde actuellement stockés sur votre capteur réseau OT.

Utilisateur Commande Syntaxe de la commande complète
admin system backup list Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-backup-list Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Restauration de données à partir de la dernière sauvegarde

Utilisez la commande suivante pour restaurer des données sur votre capteur réseau OT à l’aide du fichier de sauvegarde le plus récent. Lorsque vous y êtes invité, confirmez que vous voulez continuer.

Attention

Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la restauration des données.

Utilisateur Commande Syntaxe de la commande complète
admin system restore Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-restore -f <filename>

Par exemple, pour l’utilisateur administrateur :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Affichage de l’allocation d’espace disque de sauvegarde

La commande suivante répertorie l’allocation actuelle d’espace disque de sauvegarde, y compris les détails suivants :

  • Emplacement du dossier de sauvegarde
  • Taille du dossier de sauvegarde
  • Limitations du dossier de sauvegarde
  • Heure de la dernière opération de sauvegarde
  • Espace disque disponible pour les sauvegardes
Utilisateur Commande Syntaxe de la commande complète
admin cyberx-backup-memory-check Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Gestion des utilisateurs locaux

Modification des mots de passe des utilisateurs locaux

Utilisez les commandes suivantes pour modifier les mots de passe des utilisateurs locaux sur votre capteur OT. Le nouveau mot de passe doit comporter au moins 8 caractères, contenir des minuscules et des majuscules, des caractères alphabétiques, des nombres et des symboles.

Lorsque vous modifiez le mot de passe de l’administrateur, le mot de passe est modifié pour l’accès SSH et web.

Utilisateur Commande Syntaxe de la commande complète
admin system password <username>

L’exemple suivant illustre la modification du mot de passe par l’utilisateur administrateur . Le nouveau mot de passe n’apparaît pas à l’écran lorsque vous le tapez, veillez à écrire pour prendre note de celui-ci et assurez-vous qu’il est correctement tapé lorsqu’il est demandé de réentérer le mot de passe.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Configuration réseau

Modification de la configuration réseau ou réaffectation des rôles d’interface réseau

Utilisez la commande suivante pour réexécuter l’assistant de configuration du logiciel de surveillance OT, qui vous aide à définir ou à reconfigurer les paramètres de capteur OT suivants :

  • Activer/désactiver les interfaces de surveillance SPAN
  • Configurer les paramètres réseau pour l’interface de gestion (IP, sous-réseau, passerelle par défaut, DNS)
  • Affectation d’un répertoire de sauvegarde
Utilisateur Commande Syntaxe de la commande complète
admin network reconfigure Aucun attribut
cyberx python3 -m cyberx.config.configure Aucun attribut

Par exemple, avec l’utilisateur administrateur :

shell> network reconfigure

L’assistant de configuration démarre automatiquement après l’exécution de cette commande. Pour plus d’informations, consultez Installer le logiciel de surveillance OT.

Validation et affichage de la configuration de l’interface réseau

Utilisez les commandes suivantes pour valider et afficher la configuration actuelle de l’interface réseau sur le capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin network validate Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Vérification de la connectivité réseau à partir du capteur OT

Utilisez la commande suivante pour envoyer un message ping à partir du capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin ping <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine ping <IP address> Aucun attribut

Dans ces commandes, <IP address> représente l’adresse IP d’un hôte réseau IPv4 valide accessible à partir du port de gestion sur votre capteur OT.

Localisation d’un port physique grâce au clignotement des lumières de l’interface

Utilisez la commande suivante pour localiser une interface physique spécifique en faisant clignoter les lumières de l’interface.

Utilisateur Commande Syntaxe de la commande complète
admin network blink <INT> Aucun attribut

Dans cette commande, <INT> est un port Ethernet physique sur l’appliance.

L’exemple suivant montre que l’utilisateur administrateur clignote l’interface eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Liste des interfaces physiques connectées

Utilisez la commande suivante pour répertorier les interfaces physiques connectées sur votre capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin network list Aucun attribut
cyberx ou administrateur disposant d’un accès racine ifconfig Aucun attribut

Par exemple, pour l’utilisateur administrateur :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtres de capture de trafic

Pour réduire la fatigue liée aux alertes et concentrer votre surveillance réseau sur le trafic de priorité élevée, vous pouvez filtrer le trafic transmis vers Defender pour IoT à la source. Les filtres de capture vous permettent de bloquer le trafic à bande passante élevée au niveau de la couche matérielle, ce qui optimise les performances de l’appliance et l’utilisation des ressources.

Utilisez des listes d’inclusion et/ou d’exclusions pour créer et configurer des filtres de capture sur vos capteurs réseau OT, en veillant à ne pas bloquer le trafic que vous souhaitez surveiller.

Le cas d’usage de base des filtres de capture utilise le même filtre pour tous les composants Defender pour IoT. Toutefois, pour les cas d’usage avancés, vous pouvez configurer des filtres distincts pour chacun des composants Defender pour IoT suivants :

  • horizon : capture les données Deep Packet Inspection (DPI)
  • collector : capture les données PCAP
  • traffic-monitor : capture les statistiques de communication

Notes

  • Les filtres de capture ne s’appliquent pas aux alertes de programme malveillant Defender pour IoT, qui sont déclenchées sur tout le trafic réseau détecté.

  • La commande du filtre de capture est limitée en nombre de caractères en fonction de la complexité de la définition du filtre de capture et des fonctionnalités disponibles de la carte d’interface réseau. Si votre commande de filtre demandée échoue, essayez de regrouper des sous-réseaux dans des étendues plus grandes et à l’aide d’une commande de filtre de capture plus courte.

Création d’un filtre de base pour tous les composants

La méthode utilisée pour configurer un filtre de capture de base diffère selon que l’utilisateur exécute la commande :

  • Utilisateur cyberx : exécutez la commande spécifiée avec des attributs spécifiques pour configurer votre filtre de capture.
  • utilisateur administrateur : exécutez la commande spécifiée, puis entrez des valeurs comme invité par l’interface CLI, en modifiant vos listes d’inclusion et d’exclusion dans un éditeur nano.

Utilisez les commandes suivantes pour créer un filtre de capture :

Utilisateur Commande Syntaxe de la commande complète
admin network capture-filter Aucun attribut.
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Les attributs pris en charge pour l’utilisateur cyberx sont définis comme suit :

Attribut Description
-h, --help Affiche le message d’aide et quitte.
-i <INCLUDE>, --include <INCLUDE> Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez inclure, où <INCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion.
-x EXCLUDE, --exclude EXCLUDE Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez exclure, où <EXCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Exclut le trafic TCP sur tous les ports spécifiés, où définit <EXCLUDE_TCP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Exclut le trafic UDP sur tous les ports spécifiés, où définit <EXCLUDE_UDP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Inclut le trafic TCP sur tous les ports spécifiés, où définit <INCLUDE_TCP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Inclut le trafic UDP sur tous les ports spécifiés, où définit <INCLUDE_UDP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Inclut le trafic VLAN par des ID VLAN spécifiés, <INCLUDE_VLAN_IDS> définit le ou les ID VLAN que vous souhaitez inclure. Délimitez plusieurs ID VLAN par des virgules, sans espace.
-p <PROGRAM>, --program <PROGRAM> Définit le composant pour lequel vous souhaitez configurer un filtre de capture. Utilisez all pour les cas d’usage de base, afin de créer un filtre de capture unique pour tous les composants.

Pour les cas d’usage avancés, créez des filtres de capture distincts pour chaque composant. Pour plus d’informations, consultez Création d’un filtre avancé pour des composants spécifiques.
-m <MODE>, --mode <MODE> Définit un mode de liste d’inclusion et ne s’applique que lorsqu’une liste d’inclusion est utilisée. Utilisez l’une des valeurs suivantes :

- internal : inclut toutes les communications entre la source et la destination spécifiées
- all-connected : inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes.

Par exemple, pour les points de terminaison A et B, si vous utilisez le mode internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B.
Toutefois, si vous utilisez le mode all-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes.

Exemple de fichier d’inclusion ou d’exclusion

Par exemple, un fichier d’inclusion ou d’exclusion .txt peut inclure les entrées suivantes :

192.168.50.10
172.20.248.1

Créer un filtre de capture de base à l’aide de l’utilisateur administrateur

Si vous créez un filtre de capture de base en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.

Répondez aux invites affichées comme suit :

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Sélectionnez Y pour ouvrir un nouveau fichier d’inclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez inclure dans le trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’inclusion, n’est pas ingéré dans Defender pour IoT.

    Le fichier d’inclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’inclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :

    Type Description Exemple
    Appareil Définissez un appareil par son adresse IP. 1.1.1.1 inclut tout le trafic pour cet appareil.
    Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2 inclut tout le trafic pour ce canal.
    Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1 inclut tout le trafic pour ce sous-réseau.

    Répertoriez plusieurs arguments dans des lignes distinctes.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Sélectionnez Y pour ouvrir un nouveau fichier d’exclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez exclure du trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’exclusion, est ingéré dans Defender pour IoT.

    Le fichier d’exclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’exclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :

    Type Description Exemple
    Appareil Définissez un appareil par son adresse IP. 1.1.1.1 exclut tout le trafic pour cet appareil.
    Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2 exclut tout le trafic entre ces appareils.
    Canal par port Définissez un canal par les adresses IP de ses appareils source et de destination, ainsi que le port de trafic. 1.1.1.1,2.2.2.2,443 exclut tout le trafic entre ces appareils et l’utilisation du port spécifié.
    Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1 exclut tout le trafic pour ce sous-réseau.
    Canal de sous-réseau Définissez les adresses réseau du canal de sous-réseau pour les sous-réseaux source et de destination. 1.1.1,2.2.2 exclut tout le trafic entre ces sous-réseaux.

    Répertoriez plusieurs arguments dans des lignes distinctes.

  3. Répondez aux invites suivantes pour définir les ports TCP ou UDP à inclure ou à exclure. Séparez plusieurs ports par une virgule, puis appuyez sur ENTRÉE pour ignorer toute invite spécifique.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Par exemple, entrez plusieurs ports comme suit : 502,443

  4. In which component do you wish to apply this capture filter?

    Entrez all pour un filtre de capture de base. Pour les cas d’usage avancés, créez séparément des filtres de capture pour chaque composant Defender pour IoT.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Cette invite vous permet de configurer le trafic dans l’étendue. Indiquez si vous souhaitez collecter le trafic dans lequel les deux points de terminaison figurent dans l’étendue, ou si un seul d’entre eux se trouve dans le sous-réseau spécifié. Les valeurs prises en charge sont :

    • internal : inclut toutes les communications entre la source et la destination spécifiées
    • all-connected : inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes.

    Par exemple, pour les points de terminaison A et B, si vous utilisez le mode internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B.
    Toutefois, si vous utilisez le mode all-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes.

    Le mode par défaut est internal. Pour utiliser le mode all-connected, sélectionnez Y à l’invite, puis entrez all-connected.

L’exemple suivant montre une série d’invites qui crée un filtre de capture pour exclure le sous-réseau 192.168.x.x et le port 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Création d’un filtre avancé pour des composants spécifiques

Lorsque vous configurez des filtres de capture avancés pour des composants spécifiques, vous pouvez utiliser vos fichiers d’inclusion et d’exclusion initiaux comme filtre de capture de base ou modèle. Configurez ensuite des filtres supplémentaires pour chaque composant au-dessus de la base selon vos besoins.

Pour créer un filtre de capture pour chaque composant, veillez à répéter l’ensemble du processus pour chaque composant.

Notes

Si vous avez créé différents filtres de capture pour divers composants, la sélection du mode est utilisée pour tous les composants. La définition du filtre de capture pour un composant comme internal et le filtre de capture pour un autre composant comme all-connected n’est pas prise en charge.

Utilisateur Commande Syntaxe de la commande complète
admin network capture-filter Aucun attribut.
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Les attributs supplémentaires suivants sont utilisés pour que l’utilisateur cyberx crée séparément des filtres de capture pour chaque composant :

Attribut Description
-p <PROGRAM>, --program <PROGRAM> Définit le composant pour lequel vous souhaitez configurer un filtre de capture, où <PROGRAM> a les valeurs prises en charge suivantes :
- traffic-monitor
- collector
- horizon
- all : crée un filtre de capture unique pour tous les composants. Pour plus d’informations, consultez Création d’un filtre de base pour tous les composants.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Définit un filtre de capture de base pour le composant horizon, où <BASE_HORIZON> est le filtre que vous souhaitez utiliser.
Valeur par défaut = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Définit un filtre de capture de base pour le composant traffic-monitor.
Valeur par défaut = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Définit un filtre de capture de base pour le composant collector.
Valeur par défaut = ""

Les autres valeurs d’attribut ont les mêmes descriptions que dans le cas d’usage de base, décrit précédemment.

Créer un filtre de capture avancé à l’aide de l’utilisateur administrateur

Si vous créez un filtre de capture pour chaque composant séparément en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.

La plupart des invites sont identiques au cas d’usage de base. Répondez aux invites supplémentaires comme suit :

  1. In which component do you wish to apply this capture filter?

    Entrez l’une des valeurs suivantes, en fonction du composant à filtrer :

    • horizon
    • traffic-monitor
    • collector
  2. Vous êtes invité à configurer un filtre de capture de base personnalisé pour le composant sélectionné. Cette option utilise le filtre de capture que vous avez configuré aux étapes précédentes en tant que base ou modèle, où vous pouvez ajouter des configurations supplémentaires par-dessus la base.

    Par exemple, si vous avez choisi de configurer un filtre de capture pour le composant collector à l’étape précédente, répondez aux invites de la façon suivante : Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Entrez Y afin de personnaliser le modèle pour le composant spécifié, ou N pour utiliser le filtre de capture que vous avez configuré tel quel.

Continuez avec les invites restantes comme dans le cas d’usage de base.

Liste des filtres de capture actuels pour des composants spécifiques

Utilisez les commandes suivantes pour afficher des détails sur les filtres de capture actuels configurés pour votre capteur.

Utilisateur Commande Syntaxe de la commande complète
admin Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant :

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties
Aucun attribut
cyberx ou administrateur disposant d’un accès racine Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant :

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties
Aucun attribut

Ces commandes ouvrent les fichiers suivants, qui répertorient les filtres de capture configurés pour chaque composant :

Nom Fichier Propriété
horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
collecteur /var/cyberx/properties/dumpark.properties dumpark.network.filter

Par exemple, avec l’utilisateur administrateur , avec un filtre de capture défini pour le composant collecteur qui exclut le sous-réseau 192.168.x.x et le port 9000 :


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Réinitialisation de tous les filtres de capture

Utilisez la commande suivante pour réinitialiser votre capteur à la configuration de capture par défaut avec l’utilisateur cyberx, en supprimant tous les filtres de capture.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter -p all -m all-connected Aucun attribut

Si vous souhaitez modifier les filtres de capture existants, réexécutez la commande précédente, avec de nouvelles valeurs d’attribut.

Pour réinitialiser tous les filtres de capture à l’aide de l’utilisateur administrateur , réexécutez la commande précédente et répondez N à toutes les invites pour réinitialiser tous les filtres de capture.

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Étapes suivantes