OT ネットワーク センサーからの CLI コマンド リファレンス
この記事では、Defender for IoT OT ネットワーク センサーから使用できる CLI コマンドの一覧を示します。
注意事項
OT ネットワーク センサーとオンプレミス管理コンソールの文書化された構成パラメーターのみが、顧客の構成ではサポートされています。 文書化されていない構成パラメーターやシステム プロパティは、変更しないでください。変更すると予期しない動作やシステム障害が発生する可能性があります。
Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が生じる場合があります。 センサーにインストールされているすべてのパッケージは、センサーが正しく機能するために必要です。
前提条件
次のいずれかの CLI コマンドを実行する前に、特権ユーザーとして OT ネットワーク センサー上の CLI にアクセスする必要があります。
この記事では、各ユーザーのコマンド構文を示しますが、admin ユーザーがサポートされているすべての CLI コマンドには、admin ユーザーを使用することをお勧めします。
古いバージョンのセンサー ソフトウェアを使用している場合は、レガシ support ユーザーにアクセスできる可能性があります。 このような場合、 admin ユーザーでサポートされているコマンドは、レガシ support ユーザーでサポートされます。
詳細については、「CLI へのアクセス」と「OT 監視用の特権ユーザー アクセス」を参照してください。
アプライアンスのメンテナンス
OT 監視サービスの正常性を確認する
次のコマンドを使用して、Web コンソールやトラフィック分析プロセスなど、OT センサー上の Defender for IoT アプリケーションが正しく動作していることを確認します。
正常性チェックは、OT センサー コンソールからも利用できます。 詳細については、「センサーのトラブルシューティングを行う」を参照してください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system sanity |
属性なし |
cyberx または admin root アクセス | cyberx-xsense-sanity |
属性なし |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
再起動とシャットダウン
アプライアンスを再起動する
OT センサー アプライアンスを再起動するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system reboot |
属性なし |
cyberx 、または admin root アクセス | sudo reboot |
属性なし |
root アクセスを使用したcyberx_host、または admin | sudo reboot |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: system reboot
アプライアンスをシャットダウンする
OT センサー アプライアンスをシャットダウンするには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system shutdown |
属性なし |
cyberx 、または admin root アクセス | sudo shutdown -r now |
属性なし |
root アクセスを使用したcyberx_host、または admin | sudo shutdown -r now |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: system shutdown
ソフトウェア バージョン
インストール済みのソフトウェアのバージョンを表示する
次のコマンドを使用して、OT センサーにインストールされている Defender for IoT ソフトウェアのバージョンを一覧表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system version |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-version |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: system version
Version: 22.2.5.9-r-2121448
CLI からセンサー ソフトウェアを更新する
詳細については、「センサーを更新する」を参照してください。
日付、時刻、NTP
現在のシステムの日付および時刻を表示する
次のコマンドを使用して、OT ネットワーク センサーの現在のシステムの日付と時刻を GMT 形式で表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | date |
属性なし |
cyberx 、または admin root アクセス | date |
属性なし |
root アクセスを使用したcyberx_host、または admin | date |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
NTP 時刻同期を有効にする
次のコマンドを使用して、NTP サーバーとのアプライアンス時刻の同期を有効にします。
これらのコマンドを使用するには、次の点を確認します。
- NTP サーバーはアプライアンス管理ポートから到達できます
- 同じ NTP サーバーを使用して、すべてのセンサー アプライアンスとオンプレミス管理コンソールを同期します
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ntp enable <IP address> |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-ntp-enable <IP address> |
属性なし |
これらのコマンドでは、<IP address>
はポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 admin ユーザーの場合:
root@xsense: ntp enable 129.6.15.28
root@xsense:
NTP 時刻同期を無効にする
次のコマンドを使用して、NTP サーバーとのアプライアンス時刻の同期を無効にします。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ntp disable <IP address> |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-ntp-disable <IP address> |
属性なし |
これらのコマンドでは、<IP address>
はポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 admin ユーザーの場合:
root@xsense: ntp disable 129.6.15.28
root@xsense:
バックアップと復元
次のセクションでは、OT ネットワーク センサーのシステム スナップショットをバックアップおよび復元するためにサポートされる CLI コマンドについて説明します。
バックアップ ファイルには、構成設定、ベースライン値、インベントリ データ、ログなど、センサー状態の完全なスナップショットが含まれます。
注意事項
システムが使用できなくなる可能性があるため、システムのバックアップまたは復元操作を中断しないでください。
現在のバックアップ ファイルを一覧表示する
OT ネットワーク センサーに現在格納されているバックアップ ファイルを一覧表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system backup-list |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-system-backup-list |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
即時のスケジュールされていないバックアップを開始する
次のコマンドを使用して、OT センサー上のデータのスケジュールされていない即時バックアップを開始します。 詳細については、「バックアップ ファイルと復元ファイルを設定する」を参照してください。
注意事項
データのバックアップ中にアプライアンスを停止または電源オフしないようにしてください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system backup |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-system-backup |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
最新のバックアップからデータを復元する
最新のバックアップ ファイルを使用して OT ネットワーク センサー上のデータを復元するには、次のコマンドを使用します。 メッセージが表示されたら、続行を確認します。
注意事項
データの復元中にアプライアンスを停止または電源オフしないようにしてください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system restore |
属性なし |
cyberx または admin root アクセス | cyberx-xsense-system-restore |
-f <filename> |
たとえば、 admin ユーザーの場合:
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
バックアップ ディスク領域の割り当てを表示する
次のコマンドは、次の詳細を含む、現在のバックアップ ディスク領域の割り当てを一覧表示します。
- バックアップ フォルダーの場所
- バックアップ フォルダーのサイズ
- バックアップ フォルダーの制限
- 前回のバックアップ操作時刻
- バックアップに使用できる空きディスク領域
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-backup-memory-check |
属性なし |
たとえば、cyberx ユーザーの場合は次のとおりです。
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
TLS/SSL 証明書
OT センサーに TLS/SSL 証明書をインポートする
次のコマンドを使用して、CLI から TLS/SSL 証明書をセンサーにインポートします。
このコマンドを使用するには、次を行います。
- インポートする証明書ファイルがアプライアンスで読み取り可能であることを確認します。 WinSCP や Wget などのツールを使用して、証明書ファイルをアプライアンスにアップロードします。
- DNS サーバーと対応する IP アドレスに対して、証明書に表示されているアプライアンス ドメインが正しいことを IT オフィスに確認します。
詳細については、「CA 署名証明書を準備する」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]` |
このコマンドの説明:
-h
: コマンド ヘルプの完全な構文を示します--crt
: アップロードする証明書ファイルへのパス (.crt
拡張子付き)--key
: 証明書に使用する\*.key
ファイル。 キーの長さは、2,048 ビット以上である必要があります--chain
: 証明書チェーン ファイルへのパス。 省略可能。--pass
: 証明書の暗号化に使用されるパスフレーズ。 省略可能。パスフレーズを使用してキーまたは証明書を作成する場合、次の文字がサポートされています。
- a から z、A から Z、0 から 9 を含む ASCII 文字
- 次の特殊文字: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set
: 未使用で、既定で False に設定されています。 前の証明書で指定されたパスフレーズを使用するには、True に設定します。 省略可能。
たとえば、cyberx ユーザーの場合は次のとおりです。
root@xsense:/# cyberx-xsense-certificate-import
既定の自己署名証明書を復元する
センサー アプライアンスで既定の自己署名証明書を復元するには、次のコマンドを使用します。 このアクティビティは、運用環境ではなく、トラブルシューティングにのみ使用することをお勧めします。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-create-self-signed-certificate |
属性なし |
たとえば、cyberx ユーザーの場合は次のとおりです。
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
ローカル ユーザー管理
ローカル ユーザー パスワードを変更する
OT センサーのローカル ユーザーのパスワードを変更するには、次のコマンドを使用します。
admin、cyberx、またはcyberx_hostユーザーのパスワードを変更すると、SSH アクセスと Web アクセスの両方でパスワードが変更されます。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx 、または admin root アクセス | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
root アクセスを使用したcyberx_host、または admin | passwd |
属性なし |
次の例は、 cyberx ユーザーが admin ユーザーのパスワードを jI8iD9kE6hB8qN0h
にリセットする方法を示しています。
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
次の例は、cyberx_host ユーザーが cyberx_host ユーザーのパスワードを変更する方法を示しています。
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
ユーザー セッションのタイムアウトを制御する
ユーザーが OT センサーから自動的にサインアウトする時間を定義します。 センサーに保存されたプロパティ ファイルでこの値を定義します。 詳細については、「ユーザー セッションのタイムアウトを制御する」を参照してください。
サインイン失敗の最大数を定義する
OT センサーがユーザーが同じ IP アドレスから再びサインインできないようにする前の、最大サインイン失敗数を定義します。 センサーに保存されたプロパティ ファイルでこの値を定義します。
詳細については、「サインイン失敗の最大数を定義する」を参照してください。
ネットワークの構成
ネットワークの設定
ネットワーク構成を変更するか、ネットワーク インターフェイスの役割を再割り当てする
OT 監視ソフトウェア構成ウィザードを再実行するには、次のコマンドを使用します。これは、次の OT センサー設定を定義または再構成するのに役立ちます。
- SPAN 監視インターフェイスを有効または無効にする
- 管理インターフェイス (IP、サブネット、既定のゲートウェイ、DNS) のネットワーク設定を構成する
- バックアップ ディレクトリの割り当て
User | コマンド | 完全なコマンド構文 |
---|---|---|
root アクセスを使用したcyberx_host、または admin | sudo dpkg-reconfigure iot-sensor |
属性なし |
たとえば、cyberx_host ユーザーの場合は次のようになります。
root@xsense:/# sudo dpkg-reconfigure iot-sensor
このコマンドを実行すると、構成ウィザードが自動的に起動します。 詳細については、OT 監視ソフトウェアのインストールに関する記事を参照してください。
ネットワーク インターフェイスの構成を検証して表示する
OT センサーで現在のネットワーク インターフェイス構成を検証して表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network validate |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
ネットワーク接続
OT センサーからのネットワーク接続を確認する
OT センサーから ping メッセージを送信するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ping <IP address> |
属性なし |
cyberx 、または admin root アクセス | ping <IP address> |
属性なし |
これらのコマンドで、<IP address>
は OT センサーの管理ポートからアクセスできる有効な IPv4 ネットワーク ホストの IP アドレスです。
ネットワーク インターフェイスの現在の負荷を確認する
次のコマンドを使用して、6 秒のテストを使用してネットワーク トラフィックと帯域幅を表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx 、または admin root アクセス | cyberx-nload |
属性なし |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
インターネット接続の確認
アプライアンスのインターネット接続を確認するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-internet-connectivity |
属性なし |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
管理ネットワーク インターフェイスの帯域幅制限を設定する
次のコマンドを使用して、OT センサーの管理インターフェイスから Azure portal またはオンプレミス管理コンソールへのアップロードの送信帯域幅制限を設定します。
送信帯域幅の制限を設定すると、ネットワークのサービス品質 (QoS) を維持するのに役立ちます。 このコマンドは、サテライトまたはシリアル リンク経由など、帯域幅に制約のある環境でのみサポートされます。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
このコマンドの説明:
-h
または--help
: コマンド ヘルプの構文を表示します--interface <INTERFACE VALUE>
: 制限するインターフェイスを指定します (例:eth0
)--limit <LIMIT VALUE>
: 設定する制限 (例:30kbit
)。 以下の単位のうちのいずれか 1 つを使用します。kbps
: キロバイト/秒mbps
: メガバイト/秒kbit
: K ビット/秒mbit
: M ビット/秒bps
または無名数: バイト/秒
--clear
: 指定したインターフェイスのすべての設定をクリアします
たとえば、cyberx ユーザーの場合は次のとおりです。
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
物理インターフェイス
インターフェイス ライトを点滅させて物理ポートを見つける
次のコマンドを使用して、インターフェイス ライトが点滅して特定の物理インターフェイスを見つけます。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network blink <INT> |
属性なし |
このコマンドでは、<INT>
はアプライアンス上の物理イーサネット ポートです。
次の例は、 admin ユーザーが eth0 インターフェイスを点滅させる方法を示しています。
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
接続されている物理インターフェイスを一覧表示する
OT センサーで接続されている物理インターフェイスを一覧表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network list |
属性なし |
cyberx または admin root アクセス | ifconfig |
属性なし |
たとえば、 admin ユーザーの場合:
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
トラフィック キャプチャ フィルター
アラート疲れを軽減し、優先度の高いトラフィックにネットワーク監視を集中するには、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することができます。 キャプチャ フィルターを使用すると、ハードウェア層で高帯域幅のトラフィックをブロックし、アプライアンスのパフォーマンスとリソースの使用状況の両方を最適化できます。
OT ネットワーク センサーでキャプチャ フィルターを作成および構成するには、インクルード (または除外) リストを使用して、監視するトラフィックをブロックしないようにします。
キャプチャ フィルターの基本的なユース ケースでは、すべての Defender for IoT コンポーネントで同じフィルターが使用されます。 ただし、高度なユース ケースでは、次の Defender for IoT コンポーネントごとに個別のフィルターを構成できます。
horizon
: ディープ パケット検査 (DPI) データをキャプチャしますcollector
: PCAP データをキャプチャしますtraffic-monitor
: 通信統計をキャプチャします
Note
キャプチャ フィルターは、検出されたすべてのネットワーク トラフィックでトリガーされる Defender for IoT マルウェア アラートには適用されません。
キャプチャ フィルター コマンドには文字数の制限があり、これは、キャプチャ フィルター定義の複雑さと使用可能なネットワーク インターフェイス カード機能に基づきます。 要求されたフィルター コマンドが失敗した場合は、サブネットをより大きなスコープにグループ化して、より短いキャプチャ フィルター コマンドを使用してみてください。
すべてのコンポーネントの基本フィルターを作成する
基本的なキャプチャ フィルターの構成に使用されるメソッドは、コマンドを実行するユーザーによって異なります。
- cyberx ユーザー: 特定の属性を含む指定したコマンドを実行して、キャプチャ フィルターを構成します。
- admin user: 指定したコマンドを実行し、CLI によって に示されているように値を入力、nano エディターでインクルード リストと除外リストを編集します。
次のコマンドを使用して、新しいキャプチャ フィルターを作成します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network capture-filter |
属性なし。 |
cyberx または admin root アクセス | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
cyberx ユーザーでサポートされる属性は、次のように定義されます。
属性 | 説明 |
---|---|
-h , --help |
ヘルプ メッセージを表示して終了します。 |
-i <INCLUDE> , --include <INCLUDE> |
含めるデバイスとサブネット マスクを含むファイルへのパス。ここで <INCLUDE> はファイルへのパスです。 例については、「インクルードまたは除外ファイルのサンプル」を参照してください。 |
-x EXCLUDE , --exclude EXCLUDE |
除外するデバイスとサブネット マスクを含むファイルへのパス。ここで <EXCLUDE> はファイルへのパスです。 例については、「インクルードまたは除外ファイルのサンプル」を参照してください。 |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを除外します。ここで、<EXCLUDE_TCP_PORT> は除外するポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
指定したポートの UDP トラフィックを除外します。ここで、<EXCLUDE_UDP_PORT> は除外するポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを含めます。ここで、<INCLUDE_TCP_PORT> は含めるポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
指定したポートの UDP トラフィックを含めます。ここで、<INCLUDE_UDP_PORT> は含めるポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
指定された VLAN ID によって VLAN トラフィックを含め、<INCLUDE_VLAN_IDS> は含める VLAN ID または ID を定義します。 スペースを使用せず、複数の VLAN ID をコンマで区切ります。 |
-p <PROGRAM> , --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。 すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成するには、基本的なユース ケースに all を使用します。 高度なユース ケースの場合は、コンポーネントごとに個別のキャプチャ フィルターを作成します。 詳細については、「特定のコンポーネントの高度なフィルターを作成する」を参照してください。 |
-m <MODE> , --mode <MODE> |
インクルード リスト モードを定義します。これはインクルード リストを使用する場合にのみ関連します。 次のいずれかの値を使用します。 - internal : 指定されたソースと宛先の間のすべての通信が含まれます - all-connected : 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。 たとえば、エンドポイント A と B の場合、 internal モードを使用すると、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。ただし、 all-connected モードを使用する場合、含まれるトラフィックには、A "または" B と他の外部エンドポイント間のすべての通信が含まれます。 |
たとえば、インクルードまたは除外の .txt ファイルには、次のエントリが含まれる場合があります。
192.168.50.10
172.20.248.1
管理者ユーザーを使用して基本的なキャプチャ フィルターを作成する
admin ユーザーとして基本的なキャプチャ フィルターを作成する場合、序数コマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話型で作成するのに役立つ一連のプロンプトが表示されます。
次のように表示されるプロンプトに返信します。
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Y
を選択すると、監視対象のトラフィックに含めるデバイス、チャネル、サブネットを追加できる新しいインクルード ファイルが開きます。 インクルード ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれません。インクルード ファイルが Nano テキスト エディターで開きます。 インクルード ファイルで、次のようにデバイス、チャネル、サブネットを定義します。
種類 説明設定 例 [デバイス] IP アドレスでデバイスを定義します。 1.1.1.1
ではこのデバイスのすべてのトラフィックが含まれます。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2
ではこのチャネルのすべてのトラフィックが含まれます。サブネット ネットワーク アドレスでサブネットを定義します。 1.1.1
ではこのサブネットのすべてのトラフィックが含まれます。複数の引数を別々の行に一覧表示します。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Y
を選択すると、監視対象のトラフィックから除外するデバイス、チャネル、サブネットを追加できる新しい除外ファイルが開きます。 除外ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれます。除外ファイルが Nano テキスト エディターで開きます。 除外ファイルで、次のようにデバイス、チャネル、サブネットを定義します。
種類 説明設定 例 [デバイス] IP アドレスでデバイスを定義します。 1.1.1.1
ではこのデバイスのすべてのトラフィックが除外されます。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2
では、これらのデバイス間のすべてのトラフィックが除外されます。ポート別チャネル 送信元デバイスと宛先デバイスの IP アドレスとトラフィック ポートでチャネルを定義します。 1.1.1.1,2.2.2.2,443
では、これらのデバイスと指定したポートを使用する間のすべてのトラフィックが除外されます。サブネット ネットワーク アドレスでサブネットを定義します。 1.1.1
ではこのサブネットのすべてのトラフィックが除外されます。サブネット チャネル 送信元サブネットと宛先サブネットのサブネット チャネル ネットワーク アドレスを定義します。 1.1.1,2.2.2
では、これらのサブネット間のすべてのトラフィックが除外されます。複数の引数を別々の行に一覧表示します。
次のプロンプトに応答して、含めるか除外する TCP または UDP ポートを定義します。 複数のポートをコンマで区切り、Enter キーを押して特定のプロンプトをスキップします。
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
たとえば、
502,443
のように複数のポートを入力します。In which component do you wish to apply this capture filter?
基本的なキャプチャ フィルターに「
all
」と入力します。 高度なユース ケースでは、Defender for IoT コンポーネントごとにキャプチャ フィルターを個別に作成します。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
このプロンプトでは、スコープ内のトラフィックを構成できます。 両方のエンドポイントがスコープ内にあるトラフィックを収集するか、そのうちの 1 つだけが指定されたサブネット内にあるかを定義します。 サポートされている値は次のとおりです。
internal
: 指定されたソースと宛先の間のすべての通信が含まれますall-connected
: 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。
たとえば、エンドポイント A と B の場合、
internal
モードを使用すると、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。
ただし、all-connected
モードを使用する場合、含まれるトラフィックには、A "または" B と他の外部エンドポイント間のすべての通信が含まれます。既定のモードは
internal
です。all-connected
モードを使用するには、プロンプトでY
を選択し、「all-connected
」と入力します。
次の例は、サブネット 192.168.x.x
とポート 9000:
を除外するキャプチャ フィルターを作成する一連のプロンプトを示しています
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
特定のコンポーネントの高度なフィルターを作成する
特定のコンポーネントに対して高度なキャプチャ フィルターを構成する場合は、最初のインクルード ファイルと除外ファイルをベースまたはテンプレートとして使用してキャプチャ フィルターを使用できます。 次に、必要に応じて、ベース上の各コンポーネントに対して追加のフィルターを構成します。
"コンポーネントごとに" キャプチャ フィルターを作成するには、コンポーネントごとにプロセス全体を繰り返してください。
Note
コンポーネントごとに異なるキャプチャ フィルターを作成した場合は、すべてのコンポーネントでモードの選択が使用されます。 1 つのコンポーネントのキャプチャ フィルターを internal
として定義し、別のコンポーネントのキャプチャ フィルターを all-connected
として定義することはサポートされていません。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network capture-filter |
属性なし。 |
cyberx または admin root アクセス | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
cyberx ユーザーがコンポーネントごとにキャプチャ フィルターを個別に作成するには、次の追加属性が使用されます。
属性 | 説明 |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。ここで、<PROGRAM> では次の値がサポートされています。- traffic-monitor - collector - horizon - all : すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成します。 詳細については、「すべてのコンポーネントの基本フィルターを作成する」を参照してください。 |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
horizon コンポーネントの基本キャプチャ フィルターを定義します。ここで、<BASE_HORIZON> は使用するフィルターです。 既定値 = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
traffic-monitor コンポーネントのベース キャプチャ フィルターを定義します。 既定値 = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
collector コンポーネントのベース キャプチャ フィルターを定義します。 既定値 = "" |
他の属性値には、前述の基本的なユース ケースと同じ説明があります。
管理者ユーザーを使用して高度なキャプチャ フィルターを作成する
admin ユーザーとしてコンポーネントごとにキャプチャ フィルターを作成する場合、original コマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話型で作成するのに役立つ一連のプロンプトが表示されます。
ほとんどのプロンプトは、基本的なユース ケースと同じです。 次のように、次の追加プロンプトに返します。
In which component do you wish to apply this capture filter?
フィルター処理するコンポーネントに応じて、次のいずれかの値を入力します。
horizon
traffic-monitor
collector
選択したコンポーネントのカスタム ベース キャプチャ フィルターを構成するように求められます。 このオプションでは、前の手順で構成したキャプチャ フィルターをベースまたはテンプレートとして使用します。ここで、ベースの上に追加の構成を追加できます。
たとえば、前の手順で
collector
コンポーネントのキャプチャ フィルターを構成することを選択した場合は、Would you like to supply a custom base capture filter for the collector component? [Y/N]:
のようなダイアログが表示されます。「
Y
」と入力して、指定したコンポーネントのテンプレートをカスタマイズするか、「N
」で以前に構成したキャプチャ フィルターをそのまま使用します。
基本的なユース ケースのように、残りのプロンプトに進みます。
特定のコンポーネントの現在のキャプチャ フィルターを一覧表示する
センサー用に構成されている現在のキャプチャ フィルターの詳細を表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
属性なし |
cyberx または admin root アクセス | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
属性なし |
これらのコマンドを実行すると、次のファイルが開き、コンポーネントごとに構成されたキャプチャ フィルターが一覧表示されます。
名前 | ファイル | プロパティ |
---|---|---|
horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
コレクタ | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
たとえば、 admin ユーザーの場合、サブネット 192.168.x.x とポート 9000 を除外する collector コンポーネントに対してキャプチャ フィルターが定義されています。
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
すべてのキャプチャ フィルターをリセットする
次のコマンドを使用して、センサーを cyberx ユーザーと共に既定のキャプチャ構成にリセットし、すべてのキャプチャ フィルターを削除します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-capture-filter -p all -m all-connected |
属性なし |
既存のキャプチャ フィルターを変更する場合は、新しい属性値を使用して、前のコマンドをもう一度実行します。
admin ユーザーを使用してすべてのキャプチャ フィルターをリセットするには、前の コマンドをもう一度実行し、すべてのプロトコルにN
応答してすべてのキャプチャ フィルターをリセットします。
次の例は、cyberx ユーザーのコマンド構文と応答を示しています。
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
警告
テスト アラートをトリガーする
次のコマンドを使用して、センサーから管理コンソール (Azure portal、Defender for IoT オンプレミス管理コンソール、サードパーティ SIEM など) への接続とアラートの転送をテストします。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-trigger-test-alert |
属性なし |
次の例は、cyberx ユーザーのコマンド構文と応答を示しています。
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
OT センサーからのアラート除外ルール
次のコマンドは、現在の除外ルールの表示、ルールの追加と編集、ルールの削除など、OT センサーのアラート除外機能をサポートしています。
Note
OT センサーで定義されているアラート除外ルールは、オンプレミス管理コンソールで定義されているアラート除外ルールによって上書きできます。
現在のアラートの除外ルールを表示する
次のコマンドを使用して、現在構成されている除外規則の一覧を表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx 、または admin root アクセス | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
新しいアラート除外ルールを作成する
次のコマンドを使用して、センサーにローカル アラート除外ルールを作成します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx または admin root アクセス | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
サポートされる属性は次のように定義されます。
属性 | 説明 |
---|---|
-h , --help |
ヘルプ メッセージを表示して終了します。 |
[-n <NAME>] , [--name <NAME>] |
ルールの名前を定義します。 |
[-ts <TIMES>] [--time_span <TIMES>] |
構文 hh:mm-hh:mm, hh:mm-hh:mm を使用して、ルールがアクティブな期間を定義します。 |
[-dir <DIRECTION>] , --direction <DIRECTION> |
除外するアドレスの方向。 both 、src 、dst のいずれかの値を使用します。 |
[-dev <DEVICES>] , [--devices <DEVICES>] |
構文 ip-x.x.x.x 、mac-xx:xx:xx:xx:xx:xx 、subnet:x.x.x.x/x を使用した、除外するデバイス アドレスまたはアドレスの種類 |
[-a <ALERTS>] , --alerts <ALERTS> |
除外するアラート名 (16 進数)。 例: 0x00000, 0x000001 |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
アラート除外ルールを変更する
次のコマンドを使用して、センサーの既存のローカル アラート除外ルールを変更します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx または admin root アクセス | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
サポートされる属性は次のように定義されます。
属性 | 説明 |
---|---|
-h , --help |
ヘルプ メッセージを表示して終了します。 |
[-n <NAME>] , [--name <NAME>] |
変更するルールの名前です。 |
[-ts <TIMES>] [--time_span <TIMES>] |
構文 hh:mm-hh:mm, hh:mm-hh:mm を使用して、ルールがアクティブな期間を定義します。 |
[-dir <DIRECTION>] , --direction <DIRECTION> |
除外するアドレスの方向。 both 、src 、dst のいずれかの値を使用します。 |
[-dev <DEVICES>] , [--devices <DEVICES>] |
構文 ip-x.x.x.x 、mac-xx:xx:xx:xx:xx:xx 、subnet:x.x.x.x/x を使用した、除外するデバイス アドレスまたはアドレスの種類 |
[-a <ALERTS>] , --alerts <ALERTS> |
除外するアラート名 (16 進数)。 例: 0x00000, 0x000001 |
admin ユーザーで次のコマンド構文を使用します。
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
アラート除外ルールを削除する
次のコマンドを使用して、センサーの既存のローカル アラート除外ルールを削除します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx または admin root アクセス | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
サポートされる属性は次のように定義されます。
属性 | 説明 |
---|---|
-h , --help |
ヘルプ メッセージを表示して終了します。 |
[-n <NAME>] , [--name <NAME>] |
削除しようとしているルールの名前。 |
[-ts <TIMES>] [--time_span <TIMES>] |
構文 hh:mm-hh:mm, hh:mm-hh:mm を使用して、ルールがアクティブな期間を定義します。 |
[-dir <DIRECTION>] , --direction <DIRECTION> |
除外するアドレスの方向。 both 、src 、dst のいずれかの値を使用します。 |
[-dev <DEVICES>] , [--devices <DEVICES>] |
構文 ip-x.x.x.x 、mac-xx:xx:xx:xx:xx:xx 、subnet:x.x.x.x/x を使用した、除外するデバイス アドレスまたはアドレスの種類 |
[-a <ALERTS>] , --alerts <ALERTS> |
除外するアラート名 (16 進数)。 例: 0x00000, 0x000001 |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]