CLI-kommandoreferens från OT-nätverkssensorer
I den här artikeln visas de CLI-kommandon som är tillgängliga från Defender för IoT OT-nätverkssensorer.
Varning
Endast dokumenterade konfigurationsparametrar i OT-nätverkssensorn och den lokala hanteringskonsolen stöds för kundkonfiguration. Ändra inte några odokumenterade konfigurationsparametrar eller systemegenskaper eftersom ändringar kan orsaka oväntat beteende och systemfel.
Att ta bort paket från sensorn utan Microsofts godkännande kan orsaka oväntade resultat. Alla paket som är installerade på sensorn krävs för rätt sensorfunktionalitet.
Förutsättningar
Innan du kan köra något av följande CLI-kommandon behöver du åtkomst till CLI på din OT-nätverkssensor som en privilegierad användare.
Även om den här artikeln visar kommandosyntaxen för varje användare rekommenderar vi att du använder administratörsanvändaren för alla CLI-kommandon där administratörsanvändaren stöds.
Mer information finns i Access the CLI and Privileged user access for OT monitoring (Åtkomst till CLI och privilegierad användaråtkomst för OT-övervakning).
Underhåll av installation
Kontrollera hälsotillståndet för OT-övervakningstjänster
Använd följande kommandon för att kontrollera att Defender for IoT-programmet på OT-sensorn fungerar korrekt, inklusive webbkonsolen och trafikanalysprocesserna.
Hälsokontroller är också tillgängliga från OT-sensorkonsolen. Mer information finns i Felsöka sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system sanity |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-sanity |
Inga attribut |
I följande exempel visas kommandosyntaxen och svaret för administratörsanvändaren:
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Starta om en installation
Använd följande kommandon för att starta om OT-sensorinstallationen.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system reboot |
Inga attribut |
cyberx_host eller administratör med rotåtkomst | sudo reboot |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> system reboot
Stäng av en apparat
Använd följande kommandon för att stänga av OT-sensorinstallationen.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system shutdown |
Inga attribut |
cyberx_host eller administratör med rotåtkomst | sudo shutdown -r now |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> system shutdown
Visa installerad programvaruversion
Använd följande kommandon för att visa den version av Defender for IoT-programvaran som är installerad på ot-sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system version |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-version |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> system version
Version: 22.2.5.9-r-2121448
Visa aktuellt systemdatum/-tid
Använd följande kommandon för att visa det aktuella systemets datum och tid på din OT-nätverkssensor i GMT-format.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | date |
Inga attribut |
cyberx eller administratör med rotåtkomst | date |
Inga attribut |
cyberx_host eller administratör med rotåtkomst | date |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
Aktivera NTP-tidssynkronisering
Använd följande kommandon för att aktivera synkronisering för installationstiden med en NTP-server.
Om du vill använda dessa kommandon kontrollerar du att:
- NTP-servern kan nås från installationshanteringsporten
- Du använder samma NTP-server för att synkronisera alla sensorinstallationer och den lokala hanteringskonsolen
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | ntp enable <IP address> |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-ntp-enable <IP address> |
Inga attribut |
I dessa kommandon <IP address>
är IP-adressen för en giltig IPv4 NTP-server med port 123.
Till exempel för administratörsanvändaren:
shell> ntp enable 129.6.15.28
shell>
Inaktivera NTP-tidssynkronisering
Använd följande kommandon för att inaktivera synkroniseringen för installationstiden med en NTP-server.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | ntp disable <IP address> |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-ntp-disable <IP address> |
Inga attribut |
I dessa kommandon <IP address>
är IP-adressen för en giltig IPv4 NTP-server med port 123.
Till exempel för administratörsanvändaren:
shell> ntp disable 129.6.15.28
shell>
Säkerhetskopiering och återställning
I följande avsnitt beskrivs DE CLI-kommandon som stöds för säkerhetskopiering och återställning av en systemögonblicksbild av din OT-nätverkssensor.
Säkerhetskopieringsfiler innehåller en fullständig ögonblicksbild av sensortillståndet, inklusive konfigurationsinställningar, baslinjevärden, inventeringsdata och loggar.
Varning
Avbryt inte en systemsäkerhetskopiering eller återställningsåtgärd eftersom detta kan leda till att systemet blir oanvändbart.
Starta en omedelbar, oplanerad säkerhetskopia
Använd följande kommando för att starta en omedelbar, oplanerad säkerhetskopiering av data på ot-sensorn. Mer information finns i Konfigurera säkerhetskopierings- och återställningsfiler.
Varning
Se till att inte stoppa eller stänga av apparaten när du säkerhetskopierar data.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system backup create |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-system-backup |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Visa en lista över aktuella säkerhetskopieringsfiler
Använd följande kommandon för att lista de säkerhetskopierade filer som för närvarande lagras på din OT-nätverkssensor.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system backup list |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-system-backup-list |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Återställa data från den senaste säkerhetskopieringen
Använd följande kommando för att återställa data på din OT-nätverkssensor med hjälp av den senaste säkerhetskopieringsfilen. Bekräfta att du vill fortsätta när du uppmanas att göra det.
Varning
Se till att inte stoppa eller stänga av apparaten när du återställer data.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system restore |
Inga attribut |
cyberx eller administratör med rotåtkomst | cyberx-xsense-system-restore |
-f <filename> |
Till exempel för administratörsanvändaren:
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Visa allokering av säkerhetskopieringsdiskutrymme
Följande kommando visar den aktuella allokeringen av säkerhetskopieringsdiskutrymme, inklusive följande information:
- Plats för säkerhetskopieringsmapp
- Storlek på säkerhetskopieringsmapp
- Begränsningar för säkerhetskopieringsmappar
- Senaste säkerhetskopieringsåtgärdstid
- Ledigt diskutrymme för säkerhetskopieringar
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | cyberx-backup-memory-check |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Lokal användarhantering
Ändra lösenord för lokala användare
Använd följande kommandon för att ändra lösenord för lokala användare på ot-sensorn. Det nya lösenordet måste innehålla minst 8 tecken, innehålla gemener och versaler, alfabetiska tecken, siffror och symboler.
När du ändrar lösenordet för administratören ändras lösenordet för både SSH och webbåtkomst.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | system password |
<username> |
I följande exempel visas administratörsanvändarens ändring av lösenordet. Det nya lösenordet visas inte på skärmen när du skriver det, se till att skriva för att anteckna det och se till att det är korrekt skrivet när du uppmanas att ange lösenordet igen.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Konfiguration av nätverk
Ändra nätverkskonfiguration eller tilldela om nätverksgränssnittsroller
Använd följande kommando för att köra guiden för konfiguration av OT-övervakningsprogram igen, vilket hjälper dig att definiera eller konfigurera om följande INSTÄLLNINGAR för OT-sensorn:
- Aktivera/inaktivera SPAN-övervakningsgränssnitt
- Konfigurera nätverksinställningar för hanteringsgränssnittet (IP, undernät, standardgateway, DNS)
- Tilldela en säkerhetskopieringskatalog
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network reconfigure |
Inga attribut |
cyberx | python3 -m cyberx.config.configure |
Inga attribut |
Till exempel med administratörsanvändaren:
shell> network reconfigure
Konfigurationsguiden startar automatiskt när du har kört det här kommandot. Mer information finns i Installera OT-övervakningsprogram.
Verifiera och visa konfiguration av nätverksgränssnitt
Använd följande kommandon för att verifiera och visa den aktuella nätverksgränssnittskonfigurationen på OT-sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network validate |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Kontrollera nätverksanslutningen från OT-sensorn
Använd följande kommando för att skicka ett pingmeddelande från OT-sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | ping <IP address> |
Inga attribut |
cyberx eller administratör med rotåtkomst | ping <IP address> |
Inga attribut |
I dessa kommandon <IP address>
är IP-adressen för en giltig IPv4-nätverksvärd tillgänglig från hanteringsporten på din OT-sensor.
Hitta en fysisk port genom att blinka gränssnittsljus
Använd följande kommando för att hitta ett specifikt fysiskt gränssnitt genom att orsaka att gränssnittsbelysningen blinkar.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network blink <INT> |
Inga attribut |
I det här kommandot <INT>
är en fysisk Ethernet-port på enheten.
I följande exempel visas administratörsanvändaren som blinkar i gränssnittet eth0:
shell> network blink eth0
Blinking interface for 20 seconds ...
Visa en lista över anslutna fysiska gränssnitt
Använd följande kommando för att visa en lista över anslutna fysiska gränssnitt på ot-sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network list |
Inga attribut |
cyberx eller administratör med rotåtkomst | ifconfig |
Inga attribut |
Till exempel för administratörsanvändaren:
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filter för trafikinsamling
För att minska aviseringströttheten och fokusera nätverksövervakningen på trafik med hög prioritet kan du välja att filtrera den trafik som strömmar till Defender för IoT vid källan. Med insamlingsfilter kan du blockera trafik med hög bandbredd på maskinvarulagret, vilket optimerar både installationens prestanda och resursanvändning.
Använd inkludera en/eller exkludera listor för att skapa och konfigurera avbildningsfilter på dina OT-nätverkssensorer, så att du inte blockerar någon av de trafik som du vill övervaka.
Det grundläggande användningsfallet för insamlingsfilter använder samma filter för alla Defender för IoT-komponenter. För avancerade användningsfall kanske du vill konfigurera separata filter för var och en av följande Defender för IoT-komponenter:
horizon
: Samlar in DPI-data (deep packet inspection)collector
: Samlar in PCAP-datatraffic-monitor
: Samlar in kommunikationsstatistik
Kommentar
Avbildningsfilter gäller inte för aviseringar om skadlig kod i Defender för IoT, som utlöses på all identifierad nätverkstrafik.
Avbildningsfilterkommandot har en teckenlängdsgräns som baseras på komplexiteten i avbildningsfilterdefinitionen och de tillgängliga nätverksgränssnittskortfunktionerna. Om det begärda filtret inte fungerar kan du prova att gruppera undernät i större omfång och använda ett kortare kommando för avbildningsfilter.
Skapa ett grundläggande filter för alla komponenter
Den metod som används för att konfigurera ett grundläggande avbildningsfilter skiljer sig åt beroende på vilken användare som utför kommandot:
- cyberx-användare : Kör det angivna kommandot med specifika attribut för att konfigurera avbildningsfiltret.
- administratörsanvändare : Kör det angivna kommandot och ange sedan värden som efterfrågas av CLI, redigera dina ta med- och exkluderingslistor i en nanoredigerare.
Använd följande kommandon för att skapa ett nytt avbildningsfilter:
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network capture-filter |
Inga attribut. |
cyberx eller administratör med rotåtkomst | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Attribut som stöds för cyberx-användaren definieras på följande sätt:
Attribut | beskrivning |
---|---|
-h , --help |
Visar hjälpmeddelandet och avslutas. |
-i <INCLUDE> , --include <INCLUDE> |
Sökvägen till en fil som innehåller de enheter och undernätsmasker som du vill inkludera, där <INCLUDE> är sökvägen till filen. Se till exempel Exempel på inkludera eller exkludera fil. |
-x EXCLUDE , --exclude EXCLUDE |
Sökvägen till en fil som innehåller de enheter och undernätsmasker som du vill exkludera, där <EXCLUDE> är sökvägen till filen. Se till exempel Exempel på inkludera eller exkludera fil. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Exkluderar TCP-trafik på alla angivna portar, där <EXCLUDE_TCP_PORT> definierar den port eller port som du vill exkludera. Avgränsa flera portar med kommatecken, utan blanksteg. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Exkluderar UDP-trafik på angivna portar, där <EXCLUDE_UDP_PORT> definierar den port eller de portar som du vill exkludera. Avgränsa flera portar med kommatecken, utan blanksteg. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Innehåller TCP-trafik på alla angivna portar, där <INCLUDE_TCP_PORT> definierar den port eller port som du vill inkludera. Avgränsa flera portar med kommatecken, utan blanksteg. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Inkluderar UDP-trafik på alla angivna portar, där <INCLUDE_UDP_PORT> definierar den port eller de portar som du vill inkludera. Avgränsa flera portar med kommatecken, utan blanksteg. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Innehåller VLAN-trafik med angivna VLAN-ID:er, <INCLUDE_VLAN_IDS> definierar det VLAN-ID eller ID som du vill inkludera. Avgränsa flera VLAN-ID:n med kommatecken, utan blanksteg. |
-p <PROGRAM> , --program <PROGRAM> |
Definierar den komponent som du vill konfigurera ett avbildningsfilter för. Använd all för grundläggande användningsfall för att skapa ett enda avbildningsfilter för alla komponenter. För avancerade användningsfall skapar du separata avbildningsfilter för varje komponent. Mer information finns i Skapa ett avancerat filter för specifika komponenter. |
-m <MODE> , --mode <MODE> |
Definierar ett inkluderingslistläge och är endast relevant när en inkluderingslista används. Använd något av följande värden: - internal : Innehåller all kommunikation mellan den angivna källan och målet - all-connected : Innehåller all kommunikation mellan någon av de angivna slutpunkterna och externa slutpunkter. Om du till exempel använder internal läget för slutpunkterna A och B inkluderar inkluderad trafik endast kommunikation mellan slutpunkterna A och B. Men om du använder all-connected läget inkluderar inkluderad trafik all kommunikation mellan A eller B och andra externa slutpunkter. |
Exempel på inkludera eller exkludera fil
Till exempel kan en inkludera eller exkludera .txt fil innehålla följande poster:
192.168.50.10
172.20.248.1
Skapa ett grundläggande avbildningsfilter med administratörsanvändaren
Om du skapar ett grundläggande avbildningsfilter som administratörsanvändare skickas inga attribut i det ursprungliga kommandot. I stället visas en serie med frågor som hjälper dig att skapa insamlingsfiltret interaktivt.
Svara på de frågor som visas på följande sätt:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Välj
Y
att öppna en ny inkluderingsfil, där du kan lägga till en enhet, kanal och/eller undernät som du vill inkludera i övervakad trafik. All annan trafik, som inte visas i din inkluderingsfil, matas inte in i Defender för IoT.Inkluderingsfilen öppnas i Nano-textredigeraren . I include-filen definierar du enheter, kanaler och undernät enligt följande:
Typ Beskrivning Exempel Enhet Definiera en enhet med dess IP-adress. 1.1.1.1
innehåller all trafik för den här enheten.Kanal Definiera en kanal med IP-adresserna för dess käll- och målenheter, avgränsade med ett kommatecken. 1.1.1.1,2.2.2.2
innehåller all trafik för den här kanalen.Undernät Definiera ett undernät efter dess nätverksadress. 1.1.1
innehåller all trafik för det här undernätet.Lista flera argument i separata rader.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Välj
Y
att öppna en ny exkluderingsfil där du kan lägga till en enhet, kanal och/eller undernät som du vill undanta från övervakad trafik. All annan trafik, som inte visas i din exkluderingsfil, matas in till Defender för IoT.Exkluderingsfilen öppnas i Nano-textredigeraren . I exkluderingsfilen definierar du enheter, kanaler och undernät på följande sätt:
Typ Beskrivning Exempel Enhet Definiera en enhet med dess IP-adress. 1.1.1.1
utesluter all trafik för den här enheten.Kanal Definiera en kanal med IP-adresserna för dess käll- och målenheter, avgränsade med ett kommatecken. 1.1.1.1,2.2.2.2
utesluter all trafik mellan dessa enheter.Kanal efter port Definiera en kanal efter IP-adresserna för dess käll- och målenheter och trafikporten. 1.1.1.1,2.2.2.2,443
exkluderar all trafik mellan dessa enheter och använder den angivna porten.Undernät Definiera ett undernät efter dess nätverksadress. 1.1.1
exkluderar all trafik för det här undernätet.Undernätskanal Definiera nätverksadresser för undernätskanalen för käll- och målundernäten. 1.1.1,2.2.2
undantar all trafik mellan dessa undernät.Lista flera argument i separata rader.
Svara på följande uppmaningar om att definiera eventuella TCP- eller UDP-portar som ska inkluderas eller exkluderas. Avgränsa flera portar med kommatecken och tryck på RETUR för att hoppa över en specifik fråga.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Ange till exempel flera portar enligt följande:
502,443
In which component do you wish to apply this capture filter?
Ange
all
för ett grundläggande avbildningsfilter. För avancerade användningsfall skapar du avbildningsfilter för varje Defender för IoT-komponent separat.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Med den här uppmaningen kan du konfigurera vilken trafik som finns i omfånget. Definiera om du vill samla in trafik där båda slutpunkterna finns i omfånget, eller om endast en av dem finns i det angivna undernätet. Värden som stöds är:
internal
: Innehåller all kommunikation mellan den angivna källan och måletall-connected
: Innehåller all kommunikation mellan någon av de angivna slutpunkterna och externa slutpunkter.
Om du till exempel använder
internal
läget för slutpunkterna A och B inkluderar inkluderad trafik endast kommunikation mellan slutpunkterna A och B.
Men om du använderall-connected
läget inkluderar inkluderad trafik all kommunikation mellan A eller B och andra externa slutpunkter.Standardläget är
internal
. Om du vill användaall-connected
läget väljer duY
i kommandotolken och angerall-connected
sedan .
I följande exempel visas en serie med frågor som skapar ett avbildningsfilter för att exkludera undernät 192.168.x.x
och port 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Skapa ett avancerat filter för specifika komponenter
När du konfigurerar avancerade avbildningsfilter för specifika komponenter kan du använda ditt första filtreringsfilter för att inkludera och exkludera filer som bas eller mall. Konfigurera sedan extra filter för varje komponent ovanpå basen efter behov.
Om du vill skapa ett avbildningsfilter för varje komponent måste du upprepa hela processen för varje komponent.
Kommentar
Om du har skapat olika avbildningsfilter för olika komponenter används valet av läge för alla komponenter. Definiera avbildningsfiltret för en komponent som internal
och insamlingsfiltret för en annan komponent som all-connected
inte stöds.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | network capture-filter |
Inga attribut. |
cyberx eller administratör med rotåtkomst | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Följande extra attribut används för cyberx-användaren för att skapa avbildningsfilter för varje komponent separat:
Attribut | beskrivning |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Definierar den komponent som du vill konfigurera ett avbildningsfilter för, där <PROGRAM> följande värden stöds: - traffic-monitor - collector - horizon - all : Skapar ett enda insamlingsfilter för alla komponenter. Mer information finns i Skapa ett grundläggande filter för alla komponenter. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Definierar ett basavbildningsfilter för komponenten horizon , där <BASE_HORIZON> är det filter som du vill använda. Standardvärde = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definierar ett basavbildningsfilter för komponenten traffic-monitor . Standardvärde = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Definierar ett basavbildningsfilter för komponenten collector . Standardvärde = "" |
Andra attributvärden har samma beskrivningar som i det grundläggande användningsfallet, som beskrevs tidigare.
Skapa ett avancerat avbildningsfilter med administratörsanvändaren
Om du skapar ett avbildningsfilter för varje komponent separat som administratörsanvändare skickas inga attribut i det ursprungliga kommandot. I stället visas en serie med frågor som hjälper dig att skapa insamlingsfiltret interaktivt.
De flesta av anvisningarna är identiska med grundläggande användningsfall. Svara på följande extra frågor på följande sätt:
In which component do you wish to apply this capture filter?
Ange något av följande värden, beroende på vilken komponent du vill filtrera:
horizon
traffic-monitor
collector
Du uppmanas att konfigurera ett anpassat basavbildningsfilter för den valda komponenten. Det här alternativet använder det avbildningsfilter som du konfigurerade i föregående steg som bas eller mall, där du kan lägga till extra konfigurationer ovanpå basen.
Om du till exempel har valt att konfigurera ett avbildningsfilter för komponenten
collector
i föregående steg uppmanas du att:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Ange
Y
för att anpassa mallen för den angivna komponenten ellerN
för att använda avbildningsfiltret som du konfigurerade tidigare som det är.
Fortsätt med de återstående anvisningarna som i det grundläggande användningsfallet.
Lista aktuella avbildningsfilter för specifika komponenter
Använd följande kommandon för att visa information om de aktuella avbildningsfilter som har konfigurerats för sensorn.
User | Command | Fullständig kommandosyntax |
---|---|---|
Admin | Använd följande kommandon för att visa avbildningsfilter för varje komponent: - horisont: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - insamlare: edit-config dumpark.properties |
Inga attribut |
cyberx eller administratör med rotåtkomst | Använd följande kommandon för att visa avbildningsfilter för varje komponent: -horisont: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - insamlare: nano /var/cyberx/properties/dumpark.properties |
Inga attribut |
Dessa kommandon öppnar följande filer, som visar en lista över de avbildningsfilter som konfigurerats för varje komponent:
Name | Fil | Property |
---|---|---|
horisont | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
samlare | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Till exempel med administratörsanvändaren, med ett insamlingsfilter definierat för insamlarekomponenten som exkluderar undernätet 192.168.x.x och port 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Återställa alla avbildningsfilter
Använd följande kommando för att återställa sensorn till standardkonfigurationen för avbildning med cyberx-användaren och ta bort alla avbildningsfilter.
User | Command | Fullständig kommandosyntax |
---|---|---|
cyberx eller administratör med rotåtkomst | cyberx-xsense-capture-filter -p all -m all-connected |
Inga attribut |
Om du vill ändra befintliga avbildningsfilter kör du det tidigare kommandot igen med nya attributvärden.
Om du vill återställa alla avbildningsfilter med administratörsanvändaren kör du det tidigare kommandot igen och svarar på N
alla uppmaningar om att återställa alla avbildningsfilter.
I följande exempel visas kommandosyntaxen och svaret för cyberx-användaren :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#