Udostępnij za pośrednictwem

Dokumentacja poleceń interfejsu wiersza polecenia z czujników sieci OT

  • Artykuł

W tym artykule wymieniono polecenia interfejsu wiersza polecenia dostępne z czujników sieciowych usługi Defender for IoT OT.

Uwaga

Tylko udokumentowane parametry konfiguracji w czujniku sieci OT są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.

Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.

Wymagania wstępne

Przed uruchomieniem dowolnego z następujących poleceń interfejsu wiersza polecenia musisz mieć dostęp do interfejsu wiersza polecenia w czujniku sieci OT jako użytkownik uprzywilejowany.

Chociaż w tym artykule wymieniono składnię poleceń dla każdego użytkownika, zalecamy użycie użytkownika administratora dla wszystkich poleceń interfejsu wiersza polecenia, w których jest obsługiwany użytkownik administracyjny .

Aby uzyskać więcej informacji, zobacz Access the CLI and Privileged user access for OT monitoring (Uzyskiwanie dostępu do interfejsu wiersza polecenia i dostępu uprzywilejowanego użytkownika do monitorowania ot).

Konserwacja urządzenia

Sprawdzanie kondycji usług monitorowania ot

Użyj następujących poleceń, aby sprawdzić, czy aplikacja Defender for IoT w czujniku OT działa prawidłowo, w tym konsoli internetowej i procesów analizy ruchu.

Testy kondycji są również dostępne w konsoli czujnika OT. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z czujnikiem.

User Polecenie Pełna składnia polecenia
Admin system sanity Brak atrybutów
cyberx lub administrator z dostępem głównym cyberx-xsense-sanity Brak atrybutów

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Ponowne uruchamianie urządzenia

Użyj następujących poleceń, aby ponownie uruchomić urządzenie czujnika OT.

User Polecenie Pełna składnia polecenia
Admin system reboot Brak atrybutów
cyberx_host lub administrator z dostępem głównym sudo reboot Brak atrybutów

Na przykład dla użytkownika administratora :

shell> system reboot

Zamykanie urządzenia

Użyj następujących poleceń, aby zamknąć urządzenie czujnika OT.

User Polecenie Pełna składnia polecenia
Admin system shutdown Brak atrybutów
cyberx_host lub administrator z dostępem głównym sudo shutdown -r now Brak atrybutów

Na przykład dla użytkownika administratora :

shell> system shutdown

Pokaż zainstalowaną wersję oprogramowania

Użyj następujących poleceń, aby wyświetlić listę wersji oprogramowania Defender for IoT zainstalowanej na czujniku OT.

User Polecenie Pełna składnia polecenia
Admin system version Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-version Brak atrybutów

Na przykład dla użytkownika administratora :

shell> system version
Version: 22.2.5.9-r-2121448

Pokaż bieżącą datę/godzinę systemu

Użyj następujących poleceń, aby wyświetlić bieżącą datę i godzinę systemu w czujniku sieci OT w formacie GMT.

User Polecenie Pełna składnia polecenia
Admin date Brak atrybutów
cyberx , lub administrator z dostępem głównym date Brak atrybutów
cyberx_host lub administrator z dostępem głównym date Brak atrybutów

Na przykład dla użytkownika administratora :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Włączanie synchronizacji czasu NTP

Użyj następujących poleceń, aby włączyć synchronizację czasu urządzenia z serwerem NTP.

Aby użyć tych poleceń, upewnij się, że:

  • Serwer NTP można uzyskać z portu zarządzania urządzeniem
  • Do synchronizowania wszystkich urządzeń czujników używa się tego samego serwera NTP
User Polecenie Pełna składnia polecenia
Admin ntp enable <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-ntp-enable <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.

Na przykład dla użytkownika administratora :

shell> ntp enable 129.6.15.28
shell>

Wyłączanie synchronizacji czasu NTP

Użyj następujących poleceń, aby wyłączyć synchronizację czasu urządzenia z serwerem NTP.

User Polecenie Pełna składnia polecenia
Admin ntp disable <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-ntp-disable <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.

Na przykład dla użytkownika administratora :

shell> ntp disable 129.6.15.28
shell>

Tworzenie kopii zapasowej i przywracanie

W poniższych sekcjach opisano polecenia interfejsu wiersza polecenia obsługiwane do tworzenia kopii zapasowych i przywracania migawki systemu czujnika sieciowego OT.

Pliki kopii zapasowej obejmują pełną migawkę stanu czujnika, w tym ustawienia konfiguracji, wartości punktu odniesienia, dane spisu i dzienniki.

Uwaga

Nie przerywaj operacji tworzenia kopii zapasowej lub przywracania systemu, ponieważ może to spowodować, że system stanie się bezużyteczny.

Uruchamianie natychmiastowej, nieplanowanej kopii zapasowej

Użyj następującego polecenia, aby uruchomić natychmiastową, nieplanowaną kopię zapasową danych na czujniku OT. Aby uzyskać więcej informacji, zobacz Konfigurowanie plików kopii zapasowych i przywracania.

Uwaga

Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas tworzenia kopii zapasowej danych.

User Polecenie Pełna składnia polecenia
Admin system backup create Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-system-backup Brak atrybutów

Na przykład dla użytkownika administratora :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Wyświetlanie listy bieżących plików kopii zapasowej

Użyj następujących poleceń, aby wyświetlić listę plików kopii zapasowych przechowywanych obecnie w czujniku sieci OT.

User Polecenie Pełna składnia polecenia
Admin system backup list Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-system-backup-list Brak atrybutów

Na przykład dla użytkownika administratora :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Przywracanie danych z najnowszej kopii zapasowej

Użyj następującego polecenia, aby przywrócić dane z czujnika sieciowego OT przy użyciu najnowszego pliku kopii zapasowej. Po wyświetleniu monitu potwierdź, że chcesz kontynuować.

Uwaga

Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas przywracania danych.

User Polecenie Pełna składnia polecenia
Admin system restore Brak atrybutów
cyberx lub administrator z dostępem głównym cyberx-xsense-system-restore -f <filename>

Na przykład dla użytkownika administratora :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Wyświetlanie alokacji miejsca na dysku kopii zapasowej

Następujące polecenie zawiera listę bieżącej alokacji miejsca na dysku kopii zapasowej, w tym następujące szczegóły:

  • Lokalizacja folderu kopii zapasowej
  • Rozmiar folderu kopii zapasowej
  • Ograniczenia folderu kopii zapasowej
  • Czas ostatniej operacji tworzenia kopii zapasowej
  • Wolne miejsce na dysku dostępne dla kopii zapasowych
User Polecenie Pełna składnia polecenia
Admin cyberx-backup-memory-check Brak atrybutów

Na przykład dla użytkownika administratora :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Lokalne zarządzanie użytkownikami

Zmienianie haseł użytkowników lokalnych

Użyj następujących poleceń, aby zmienić hasła dla użytkowników lokalnych w czujniku OT. Nowe hasło musi zawierać co najmniej 8 znaków, zawierać małe i wielkie litery, znaki alfabetyczne, cyfry i symbole.

Po zmianie hasła administratora hasło zostanie zmienione zarówno dla protokołu SSH, jak i dostępu do internetu.

User Polecenie Pełna składnia polecenia
Admin system password <username>

W poniższym przykładzie pokazano, jak użytkownik administratora zmienia hasło. Nowe hasło nie jest wyświetlane na ekranie podczas wpisywania, pamiętaj o zapisie w celu zanotowania hasła i upewnij się, że jest ono poprawnie wpisane po wyświetleniu ponownie hasła.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Konfiguracja sieci

Zmienianie konfiguracji sieci lub ponowne przypisywanie ról interfejsu sieciowego

Użyj następującego polecenia, aby ponownie uruchomić kreatora konfiguracji oprogramowania do monitorowania ot, który pomaga zdefiniować lub ponownie skonfigurować następujące ustawienia czujnika OT:

  • Włączanie/wyłączanie interfejsów monitorowania SPAN
  • Konfigurowanie ustawień sieci dla interfejsu zarządzania (ADRES IP, podsieć, brama domyślna, DNS)
  • Przypisywanie katalogu kopii zapasowej
User Polecenie Pełna składnia polecenia
Admin network reconfigure Brak atrybutów
cyberx python3 -m cyberx.config.configure Brak atrybutów

Na przykład z użytkownikiem administratora :

shell> network reconfigure

Kreator konfiguracji jest uruchamiany automatycznie po uruchomieniu tego polecenia. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania OT.

Weryfikowanie i wyświetlanie konfiguracji interfejsu sieciowego

Użyj następujących poleceń, aby zweryfikować i wyświetlić bieżącą konfigurację interfejsu sieciowego na czujniku OT.

User Polecenie Pełna składnia polecenia
Admin network validate Brak atrybutów

Na przykład dla użytkownika administratora :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Sprawdzanie łączności sieciowej z czujnika OT

Użyj następującego polecenia, aby wysłać komunikat ping z czujnika OT.

User Polecenie Pełna składnia polecenia
Admin ping <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym ping <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego hosta sieciowego IPv4 dostępnego z portu zarządzania na czujniku OT.

Lokalizowanie portu fizycznego przez świateł interfejsu

Użyj następującego polecenia, aby zlokalizować określony interfejs fizyczny, powodując świateł interfejsu.

User Polecenie Pełna składnia polecenia
Admin network blink <INT> Brak atrybutów

W tym poleceniu <INT> znajduje się fizyczny port ethernet na urządzeniu.

W poniższym przykładzie pokazano, jak administrator interfejs eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Wyświetlanie listy połączonych interfejsów fizycznych

Użyj następującego polecenia, aby wyświetlić listę połączonych interfejsów fizycznych w czujniku OT.

User Polecenie Pełna składnia polecenia
Admin network list Brak atrybutów
cyberx lub administrator z dostępem głównym ifconfig Brak atrybutów

Na przykład dla użytkownika administratora :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtry przechwytywania ruchu

Aby zmniejszyć zmęczenie alertami i skoncentrować monitorowanie sieci na ruchu o wysokim priorytcie, możesz zdecydować się na filtrowanie ruchu przesyłanego strumieniowo do usługi Defender dla IoT w źródle. Filtry przechwytywania umożliwiają blokowanie ruchu o wysokiej przepustowości w warstwie sprzętowej, optymalizowanie wydajności i użycia zasobów urządzenia.

Użyj list dołączania/lub wykluczania, aby utworzyć i skonfigurować filtry przechwytywania w czujnikach sieci OT, upewniając się, że nie blokujesz żadnego ruchu, który chcesz monitorować.

Podstawowy przypadek użycia filtrów przechwytywania używa tego samego filtru dla wszystkich składników usługi Defender dla IoT. Jednak w przypadku zaawansowanych przypadków użycia można skonfigurować oddzielne filtry dla każdego z następujących składników usługi Defender dla IoT:

  • horizon: przechwytuje szczegółowe dane inspekcji pakietów (DPI)
  • collector: przechwytuje dane protokołu PCAP
  • traffic-monitor: przechwytuje statystyki komunikacji

Uwaga

  • Filtry przechwytywania nie mają zastosowania do alertów złośliwego oprogramowania usługi Defender dla IoT, które są wyzwalane we wszystkich wykrytych ruchach sieciowych.

  • Polecenie filtru przechwytywania ma limit długości znaków oparty na złożoności definicji filtru przechwytywania i dostępnych możliwości karty sieciowej. Jeśli żądane polecenie filtru zakończy się niepowodzeniem, spróbuj zgrupować podsieci w większe zakresy i użyć krótszego polecenia filtru przechwytywania.

Tworzenie podstawowego filtru dla wszystkich składników

Metoda używana do konfigurowania podstawowego filtru przechwytywania różni się w zależności od użytkownika wykonującego polecenie:

  • cyberx użytkownik: uruchom określone polecenie z określonymi atrybutami, aby skonfigurować filtr przechwytywania.
  • administrator: uruchom określone polecenie, a następnie wprowadź wartości w wierszu polecenia, edytując listy dołączania i wykluczania w edytorze nano.

Użyj następujących poleceń, aby utworzyć nowy filtr przechwytywania:

User Polecenie Pełna składnia polecenia
Admin network capture-filter Brak atrybutów.
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Obsługiwane atrybuty dla użytkownika cyberx są definiowane w następujący sposób:

Atrybut opis
-h, --help Wyświetla komunikat pomocy i kończy działanie.
-i <INCLUDE>, --include <INCLUDE> Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz uwzględnić, gdzie <INCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania.
-x EXCLUDE, --exclude EXCLUDE Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz wykluczyć, gdzie <EXCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Wyklucza ruch TCP na dowolnych określonych portach, gdzie <EXCLUDE_TCP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Wyklucza ruch UDP na dowolnych określonych portach, gdzie <EXCLUDE_UDP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Obejmuje ruch TCP na dowolnych określonych portach, gdzie <INCLUDE_TCP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Obejmuje ruch UDP na dowolnych określonych portach, gdzie <INCLUDE_UDP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Zawiera ruch sieci VLAN według określonych identyfikatorów sieci VLAN, <INCLUDE_VLAN_IDS> definiuje identyfikator sieci VLAN lub identyfikatory, które chcesz uwzględnić. Ogranicz wiele identyfikatorów sieci VLAN według przecinków bez spacji.
-p <PROGRAM>, --program <PROGRAM> Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania. Użyj all w przypadku podstawowych przypadków użycia, aby utworzyć jeden filtr przechwytywania dla wszystkich składników.

W przypadku zaawansowanych przypadków użycia utwórz oddzielne filtry przechwytywania dla każdego składnika. Aby uzyskać więcej informacji, zobacz Tworzenie zaawansowanego filtru dla określonych składników.
-m <MODE>, --mode <MODE> Definiuje tryb listy dołączania i ma zastosowanie tylko wtedy, gdy jest używana lista dołączania. Użyj jednej z następujących wartości:

- internal: obejmuje całą komunikację między określonym źródłem a miejscem docelowym
- all-connected: obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych.

Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B.
Jeśli jednak używasz all-connected trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi.

Przykładowy plik dołączania lub wykluczania

Na przykład plik dołączania lub wykluczania .txt może zawierać następujące wpisy:

192.168.50.10
172.20.248.1

Tworzenie podstawowego filtru przechwytywania przy użyciu użytkownika administratora

Jeśli tworzysz podstawowy filtr przechwytywania jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.

Odpowiedz na monity wyświetlane w następujący sposób:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Wybierz Y , aby otworzyć nowy plik dołączania, w którym możesz dodać urządzenie, kanał i/lub podsieć, które chcesz uwzględnić w monitorowanych ruchu. Żaden inny ruch, nie wymieniony w pliku dołączania, nie jest pozyskiwany do usługi Defender dla IoT.

    Plik dołączania jest otwierany w edytorze tekstów Nano . W pliku dołączania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

    Type Opis Przykład
    Urządzenie Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1 obejmuje cały ruch dla tego urządzenia.
    Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2 zawiera cały ruch dla tego kanału.
    Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1 zawiera cały ruch dla tej podsieci.

    Wyświetl wiele argumentów w oddzielnych wierszach.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Wybierz Y , aby otworzyć nowy plik wykluczania, w którym można dodać urządzenie, kanał i/lub podsieć, które chcesz wykluczyć z monitorowanego ruchu. Każdy inny ruch, który nie znajduje się w pliku wykluczania, jest pozyskiwany do usługi Defender dla IoT.

    Plik wykluczania jest otwierany w edytorze tekstów Nano . W pliku wykluczania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

    Type Opis Przykład
    Urządzenie Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1 wyklucza cały ruch dla tego urządzenia.
    Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2 wyklucza cały ruch między tymi urządzeniami.
    Kanał według portu Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych oraz portu ruchu. 1.1.1.1,2.2.2.2,443 wyklucza cały ruch między tymi urządzeniami i używa określonego portu.
    Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1 wyklucza cały ruch dla tej podsieci.
    Kanał podsieci Zdefiniuj adresy sieciowe kanału podsieci dla podsieci źródłowych i docelowych. 1.1.1,2.2.2 Wyklucza cały ruch między tymi podsieciami.

    Wyświetl wiele argumentów w oddzielnych wierszach.

  3. Odpowiedz na następujące monity, aby zdefiniować wszystkie porty TCP lub UDP do uwzględnienia lub wykluczenia. Oddziel wiele portów przecinkami i naciśnij ENTER, aby pominąć dowolny konkretny monit.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Na przykład wprowadź wiele portów w następujący sposób: 502,443

  4. In which component do you wish to apply this capture filter?

    Wprowadź all wartość dla podstawowego filtru przechwytywania. W przypadku zaawansowanych przypadków użycia utwórz filtry przechwytywania dla każdego składnika usługi Defender dla IoT oddzielnie.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Ten monit umożliwia skonfigurowanie ruchu w zakresie. Określ, czy chcesz zbierać ruch, w którym znajdują się oba punkty końcowe, czy tylko jeden z nich znajduje się w określonej podsieci. Obsługiwane wartości to:

    • internal: obejmuje całą komunikację między określonym źródłem a miejscem docelowym
    • all-connected: obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych.

    Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B.
    Jeśli jednak używasz all-connected trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi.

    internal to tryb domyślny. Aby użyć all-connected trybu, wybierz Y w wierszu polecenia, a następnie wprowadź .all-connected

W poniższym przykładzie przedstawiono serię monitów, które tworzą filtr przechwytywania w celu wykluczenia podsieci 192.168.x.x i portu 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Tworzenie zaawansowanego filtru dla określonych składników

Podczas konfigurowania zaawansowanych filtrów przechwytywania dla określonych składników można użyć początkowego dołączania i wykluczania plików jako podstawowego lub szablonu filtru przechwytywania. Następnie skonfiguruj dodatkowe filtry dla każdego składnika na podstawie zgodnie z potrzebami.

Aby utworzyć filtr przechwytywania dla każdego składnika, pamiętaj, aby powtórzyć cały proces dla każdego składnika.

Uwaga

Jeśli utworzono różne filtry przechwytywania dla różnych składników, wybór trybu jest używany dla wszystkich składników. Definiowanie filtru przechwytywania dla jednego składnika jako internal i filtr przechwytywania dla innego składnika, który all-connected nie jest obsługiwany.

User Polecenie Pełna składnia polecenia
Admin network capture-filter Brak atrybutów.
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Następujące dodatkowe atrybuty są używane dla użytkownika cyberx do tworzenia filtrów przechwytywania dla każdego składnika oddzielnie:

Atrybut opis
-p <PROGRAM>, --program <PROGRAM> Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania, gdzie <PROGRAM> mają następujące obsługiwane wartości:
- traffic-monitor
- collector
- horizon
- all: Tworzy jeden filtr przechwytywania dla wszystkich składników. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowego filtru dla wszystkich składników.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definiuje filtr przechwytywania podstawowego horizon dla składnika, w którym <BASE_HORIZON> jest filtr, którego chcesz użyć.
Wartość domyślna = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definiuje podstawowy filtr przechwytywania traffic-monitor dla składnika.
Wartość domyślna = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definiuje podstawowy filtr przechwytywania collector dla składnika.
Wartość domyślna = ""

Inne wartości atrybutów mają takie same opisy jak w podstawowym przypadku użycia opisanym wcześniej.

Tworzenie zaawansowanego filtru przechwytywania przy użyciu użytkownika administratora

Jeśli tworzysz filtr przechwytywania dla każdego składnika oddzielnie jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.

Większość monitów jest identyczna z podstawowym przypadkiem użycia. Odpowiedz na następujące dodatkowe monity w następujący sposób:

  1. In which component do you wish to apply this capture filter?

    Wprowadź jedną z następujących wartości, w zależności od składnika, który chcesz filtrować:

    • horizon
    • traffic-monitor
    • collector

  2. Zostanie wyświetlony monit o skonfigurowanie niestandardowego filtru przechwytywania podstawowego dla wybranego składnika. Ta opcja używa filtru przechwytywania skonfigurowanego w poprzednich krokach jako podstawy lub szablonu, w którym można dodać dodatkowe konfiguracje na podstawie.

    Jeśli na przykład wybrano opcję skonfigurowania filtru przechwytywania dla collector składnika w poprzednim kroku, zostanie wyświetlony monit: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Wprowadź wartość Y , aby dostosować szablon dla określonego składnika lub N użyć wcześniej skonfigurowanego filtru przechwytywania.

Kontynuuj od pozostałych monitów, tak jak w podstawowym przypadku użycia.

Wyświetlanie listy bieżących filtrów przechwytywania dla określonych składników

Użyj następujących poleceń, aby wyświetlić szczegółowe informacje o bieżących filtrach przechwytywania skonfigurowanych dla czujnika.

User Polecenie Pełna składnia polecenia
Admin Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika:

- horyzont: edit-config horizon_parser/horizon.properties
- monitor ruchu: edit-config traffic_monitor/traffic-monitor
- moduł zbierający: edit-config dumpark.properties		 Brak atrybutów
cyberx lub administrator z dostępem głównym Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika:

-horyzont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitor ruchu: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- moduł zbierający: nano /var/cyberx/properties/dumpark.properties		 Brak atrybutów

Te polecenia otwierają następujące pliki, które zawierają listę filtrów przechwytywania skonfigurowanych dla każdego składnika:

Nazwisko Plik Właściwości
horyzont /var/cyberx/properties/horizon.properties horizon.processor.filter
monitor ruchu /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
kolekcjoner /var/cyberx/properties/dumpark.properties dumpark.network.filter

Na przykład w przypadku użytkownika administratora z filtrem przechwytywania zdefiniowanym dla składnika modułu zbierającego , który wyklucza podsieć 192.168.x.x i port 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Resetuj wszystkie filtry przechwytywania

Użyj następującego polecenia, aby zresetować czujnik do domyślnej konfiguracji przechwytywania z użytkownikiem cyberx , usuwając wszystkie filtry przechwytywania.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter -p all -m all-connected Brak atrybutów

Jeśli chcesz zmodyfikować istniejące filtry przechwytywania, uruchom ponownie wcześniejsze polecenie z nowymi wartościami atrybutów.

Aby zresetować wszystkie filtry przechwytywania przy użyciu użytkownika administratora, uruchom ponownie wcześniejsze polecenie i odpowiedz na N wszystkie monity, aby zresetować wszystkie filtry przechwytywania.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Następne kroki

Dowiedz się więcej o poleceniach interfejsu wiersza polecenia usługi Defender for IoT