Condividi tramite


Informazioni di riferimento sul comando dell'interfaccia della riga di comando dai sensori di rete OT

Questo articolo elenca i comandi dell'interfaccia della riga di comando disponibili dai sensori di rete di Defender per IoT OT.

Attenzione

Per la configurazione del cliente sono supportati solo i parametri di configurazione documentati nel sensore di rete OT e nella console di gestione locale. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare un comportamento imprevisto ed errori di sistema.

La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.

Prerequisiti

Prima di poter eseguire uno dei comandi dell'interfaccia della riga di comando seguenti, è necessario accedere all'interfaccia della riga di comando nel sensore di rete OT come utente con privilegi.

Anche se questo articolo elenca la sintassi dei comandi per ogni utente, è consigliabile usare l'utente amministratore per tutti i comandi dell'interfaccia della riga di comando in cui è supportato l'utente amministratore .

Per altre informazioni, vedere Accedere all'interfaccia della riga di comando e all'accesso utente con privilegi per il monitoraggio OT.

Manutenzione dell'appliance

Controllare l'integrità dei servizi di monitoraggio OT

Usare i comandi seguenti per verificare che l'applicazione Defender per IoT nel sensore OT funzioni correttamente, inclusi i processi di analisi del traffico e della console Web.

I controlli di integrità sono disponibili anche dalla console del sensore OT. Per altre informazioni, vedere Risolvere i problemi del sensore.

Utente Comando Sintassi completa dei comandi
admin system sanity Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-sanity Nessun attributo

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Riavviare un'appliance

Usare i comandi seguenti per riavviare l'appliance del sensore OT.

Utente Comando Sintassi completa dei comandi
admin system reboot Nessun attributo
cyberx_host o amministratore con accesso radice sudo reboot Nessun attributo

Ad esempio, per l'utente amministratore :

shell> system reboot

Arrestare un'appliance

Usare i comandi seguenti per arrestare l'appliance del sensore OT.

Utente Comando Sintassi completa dei comandi
admin system shutdown Nessun attributo
cyberx_host o amministratore con accesso radice sudo shutdown -r now Nessun attributo

Ad esempio, per l'utente amministratore :

shell> system shutdown

Mostra versione software installata

Usare i comandi seguenti per elencare la versione del software Defender per IoT installata nel sensore OT.

Utente Comando Sintassi completa dei comandi
admin system version Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-version Nessun attributo

Ad esempio, per l'utente amministratore :

shell> system version
Version: 22.2.5.9-r-2121448

Mostra data/ora di sistema corrente

Usare i comandi seguenti per visualizzare la data e l'ora di sistema correnti nel sensore di rete OT, in formato GMT.

Utente Comando Sintassi completa dei comandi
admin date Nessun attributo
cyberx o amministratore con accesso radice date Nessun attributo
cyberx_host o amministratore con accesso radice date Nessun attributo

Ad esempio, per l'utente amministratore :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Attivare la sincronizzazione dell'ora NTP

Usare i comandi seguenti per attivare la sincronizzazione per l'ora dell'appliance con un server NTP.

Per usare questi comandi, assicurarsi che:

  • Il server NTP può essere raggiunto dalla porta di gestione dell'appliance
  • Si usa lo stesso server NTP per sincronizzare tutte le appliance del sensore e la console di gestione locale
Utente Comando Sintassi completa dei comandi
admin ntp enable <IP address> Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-ntp-enable <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.

Ad esempio, per l'utente amministratore :

shell> ntp enable 129.6.15.28
shell>

Disattivare la sincronizzazione dell'ora NTP

Usare i comandi seguenti per disattivare la sincronizzazione per l'ora dell'appliance con un server NTP.

Utente Comando Sintassi completa dei comandi
admin ntp disable <IP address> Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-ntp-disable <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.

Ad esempio, per l'utente amministratore :

shell> ntp disable 129.6.15.28
shell>

Backup e ripristino

Le sezioni seguenti descrivono i comandi dell'interfaccia della riga di comando supportati per il backup e il ripristino di uno snapshot di sistema del sensore di rete OT.

I file di backup includono uno snapshot completo dello stato del sensore, incluse le impostazioni di configurazione, i valori di base, i dati di inventario e i log.

Attenzione

Non interrompere un'operazione di backup o ripristino del sistema perché ciò potrebbe causare l'inutilizzabilità del sistema.

Avviare un backup immediato e non pianificato

Usare il comando seguente per avviare un backup immediato e non pianificato dei dati nel sensore OT. Per altre informazioni, vedere Configurare i file di backup e ripristino.

Attenzione

Assicurarsi di non arrestare o spegnere l'appliance durante il backup dei dati.

Utente Comando Sintassi completa dei comandi
admin system backup create Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-backup Nessun attributo

Ad esempio, per l'utente amministratore :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Elencare i file di backup correnti

Usare i comandi seguenti per elencare i file di backup attualmente archiviati nel sensore di rete OT.

Utente Comando Sintassi completa dei comandi
admin system backup list Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-backup-list Nessun attributo

Ad esempio, per l'utente amministratore :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Ripristinare i dati dal backup più recente

Usare il comando seguente per ripristinare i dati nel sensore di rete OT usando il file di backup più recente. Quando richiesto, confermare che si vuole continuare.

Attenzione

Assicurarsi di non arrestare o spegnere l'appliance durante il ripristino dei dati.

Utente Comando Sintassi completa dei comandi
admin system restore Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-restore -f <filename>

Ad esempio, per l'utente amministratore :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Visualizzare l'allocazione dello spazio su disco di backup

Il comando seguente elenca l'allocazione dello spazio su disco di backup corrente, inclusi i dettagli seguenti:

  • Percorso della cartella di backup
  • Dimensioni della cartella di backup
  • Limitazioni delle cartelle di backup
  • Ora ultima operazione di backup
  • Spazio libero su disco disponibile per i backup
Utente Comando Sintassi completa dei comandi
admin cyberx-backup-memory-check Nessun attributo

Ad esempio, per l'utente amministratore :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Gestione utenti locali

Modificare le password utenti locali

Usare i comandi seguenti per modificare le password per gli utenti locali nel sensore OT. La nuova password deve avere almeno 8 caratteri, contenere caratteri minuscoli e maiuscoli, caratteri alfabetici, numeri e simboli.

Quando si modifica la password per l'amministratore, la password viene modificata sia per SSH che per l'accesso Web.

Utente Comando Sintassi completa dei comandi
admin system password <username>

Nell'esempio seguente viene illustrata la modifica della password da parte dell'utente amministratore . La nuova password non viene visualizzata sullo schermo quando la si digita, assicurarsi di scrivere per annotarla e assicurarsi che venga digitata correttamente quando viene richiesto di immettere nuovamente la password.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Configurazione di rete

Modificare la configurazione di rete o riassegnare i ruoli dell'interfaccia di rete

Usare il comando seguente per eseguire di nuovo la configurazione guidata del software di monitoraggio OT, che consente di definire o riconfigurare le impostazioni del sensore OT seguenti:

  • Abilitare/disabilitare le interfacce di monitoraggio SPAN
  • Configurare le impostazioni di rete per l'interfaccia di gestione (IP, subnet, gateway predefinito, DNS)
  • Assegnazione di una directory di backup
Utente Comando Sintassi completa dei comandi
admin network reconfigure Nessun attributo
cyberx python3 -m cyberx.config.configure Nessun attributo

Ad esempio, con l'utente amministratore :

shell> network reconfigure

La configurazione guidata viene avviata automaticamente dopo l'esecuzione di questo comando. Per altre informazioni, vedere Installare il software di monitoraggio OT.

Convalidare e visualizzare la configurazione dell'interfaccia di rete

Usare i comandi seguenti per convalidare e visualizzare la configurazione dell'interfaccia di rete corrente nel sensore OT.

Utente Comando Sintassi completa dei comandi
admin network validate Nessun attributo

Ad esempio, per l'utente amministratore :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Controllare la connettività di rete dal sensore OT

Usare il comando seguente per inviare un messaggio ping dal sensore OT.

Utente Comando Sintassi completa dei comandi
admin ping <IP address> Nessun attributo
cyberx o amministratore con accesso radice ping <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un host di rete IPv4 valido accessibile dalla porta di gestione sul sensore OT.

Individuare una porta fisica facendo lampeggiare le luci dell'interfaccia

Usare il comando seguente per individuare un'interfaccia fisica specifica causando il lampeggiare delle luci dell'interfaccia.

Utente Comando Sintassi completa dei comandi
admin network blink <INT> Nessun attributo

In questo comando è <INT> una porta Ethernet fisica nell'appliance.

L'esempio seguente mostra l'utente amministratore che lampeggia l'interfaccia eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Elencare le interfacce fisiche connesse

Usare il comando seguente per elencare le interfacce fisiche connesse nel sensore OT.

Utente Comando Sintassi completa dei comandi
admin network list Nessun attributo
cyberx o amministratore con accesso radice ifconfig Nessun attributo

Ad esempio, per l'utente amministratore :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtri di acquisizione del traffico

Per ridurre il carico di avvisi e concentrare il monitoraggio della rete sul traffico ad alta priorità, è possibile decidere di filtrare il traffico che trasmette in Defender per IoT all'origine. I filtri di acquisizione consentono di bloccare il traffico a larghezza di banda elevata a livello hardware, ottimizzando le prestazioni dell'appliance e l'utilizzo delle risorse.

Usa elenchi di inclusione/esclusione per creare e configurare filtri di acquisizione nei sensori di rete OT, assicurandoti di non bloccare il traffico che vuoi monitorare.

Il caso d'uso di base per i filtri di acquisizione usa lo stesso filtro per tutti i componenti di Defender per IoT. Tuttavia, per i casi d'uso avanzati, è possibile configurare filtri separati per ognuno dei componenti di Defender per IoT seguenti:

  • horizon: acquisisce i dati di ispezione approfondita dei pacchetti (DPI)
  • collector: acquisisce i dati PCAP
  • traffic-monitor: acquisisce le statistiche di comunicazione

Nota

  • I filtri di acquisizione non si applicano agli avvisi malware di Defender per IoT, che vengono attivati in tutto il traffico di rete rilevato.

  • Il comando di filtro di acquisizione ha un limite di lunghezza dei caratteri basato sulla complessità della definizione del filtro di acquisizione e sulle funzionalità disponibili della scheda di interfaccia di rete. Se il filtro richiesto ha esito negativo, provare a raggruppare le subnet in ambiti più grandi e a usare un comando di filtro di acquisizione più breve.

Creare un filtro di base per tutti i componenti

Il metodo usato per configurare un filtro di acquisizione di base varia a seconda dell'utente che esegue il comando:

  • utente cyberx : eseguire il comando specificato con attributi specifici per configurare il filtro di acquisizione.
  • utente amministratore : eseguire il comando specificato e quindi immettere i valori richiesti dall'interfaccia della riga di comando, modificando gli elenchi di inclusione ed esclusione in un nano editor.

Usare i comandi seguenti per creare un nuovo filtro di acquisizione:

Utente Comando Sintassi completa dei comandi
admin network capture-filter Nessun attributo.
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Gli attributi supportati per l'utente cyberx sono definiti come segue:

Attributo Descrizione
-h, --help Visualizza il messaggio della Guida ed esce.
-i <INCLUDE>, --include <INCLUDE> Percorso di un file che contiene i dispositivi e le subnet mask da includere, dove <INCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file.
-x EXCLUDE, --exclude EXCLUDE Percorso di un file che contiene i dispositivi e le subnet mask da escludere, dove <EXCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Esclude il traffico TCP su qualsiasi porta specificata, in cui <EXCLUDE_TCP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Esclude il traffico UDP su qualsiasi porta specificata, in cui <EXCLUDE_UDP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Include il traffico TCP su qualsiasi porta specificata, in cui <INCLUDE_TCP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Include il traffico UDP su qualsiasi porta specificata, in cui <INCLUDE_UDP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Include il traffico VLAN in base agli ID VLAN specificati, <INCLUDE_VLAN_IDS> definisce l'ID VLAN o gli ID da includere. Delimitare più ID VLAN in base a virgole, senza spazi.
-p <PROGRAM>, --program <PROGRAM> Definisce il componente per il quale si vuole configurare un filtro di acquisizione. Usare all per i casi d'uso di base per creare un singolo filtro di acquisizione per tutti i componenti.

Per i casi d'uso avanzati, creare filtri di acquisizione separati per ogni componente. Per altre informazioni, vedere Creare un filtro avanzato per componenti specifici.
-m <MODE>, --mode <MODE> Definisce una modalità elenco di inclusione ed è rilevante solo quando viene usato un elenco di inclusione. Usare uno dei valori seguenti:

- internal: include tutte le comunicazioni tra l'origine e la destinazione specificate
- all-connected: include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni.

Ad esempio, per gli endpoint A e B, se si usa la internal modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B.
Tuttavia, se si usa la all-connected modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni.

Esempio di inclusione o esclusione di file

Ad esempio, un file di inclusione o esclusione .txt può includere le voci seguenti:

192.168.50.10
172.20.248.1

Creare un filtro di acquisizione di base usando l'utente amministratore

Se si sta creando un filtro di acquisizione di base come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.

Rispondere alle richieste visualizzate nel modo seguente:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Selezionare questa opzione Y per aprire un nuovo file di inclusione, in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da includere nel traffico monitorato. Qualsiasi altro traffico, non elencato nel file di inclusione, non viene inserito in Defender per IoT.

    Il file di inclusione viene aperto nell'editor di testo Nano . Nel file di inclusione definire dispositivi, canali e subnet come indicato di seguito:

    Tipo Descrizione Esempio
    Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1 include tutto il traffico per questo dispositivo.
    Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2 include tutto il traffico per questo canale.
    Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1 include tutto il traffico per questa subnet.

    Elencare più argomenti in righe separate.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Selezionare questa opzione Y per aprire un nuovo file di esclusione in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da escludere dal traffico monitorato. Qualsiasi altro traffico, non elencato nel file di esclusione, viene inserito in Defender per IoT.

    Il file di esclusione viene aperto nell'editor di testo Nano . Nel file di esclusione definire dispositivi, canali e subnet come indicato di seguito:

    Tipo Descrizione Esempio
    Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1 esclude tutto il traffico per questo dispositivo.
    Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2 esclude tutto il traffico tra questi dispositivi.
    Canale per porta Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione e alla porta del traffico. 1.1.1.1,2.2.2.2,443 esclude tutto il traffico tra questi dispositivi e la porta specificata.
    Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1 esclude tutto il traffico per questa subnet.
    Canale subnet Definire gli indirizzi di rete del canale subnet per le subnet di origine e di destinazione. 1.1.1,2.2.2 esclude tutto il traffico tra queste subnet.

    Elencare più argomenti in righe separate.

  3. Rispondere alle richieste seguenti per definire qualsiasi porta TCP o UDP da includere o escludere. Separare più porte in base alla virgola e premere INVIO per ignorare qualsiasi richiesta specifica.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Ad esempio, immettere più porte come indicato di seguito: 502,443

  4. In which component do you wish to apply this capture filter?

    Immettere all per un filtro di acquisizione di base. Per i casi d'uso avanzati, creare filtri di acquisizione per ogni componente Defender per IoT separatamente.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Questa richiesta consente di configurare il traffico nell'ambito. Definire se si vuole raccogliere il traffico in cui entrambi gli endpoint si trovano nell'ambito o solo uno di essi si trova nella subnet specificata. I valori supportati includono:

    • internal: include tutte le comunicazioni tra l'origine e la destinazione specificate
    • all-connected: include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni.

    Ad esempio, per gli endpoint A e B, se si usa la internal modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B.
    Tuttavia, se si usa la all-connected modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni.

    La modalità predefinita è internal. Per usare la all-connected modalità, selezionare Y al prompt e quindi immettere all-connected.

L'esempio seguente illustra una serie di richieste che creano un filtro di acquisizione per escludere subnet 192.168.x.x e porta 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Creare un filtro avanzato per componenti specifici

Quando si configurano filtri di acquisizione avanzati per componenti specifici, è possibile usare l'inclusione iniziale ed escludere i file come base o modello, il filtro di acquisizione. Configurare quindi filtri aggiuntivi per ogni componente sulla base in base in base.

Per creare un filtro di acquisizione per ogni componente, assicurarsi di ripetere l'intero processo per ogni componente.

Nota

Se sono stati creati filtri di acquisizione diversi per componenti diversi, la selezione della modalità viene usata per tutti i componenti. Definizione del filtro di acquisizione per un componente come internal e filtro di acquisizione per un altro componente all-connected non supportato.

Utente Comando Sintassi completa dei comandi
admin network capture-filter Nessun attributo.
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Gli attributi aggiuntivi seguenti vengono usati per l'utente cyberx per creare filtri di acquisizione per ogni componente separatamente:

Attributo Descrizione
-p <PROGRAM>, --program <PROGRAM> Definisce il componente per il quale si vuole configurare un filtro di acquisizione, in cui <PROGRAM> sono supportati i valori seguenti:
- traffic-monitor
- collector
- horizon
- all: crea un singolo filtro di acquisizione per tutti i componenti. Per altre informazioni, vedere Creare un filtro di base per tutti i componenti.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definisce un filtro di acquisizione di base per il horizon componente, dove <BASE_HORIZON> è il filtro da usare.
Valore predefinito = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definisce un filtro di acquisizione di base per il traffic-monitor componente.
Valore predefinito = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definisce un filtro di acquisizione di base per il collector componente.
Valore predefinito = ""

Altri valori di attributo hanno le stesse descrizioni del caso d'uso di base, descritto in precedenza.

Creare un filtro di acquisizione avanzata usando l'utente amministratore

Se si sta creando un filtro di acquisizione per ogni componente separatamente come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.

La maggior parte delle richieste è identica al caso d'uso di base. Rispondere alle seguenti richieste aggiuntive come indicato di seguito:

  1. In which component do you wish to apply this capture filter?

    Immettere uno dei valori seguenti, a seconda del componente da filtrare:

    • horizon
    • traffic-monitor
    • collector
  2. Viene richiesto di configurare un filtro di acquisizione di base personalizzato per il componente selezionato. Questa opzione usa il filtro di acquisizione configurato nei passaggi precedenti come base o modello, in cui è possibile aggiungere configurazioni aggiuntive sopra la base.

    Ad esempio, se si è scelto di configurare un filtro di acquisizione per il collector componente nel passaggio precedente, viene richiesto di: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Immettere Y per personalizzare il modello per il componente specificato o N per usare il filtro di acquisizione configurato in precedenza così come è.

Continuare con le richieste rimanenti, come nel caso d'uso di base.

Elencare i filtri di acquisizione correnti per componenti specifici

Usare i comandi seguenti per visualizzare i dettagli sui filtri di acquisizione correnti configurati per il sensore.

Utente Comando Sintassi completa dei comandi
admin Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente:

- orizzonte: edit-config horizon_parser/horizon.properties
- monitoraggio del traffico: edit-config traffic_monitor/traffic-monitor
- agente di raccolta: edit-config dumpark.properties
Nessun attributo
cyberx o amministratore con accesso radice Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente:

-orizzonte: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitoraggio del traffico: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- agente di raccolta: nano /var/cyberx/properties/dumpark.properties
Nessun attributo

Questi comandi aprono i file seguenti, che elencano i filtri di acquisizione configurati per ogni componente:

Nome file Proprietà
orizzonte /var/cyberx/properties/horizon.properties horizon.processor.filter
monitoraggio del traffico /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
collettore /var/cyberx/properties/dumpark.properties dumpark.network.filter

Ad esempio, con l'utente amministratore, con un filtro di acquisizione definito per il componente dell'agente di raccolta che esclude la subnet 192.168.x.x e la porta 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Reimpostare tutti i filtri di acquisizione

Usare il comando seguente per reimpostare il sensore alla configurazione di acquisizione predefinita con l'utente cyberx , rimuovendo tutti i filtri di acquisizione.

Utente Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter -p all -m all-connected Nessun attributo

Se si desidera modificare i filtri di acquisizione esistenti, eseguire di nuovo il comando precedente , con nuovi valori di attributo.

Per reimpostare tutti i filtri di acquisizione usando l'utente amministratore, eseguire di nuovo il comando precedente e rispondere N a tutti i prompt per reimpostare tutti i filtri di acquisizione.

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Passaggi successivi