Informazioni di riferimento sul comando dell'interfaccia della riga di comando dai sensori di rete OT
Questo articolo elenca i comandi dell'interfaccia della riga di comando disponibili dai sensori di rete di Defender per IoT OT.
Attenzione
Per la configurazione del cliente sono supportati solo i parametri di configurazione documentati nel sensore di rete OT e nella console di gestione locale. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare un comportamento imprevisto ed errori di sistema.
La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.
Prerequisiti
Prima di poter eseguire uno dei comandi dell'interfaccia della riga di comando seguenti, è necessario accedere all'interfaccia della riga di comando nel sensore di rete OT come utente con privilegi.
Anche se questo articolo elenca la sintassi dei comandi per ogni utente, è consigliabile usare l'utente amministratore per tutti i comandi dell'interfaccia della riga di comando in cui è supportato l'utente amministratore .
Per altre informazioni, vedere Accedere all'interfaccia della riga di comando e all'accesso utente con privilegi per il monitoraggio OT.
Manutenzione dell'appliance
Controllare l'integrità dei servizi di monitoraggio OT
Usare i comandi seguenti per verificare che l'applicazione Defender per IoT nel sensore OT funzioni correttamente, inclusi i processi di analisi del traffico e della console Web.
I controlli di integrità sono disponibili anche dalla console del sensore OT. Per altre informazioni, vedere Risolvere i problemi del sensore.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system sanity |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-sanity |
Nessun attributo |
L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Riavviare un'appliance
Usare i comandi seguenti per riavviare l'appliance del sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system reboot |
Nessun attributo |
cyberx_host o amministratore con accesso radice | sudo reboot |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> system reboot
Arrestare un'appliance
Usare i comandi seguenti per arrestare l'appliance del sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system shutdown |
Nessun attributo |
cyberx_host o amministratore con accesso radice | sudo shutdown -r now |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> system shutdown
Mostra versione software installata
Usare i comandi seguenti per elencare la versione del software Defender per IoT installata nel sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system version |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-version |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> system version
Version: 22.2.5.9-r-2121448
Mostra data/ora di sistema corrente
Usare i comandi seguenti per visualizzare la data e l'ora di sistema correnti nel sensore di rete OT, in formato GMT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | date |
Nessun attributo |
cyberx o amministratore con accesso radice | date |
Nessun attributo |
cyberx_host o amministratore con accesso radice | date |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
Attivare la sincronizzazione dell'ora NTP
Usare i comandi seguenti per attivare la sincronizzazione per l'ora dell'appliance con un server NTP.
Per usare questi comandi, assicurarsi che:
- Il server NTP può essere raggiunto dalla porta di gestione dell'appliance
- Si usa lo stesso server NTP per sincronizzare tutte le appliance del sensore e la console di gestione locale
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | ntp enable <IP address> |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-ntp-enable <IP address> |
Nessun attributo |
In questi comandi è <IP address>
l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.
Ad esempio, per l'utente amministratore :
shell> ntp enable 129.6.15.28
shell>
Disattivare la sincronizzazione dell'ora NTP
Usare i comandi seguenti per disattivare la sincronizzazione per l'ora dell'appliance con un server NTP.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | ntp disable <IP address> |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-ntp-disable <IP address> |
Nessun attributo |
In questi comandi è <IP address>
l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.
Ad esempio, per l'utente amministratore :
shell> ntp disable 129.6.15.28
shell>
Backup e ripristino
Le sezioni seguenti descrivono i comandi dell'interfaccia della riga di comando supportati per il backup e il ripristino di uno snapshot di sistema del sensore di rete OT.
I file di backup includono uno snapshot completo dello stato del sensore, incluse le impostazioni di configurazione, i valori di base, i dati di inventario e i log.
Attenzione
Non interrompere un'operazione di backup o ripristino del sistema perché ciò potrebbe causare l'inutilizzabilità del sistema.
Avviare un backup immediato e non pianificato
Usare il comando seguente per avviare un backup immediato e non pianificato dei dati nel sensore OT. Per altre informazioni, vedere Configurare i file di backup e ripristino.
Attenzione
Assicurarsi di non arrestare o spegnere l'appliance durante il backup dei dati.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system backup create |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-system-backup |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Elencare i file di backup correnti
Usare i comandi seguenti per elencare i file di backup attualmente archiviati nel sensore di rete OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system backup list |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-system-backup-list |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Ripristinare i dati dal backup più recente
Usare il comando seguente per ripristinare i dati nel sensore di rete OT usando il file di backup più recente. Quando richiesto, confermare che si vuole continuare.
Attenzione
Assicurarsi di non arrestare o spegnere l'appliance durante il ripristino dei dati.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system restore |
Nessun attributo |
cyberx o amministratore con accesso radice | cyberx-xsense-system-restore |
-f <filename> |
Ad esempio, per l'utente amministratore :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Visualizzare l'allocazione dello spazio su disco di backup
Il comando seguente elenca l'allocazione dello spazio su disco di backup corrente, inclusi i dettagli seguenti:
- Percorso della cartella di backup
- Dimensioni della cartella di backup
- Limitazioni delle cartelle di backup
- Ora ultima operazione di backup
- Spazio libero su disco disponibile per i backup
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | cyberx-backup-memory-check |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Gestione utenti locali
Modificare le password utenti locali
Usare i comandi seguenti per modificare le password per gli utenti locali nel sensore OT. La nuova password deve avere almeno 8 caratteri, contenere caratteri minuscoli e maiuscoli, caratteri alfabetici, numeri e simboli.
Quando si modifica la password per l'amministratore, la password viene modificata sia per SSH che per l'accesso Web.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | system password |
<username> |
Nell'esempio seguente viene illustrata la modifica della password da parte dell'utente amministratore . La nuova password non viene visualizzata sullo schermo quando la si digita, assicurarsi di scrivere per annotarla e assicurarsi che venga digitata correttamente quando viene richiesto di immettere nuovamente la password.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Configurazione di rete
Modificare la configurazione di rete o riassegnare i ruoli dell'interfaccia di rete
Usare il comando seguente per eseguire di nuovo la configurazione guidata del software di monitoraggio OT, che consente di definire o riconfigurare le impostazioni del sensore OT seguenti:
- Abilitare/disabilitare le interfacce di monitoraggio SPAN
- Configurare le impostazioni di rete per l'interfaccia di gestione (IP, subnet, gateway predefinito, DNS)
- Assegnazione di una directory di backup
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network reconfigure |
Nessun attributo |
cyberx | python3 -m cyberx.config.configure |
Nessun attributo |
Ad esempio, con l'utente amministratore :
shell> network reconfigure
La configurazione guidata viene avviata automaticamente dopo l'esecuzione di questo comando. Per altre informazioni, vedere Installare il software di monitoraggio OT.
Convalidare e visualizzare la configurazione dell'interfaccia di rete
Usare i comandi seguenti per convalidare e visualizzare la configurazione dell'interfaccia di rete corrente nel sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network validate |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Controllare la connettività di rete dal sensore OT
Usare il comando seguente per inviare un messaggio ping dal sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | ping <IP address> |
Nessun attributo |
cyberx o amministratore con accesso radice | ping <IP address> |
Nessun attributo |
In questi comandi è <IP address>
l'indirizzo IP di un host di rete IPv4 valido accessibile dalla porta di gestione sul sensore OT.
Individuare una porta fisica facendo lampeggiare le luci dell'interfaccia
Usare il comando seguente per individuare un'interfaccia fisica specifica causando il lampeggiare delle luci dell'interfaccia.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network blink <INT> |
Nessun attributo |
In questo comando è <INT>
una porta Ethernet fisica nell'appliance.
L'esempio seguente mostra l'utente amministratore che lampeggia l'interfaccia eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Elencare le interfacce fisiche connesse
Usare il comando seguente per elencare le interfacce fisiche connesse nel sensore OT.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network list |
Nessun attributo |
cyberx o amministratore con accesso radice | ifconfig |
Nessun attributo |
Ad esempio, per l'utente amministratore :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filtri di acquisizione del traffico
Per ridurre il carico di avvisi e concentrare il monitoraggio della rete sul traffico ad alta priorità, è possibile decidere di filtrare il traffico che trasmette in Defender per IoT all'origine. I filtri di acquisizione consentono di bloccare il traffico a larghezza di banda elevata a livello hardware, ottimizzando le prestazioni dell'appliance e l'utilizzo delle risorse.
Usa elenchi di inclusione/esclusione per creare e configurare filtri di acquisizione nei sensori di rete OT, assicurandoti di non bloccare il traffico che vuoi monitorare.
Il caso d'uso di base per i filtri di acquisizione usa lo stesso filtro per tutti i componenti di Defender per IoT. Tuttavia, per i casi d'uso avanzati, è possibile configurare filtri separati per ognuno dei componenti di Defender per IoT seguenti:
horizon
: acquisisce i dati di ispezione approfondita dei pacchetti (DPI)collector
: acquisisce i dati PCAPtraffic-monitor
: acquisisce le statistiche di comunicazione
Nota
I filtri di acquisizione non si applicano agli avvisi malware di Defender per IoT, che vengono attivati in tutto il traffico di rete rilevato.
Il comando di filtro di acquisizione ha un limite di lunghezza dei caratteri basato sulla complessità della definizione del filtro di acquisizione e sulle funzionalità disponibili della scheda di interfaccia di rete. Se il filtro richiesto ha esito negativo, provare a raggruppare le subnet in ambiti più grandi e a usare un comando di filtro di acquisizione più breve.
Creare un filtro di base per tutti i componenti
Il metodo usato per configurare un filtro di acquisizione di base varia a seconda dell'utente che esegue il comando:
- utente cyberx : eseguire il comando specificato con attributi specifici per configurare il filtro di acquisizione.
- utente amministratore : eseguire il comando specificato e quindi immettere i valori richiesti dall'interfaccia della riga di comando, modificando gli elenchi di inclusione ed esclusione in un nano editor.
Usare i comandi seguenti per creare un nuovo filtro di acquisizione:
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network capture-filter |
Nessun attributo. |
cyberx o amministratore con accesso radice | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Gli attributi supportati per l'utente cyberx sono definiti come segue:
Attributo | Descrizione |
---|---|
-h , --help |
Visualizza il messaggio della Guida ed esce. |
-i <INCLUDE> , --include <INCLUDE> |
Percorso di un file che contiene i dispositivi e le subnet mask da includere, dove <INCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file. |
-x EXCLUDE , --exclude EXCLUDE |
Percorso di un file che contiene i dispositivi e le subnet mask da escludere, dove <EXCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Esclude il traffico TCP su qualsiasi porta specificata, in cui <EXCLUDE_TCP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Esclude il traffico UDP su qualsiasi porta specificata, in cui <EXCLUDE_UDP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Include il traffico TCP su qualsiasi porta specificata, in cui <INCLUDE_TCP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Include il traffico UDP su qualsiasi porta specificata, in cui <INCLUDE_UDP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Include il traffico VLAN in base agli ID VLAN specificati, <INCLUDE_VLAN_IDS> definisce l'ID VLAN o gli ID da includere. Delimitare più ID VLAN in base a virgole, senza spazi. |
-p <PROGRAM> , --program <PROGRAM> |
Definisce il componente per il quale si vuole configurare un filtro di acquisizione. Usare all per i casi d'uso di base per creare un singolo filtro di acquisizione per tutti i componenti. Per i casi d'uso avanzati, creare filtri di acquisizione separati per ogni componente. Per altre informazioni, vedere Creare un filtro avanzato per componenti specifici. |
-m <MODE> , --mode <MODE> |
Definisce una modalità elenco di inclusione ed è rilevante solo quando viene usato un elenco di inclusione. Usare uno dei valori seguenti: - internal : include tutte le comunicazioni tra l'origine e la destinazione specificate - all-connected : include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni. Ad esempio, per gli endpoint A e B, se si usa la internal modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B. Tuttavia, se si usa la all-connected modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni. |
Esempio di inclusione o esclusione di file
Ad esempio, un file di inclusione o esclusione .txt può includere le voci seguenti:
192.168.50.10
172.20.248.1
Creare un filtro di acquisizione di base usando l'utente amministratore
Se si sta creando un filtro di acquisizione di base come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.
Rispondere alle richieste visualizzate nel modo seguente:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Selezionare questa opzione
Y
per aprire un nuovo file di inclusione, in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da includere nel traffico monitorato. Qualsiasi altro traffico, non elencato nel file di inclusione, non viene inserito in Defender per IoT.Il file di inclusione viene aperto nell'editor di testo Nano . Nel file di inclusione definire dispositivi, canali e subnet come indicato di seguito:
Tipo Descrizione Esempio Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1
include tutto il traffico per questo dispositivo.Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2
include tutto il traffico per questo canale.Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1
include tutto il traffico per questa subnet.Elencare più argomenti in righe separate.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Selezionare questa opzione
Y
per aprire un nuovo file di esclusione in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da escludere dal traffico monitorato. Qualsiasi altro traffico, non elencato nel file di esclusione, viene inserito in Defender per IoT.Il file di esclusione viene aperto nell'editor di testo Nano . Nel file di esclusione definire dispositivi, canali e subnet come indicato di seguito:
Tipo Descrizione Esempio Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1
esclude tutto il traffico per questo dispositivo.Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2
esclude tutto il traffico tra questi dispositivi.Canale per porta Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione e alla porta del traffico. 1.1.1.1,2.2.2.2,443
esclude tutto il traffico tra questi dispositivi e la porta specificata.Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1
esclude tutto il traffico per questa subnet.Canale subnet Definire gli indirizzi di rete del canale subnet per le subnet di origine e di destinazione. 1.1.1,2.2.2
esclude tutto il traffico tra queste subnet.Elencare più argomenti in righe separate.
Rispondere alle richieste seguenti per definire qualsiasi porta TCP o UDP da includere o escludere. Separare più porte in base alla virgola e premere INVIO per ignorare qualsiasi richiesta specifica.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Ad esempio, immettere più porte come indicato di seguito:
502,443
In which component do you wish to apply this capture filter?
Immettere
all
per un filtro di acquisizione di base. Per i casi d'uso avanzati, creare filtri di acquisizione per ogni componente Defender per IoT separatamente.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Questa richiesta consente di configurare il traffico nell'ambito. Definire se si vuole raccogliere il traffico in cui entrambi gli endpoint si trovano nell'ambito o solo uno di essi si trova nella subnet specificata. I valori supportati includono:
internal
: include tutte le comunicazioni tra l'origine e la destinazione specificateall-connected
: include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni.
Ad esempio, per gli endpoint A e B, se si usa la
internal
modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B.
Tuttavia, se si usa laall-connected
modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni.La modalità predefinita è
internal
. Per usare laall-connected
modalità, selezionareY
al prompt e quindi immettereall-connected
.
L'esempio seguente illustra una serie di richieste che creano un filtro di acquisizione per escludere subnet 192.168.x.x
e porta 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Creare un filtro avanzato per componenti specifici
Quando si configurano filtri di acquisizione avanzati per componenti specifici, è possibile usare l'inclusione iniziale ed escludere i file come base o modello, il filtro di acquisizione. Configurare quindi filtri aggiuntivi per ogni componente sulla base in base in base.
Per creare un filtro di acquisizione per ogni componente, assicurarsi di ripetere l'intero processo per ogni componente.
Nota
Se sono stati creati filtri di acquisizione diversi per componenti diversi, la selezione della modalità viene usata per tutti i componenti. Definizione del filtro di acquisizione per un componente come internal
e filtro di acquisizione per un altro componente all-connected
non supportato.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | network capture-filter |
Nessun attributo. |
cyberx o amministratore con accesso radice | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Gli attributi aggiuntivi seguenti vengono usati per l'utente cyberx per creare filtri di acquisizione per ogni componente separatamente:
Attributo | Descrizione |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Definisce il componente per il quale si vuole configurare un filtro di acquisizione, in cui <PROGRAM> sono supportati i valori seguenti: - traffic-monitor - collector - horizon - all : crea un singolo filtro di acquisizione per tutti i componenti. Per altre informazioni, vedere Creare un filtro di base per tutti i componenti. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Definisce un filtro di acquisizione di base per il horizon componente, dove <BASE_HORIZON> è il filtro da usare. Valore predefinito = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definisce un filtro di acquisizione di base per il traffic-monitor componente. Valore predefinito = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Definisce un filtro di acquisizione di base per il collector componente. Valore predefinito = "" |
Altri valori di attributo hanno le stesse descrizioni del caso d'uso di base, descritto in precedenza.
Creare un filtro di acquisizione avanzata usando l'utente amministratore
Se si sta creando un filtro di acquisizione per ogni componente separatamente come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.
La maggior parte delle richieste è identica al caso d'uso di base. Rispondere alle seguenti richieste aggiuntive come indicato di seguito:
In which component do you wish to apply this capture filter?
Immettere uno dei valori seguenti, a seconda del componente da filtrare:
horizon
traffic-monitor
collector
Viene richiesto di configurare un filtro di acquisizione di base personalizzato per il componente selezionato. Questa opzione usa il filtro di acquisizione configurato nei passaggi precedenti come base o modello, in cui è possibile aggiungere configurazioni aggiuntive sopra la base.
Ad esempio, se si è scelto di configurare un filtro di acquisizione per il
collector
componente nel passaggio precedente, viene richiesto di:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Immettere
Y
per personalizzare il modello per il componente specificato oN
per usare il filtro di acquisizione configurato in precedenza così come è.
Continuare con le richieste rimanenti, come nel caso d'uso di base.
Elencare i filtri di acquisizione correnti per componenti specifici
Usare i comandi seguenti per visualizzare i dettagli sui filtri di acquisizione correnti configurati per il sensore.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
admin | Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente: - orizzonte: edit-config horizon_parser/horizon.properties - monitoraggio del traffico: edit-config traffic_monitor/traffic-monitor - agente di raccolta: edit-config dumpark.properties |
Nessun attributo |
cyberx o amministratore con accesso radice | Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente: -orizzonte: nano /var/cyberx/properties/horizon_parser/horizon.properties - monitoraggio del traffico: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - agente di raccolta: nano /var/cyberx/properties/dumpark.properties |
Nessun attributo |
Questi comandi aprono i file seguenti, che elencano i filtri di acquisizione configurati per ogni componente:
Nome | file | Proprietà |
---|---|---|
orizzonte | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
monitoraggio del traffico | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
collettore | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Ad esempio, con l'utente amministratore, con un filtro di acquisizione definito per il componente dell'agente di raccolta che esclude la subnet 192.168.x.x e la porta 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Reimpostare tutti i filtri di acquisizione
Usare il comando seguente per reimpostare il sensore alla configurazione di acquisizione predefinita con l'utente cyberx , rimuovendo tutti i filtri di acquisizione.
Utente | Comando | Sintassi completa dei comandi |
---|---|---|
cyberx o amministratore con accesso radice | cyberx-xsense-capture-filter -p all -m all-connected |
Nessun attributo |
Se si desidera modificare i filtri di acquisizione esistenti, eseguire di nuovo il comando precedente , con nuovi valori di attributo.
Per reimpostare tutti i filtri di acquisizione usando l'utente amministratore, eseguire di nuovo il comando precedente e rispondere N
a tutti i prompt per reimpostare tutti i filtri di acquisizione.
L'esempio seguente illustra la sintassi e la risposta del comando per l'utente cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#