مرجع أمر CLI من مستشعرات شبكة OT

تسرد هذه المقالة أوامر CLI المتوفرة من Defender لمستشعرات شبكة IoT OT.

تنبيه

يتم دعم معلمات التكوين الموثقة فقط على مستشعر شبكة OT ووحدة تحكم الإدارة المحلية لتكوين العميل. لا تقم بتغيير أي معلمات تكوين غير مستندة أو خصائص النظام، حيث قد تتسبب التغييرات في حدوث سلوك غير متوقع وفشل في النظام.

يمكن أن تؤدي إزالة الحزم من أداة الاستشعار دون موافقة Microsoft إلى نتائج غير متوقعة. جميع الحزم المثبتة على أداة الاستشعار مطلوبة لوظائف المستشعر الصحيحة.

المتطلبات الأساسية

قبل أن تتمكن من تشغيل أي من أوامر CLI التالية، ستحتاج إلى الوصول إلى CLI على مستشعر شبكة OT كمستخدم متميز.

بينما تسرد هذه المقالة بناء جملة الأمر لكل مستخدم، نوصي باستخدام المستخدم المسؤول لجميع أوامر CLI حيث يتم دعم المستخدم المسؤول .

لمزيد من المعلومات، راجع الوصول إلى CLI ووصول المستخدم المتميز لمراقبة OT.

صيانة الأجهزة

التحقق من صحة خدمات مراقبة OT

استخدم الأوامر التالية للتحقق من أن تطبيق Defender for IoT على مستشعر OT يعمل بشكل صحيح، بما في ذلك وحدة تحكم الويب وعمليات تحليل حركة المرور.

تتوفر فحوصات السلامة أيضا من وحدة تحكم أداة استشعار OT. لمزيد من المعلومات، راجع استكشاف أخطاء أداة الاستشعار وإصلاحها.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system sanity لا توجد سمات
cyberx، أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-sanity لا توجد سمات

يوضح المثال التالي بناء جملة الأمر والاستجابة للمستخدم المسؤول :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

إعادة تشغيل جهاز

استخدم الأوامر التالية لإعادة تشغيل جهاز استشعار OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system reboot لا توجد سمات
cyberx_host ، أو المسؤول الذي لديه حق الوصول الجذر sudo reboot لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> system reboot

إيقاف تشغيل جهاز

استخدم الأوامر التالية لإيقاف تشغيل جهاز استشعار OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system shutdown لا توجد سمات
cyberx_host أو المسؤول الذي لديه حق الوصول الجذر sudo shutdown -r now لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> system shutdown

إظهار إصدار البرامج المثبتة

استخدم الأوامر التالية لسرد إصدار برنامج Defender for IoT المثبت على مستشعر OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system version لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-version لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> system version
Version: 22.2.5.9-r-2121448

إظهار تاريخ/وقت النظام الحالي

استخدم الأوامر التالية لإظهار تاريخ النظام الحالي ووقته على مستشعر شبكة OT، بتنسيق GMT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف date لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر date لا توجد سمات
cyberx_host ، أو المسؤول الذي لديه حق الوصول الجذر date لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

تشغيل مزامنة وقت NTP

استخدم الأوامر التالية لتشغيل المزامنة لوقت الجهاز باستخدام خادم NTP.

لاستخدام هذه الأوامر، تأكد مما يلي:

  • يمكن الوصول إلى خادم NTP من منفذ إدارة الأجهزة
  • يمكنك استخدام نفس خادم NTP لمزامنة جميع أجهزة الاستشعار ووحدة تحكم الإدارة المحلية
المستخدم الأمر بناء جملة الأمر الكامل
مشرف ntp enable <IP address> لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-ntp-enable <IP address> لا توجد سمات

في هذه الأوامر، <IP address> هو عنوان IP لخادم IPv4 NTP صالح باستخدام المنفذ 123.

على سبيل المثال، للمستخدم المسؤول :

shell> ntp enable 129.6.15.28
shell>

إيقاف تشغيل مزامنة وقت NTP

استخدم الأوامر التالية لإيقاف تشغيل المزامنة لوقت الجهاز باستخدام خادم NTP.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف ntp disable <IP address> لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-ntp-disable <IP address> لا توجد سمات

في هذه الأوامر، <IP address> هو عنوان IP لخادم IPv4 NTP صالح باستخدام المنفذ 123.

على سبيل المثال، للمستخدم المسؤول :

shell> ntp disable 129.6.15.28
shell>

النسخ الاحتياطي والاستعادة

تصف الأقسام التالية أوامر CLI المدعومة للنسخ الاحتياطي واستعادة لقطة نظام لمستشعر شبكة OT.

تتضمن ملفات النسخ الاحتياطي لقطة كاملة لحالة المستشعر، بما في ذلك إعدادات التكوين والقيم الأساسية وبيانات المخزون والسجلات.

تنبيه

لا تقاطع عملية النسخ الاحتياطي أو الاستعادة للنظام لأن هذا قد يتسبب في أن يصبح النظام غير قابل للاستخدام.

بدء نسخة احتياطية فورية غير مجدولة

استخدم الأمر التالي لبدء نسخة احتياطية فورية غير مجدولة للبيانات الموجودة على مستشعر OT. لمزيد من المعلومات، راجع إعداد ملفات النسخ الاحتياطي والاستعادة.

تنبيه

تأكد من عدم إيقاف الجهاز أو إيقاف تشغيله أثناء النسخ الاحتياطي للبيانات.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system backup create لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-system-backup لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

سرد ملفات النسخ الاحتياطي الحالية

استخدم الأوامر التالية لسرد ملفات النسخ الاحتياطي المخزنة حاليا على مستشعر شبكة OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system backup list لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-system-backup-list لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

استعادة البيانات من أحدث نسخة احتياطية

استخدم الأمر التالي لاستعادة البيانات على مستشعر شبكة OT باستخدام أحدث ملف نسخ احتياطي. عند المطالبة، تأكد من رغبتك في المتابعة.

تنبيه

تأكد من عدم إيقاف الجهاز أو إيقاف تشغيله أثناء استعادة البيانات.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system restore لا توجد سمات
cyberx، أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-system-restore -f <filename>

على سبيل المثال، للمستخدم المسؤول :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

عرض تخصيص مساحة القرص الاحتياطي

يسرد الأمر التالي تخصيص مساحة قرص النسخ الاحتياطي الحالي، بما في ذلك التفاصيل التالية:

  • موقع مجلد النسخ الاحتياطي
  • حجم مجلد النسخ الاحتياطي
  • قيود مجلد النسخ الاحتياطي
  • آخر وقت لعملية النسخ الاحتياطي
  • مساحة القرص المتوفرة للنسخ الاحتياطية
المستخدم الأمر بناء جملة الأمر الكامل
مشرف cyberx-backup-memory-check لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

إدارة المستخدمين المحليين

تغيير كلمات مرور المستخدمين المحليين

استخدم الأوامر التالية لتغيير كلمات المرور للمستخدمين المحليين على مستشعر OT. يجب أن تكون كلمة المرور الجديدة 8 أحرف على الأقل، وأن تحتوي على أحرف صغيرة وأحرف كبيرة وأحرف أبجدية وأرقام ورموز.

عند تغيير كلمة المرور للمسؤول، يتم تغيير كلمة المرور لكل من SSH والوصول إلى الويب.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف system password <username>

يوضح المثال التالي تغيير المستخدم المسؤول لكلمة المرور. لا تظهر كلمة المرور الجديدة على الشاشة عند كتابتها، تأكد من الكتابة لتدوين ملاحظة بها وتأكد من كتابتها بشكل صحيح عند مطالبتك بإعادة إدخال كلمة المرور.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

تكوين الشبكة

تغيير تكوين الشبكة أو إعادة تعيين أدوار واجهة الشبكة

استخدم الأمر التالي لإعادة تشغيل معالج تكوين برنامج مراقبة OT، والذي يساعدك على تحديد إعدادات مستشعر OT التالية أو إعادة تكوينها:

  • تمكين/تعطيل واجهات مراقبة SPAN
  • تكوين إعدادات الشبكة لواجهة الإدارة (IP، الشبكة الفرعية، البوابة الافتراضية، DNS)
  • تعيين دليل النسخ الاحتياطي
المستخدم الأمر بناء جملة الأمر الكامل
مشرف sudo dpkg-reconfigure iot-sensor لا توجد سمات

على سبيل المثال، مع المستخدم المسؤول :

shell> sudo dpkg-reconfigure iot-sensor

يبدأ معالج التكوين تلقائيا بعد تشغيل هذا الأمر. لمزيد من المعلومات، راجع تثبيت برنامج مراقبة OT.

التحقق من صحة تكوين واجهة الشبكة وإظهاره

استخدم الأوامر التالية للتحقق من صحة تكوين واجهة الشبكة الحالية وإظهاره على مستشعر OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف network validate لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

التحقق من اتصال الشبكة من مستشعر OT

استخدم الأمر التالي لإرسال رسالة اتصال من مستشعر OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف ping <IP address> لا توجد سمات
cyberx أو المسؤول الذي لديه حق الوصول الجذر ping <IP address> لا توجد سمات

في هذه الأوامر، <IP address> هو عنوان IP لمضيف شبكة IPv4 صالح يمكن الوصول إليه من منفذ الإدارة على مستشعر OT.

تحديد موقع منفذ فعلي عن طريق وميض أضواء الواجهة

استخدم الأمر التالي لتحديد موقع واجهة فعلية معينة عن طريق التسبب في وميض أضواء الواجهة.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف network blink <INT> لا توجد سمات

في هذا الأمر، <INT> هو منفذ إيثرنت فعلي على الجهاز.

يوضح المثال التالي المستخدم المسؤول يومض واجهة eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

سرد الواجهات الفعلية المتصلة

استخدم الأمر التالي لسرد الواجهات المادية المتصلة على مستشعر OT.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف network list لا توجد سمات
cyberx، أو المسؤول الذي لديه حق الوصول الجذر ifconfig لا توجد سمات

على سبيل المثال، للمستخدم المسؤول :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

عوامل تصفية التقاط نسبة استخدام الشبكة

لتقليل تعب التنبيه وتركيز مراقبة الشبكة على نسبة استخدام الشبكة ذات الأولوية العالية، قد تقرر تصفية نسبة استخدام الشبكة التي تتدفق إلى Defender for IoT في المصدر. تسمح لك عوامل تصفية الالتقاط بحظر نسبة استخدام الشبكة ذات النطاق الترددي العالي في طبقة الأجهزة، ما يؤدي إلى تحسين أداء الجهاز واستخدام الموارد.

يتضمن الاستخدام /أو استبعاد القوائم لإنشاء وتكوين عوامل تصفية الالتقاط على مستشعرات شبكة OT، مع التأكد من عدم حظر أي من حركة المرور التي تريد مراقبتها.

تستخدم حالة الاستخدام الأساسية لعوامل تصفية الالتقاط نفس عامل التصفية لجميع مكونات Defender for IoT. ومع ذلك، بالنسبة لحالات الاستخدام المتقدمة، قد تحتاج إلى تكوين عوامل تصفية منفصلة لكل من مكونات Defender for IoT التالية:

  • horizon: يلتقط بيانات فحص الحزمة العميقة (DPI)
  • collector: يلتقط بيانات PCAP
  • traffic-monitor: يلتقط إحصائيات الاتصال

إشعار

  • لا تنطبق عوامل تصفية الالتقاط على Defender لتنبيهات البرامج الضارة ل IoT، والتي يتم تشغيلها على جميع حركة مرور الشبكة المكتشفة.

  • يحتوي أمر عامل تصفية الالتقاط على حد طول الأحرف استنادا إلى تعقيد تعريف عامل تصفية الالتقاط وقدرات بطاقة واجهة الشبكة المتوفرة. إذا فشل عامل التصفية المطلوب commmand، فحاول تجميع الشبكات الفرعية في نطاقات أكبر واستخدام أمر تصفية التقاط أقصر.

إنشاء عامل تصفية أساسي لجميع المكونات

تختلف الطريقة المستخدمة لتكوين عامل تصفية التقاط أساسي، اعتمادا على المستخدم الذي يقوم بتنفيذ الأمر:

  • مستخدم cyberx : قم بتشغيل الأمر المحدد بسمات محددة لتكوين عامل تصفية الالتقاط الخاص بك.
  • المستخدم المسؤول : قم بتشغيل الأمر المحدد، ثم أدخل القيم كما طلب CLI، واحرر قوائم التضمين واستبعادها في محرر nano.

استخدم الأوامر التالية لإنشاء عامل تصفية التقاط جديد:

المستخدم الأمر بناء جملة الأمر الكامل
مشرف network capture-filter لا توجد سمات.
cyberx، أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

يتم تعريف السمات المدعومة لمستخدم cyberx كما يلي:

السمة ‏‏الوصف
-h, --help إظهار رسالة التعليمات والمخارج.
-i <INCLUDE>, --include <INCLUDE> المسار إلى ملف يحتوي على الأجهزة وأقنعة الشبكة الفرعية التي تريد تضمينها، حيث <INCLUDE> هو المسار إلى الملف. على سبيل المثال، راجع نموذج تضمين ملف أو استبعاده.
-x EXCLUDE, --exclude EXCLUDE المسار إلى ملف يحتوي على الأجهزة وأقنعة الشبكة الفرعية التي تريد استبعادها، حيث <EXCLUDE> هو المسار إلى الملف. على سبيل المثال، راجع نموذج تضمين ملف أو استبعاده.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> يستبعد حركة مرور TCP على أي منافذ محددة <EXCLUDE_TCP_PORT> ، حيث يعرف المنفذ أو المنافذ التي تريد استبعادها. حدد منافذ متعددة بفواصل، بدون مسافات.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> يستبعد حركة مرور UDP على أي منافذ محددة <EXCLUDE_UDP_PORT> ، حيث يحدد المنفذ أو المنافذ التي تريد استبعادها. حدد منافذ متعددة بفواصل، بدون مسافات.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> يتضمن حركة مرور TCP على أي منافذ محددة <INCLUDE_TCP_PORT> ، حيث يعرف المنفذ أو المنافذ التي تريد تضمينها. حدد منافذ متعددة بفواصل، بدون مسافات.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> يتضمن حركة مرور UDP على أي منافذ محددة، حيث <INCLUDE_UDP_PORT> يحدد المنفذ أو المنافذ التي تريد تضمينها. حدد منافذ متعددة بفواصل، بدون مسافات.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> يتضمن حركة مرور VLAN بواسطة معرفات VLAN المحددة، <INCLUDE_VLAN_IDS> ويحدد معرف VLAN أو المعرفات التي تريد تضمينها. حدد معرفات VLAN المتعددة بفواصل، بدون مسافات.
-p <PROGRAM>, --program <PROGRAM> يحدد المكون الذي تريد تكوين عامل تصفية الالتقاط له. استخدم all لحالات الاستخدام الأساسية، لإنشاء عامل تصفية التقاط واحد لجميع المكونات.

بالنسبة لحالات الاستخدام المتقدمة، قم بإنشاء عوامل تصفية التقاط منفصلة لكل مكون. لمزيد من المعلومات، راجع إنشاء عامل تصفية متقدم لمكونات معينة.
-m <MODE>, --mode <MODE> تعريف وضع قائمة التضمين، وهو ذو صلة فقط عند استخدام قائمة تضمين. استخدم إحدى القيم التالية:

- internal: يتضمن كافة الاتصالات بين المصدر المحدد والوجهة
- all-connected: يتضمن كافة الاتصالات بين أي من نقاط النهاية المحددة ونقاط النهاية الخارجية.

على سبيل المثال، بالنسبة لنقاط النهاية A وB، إذا كنت تستخدم الوضع ، فستتضمن نسبة استخدام الشبكة المضمنة internal الاتصالات بين نقطتي النهاية A وB فقط.
ومع ذلك، إذا كنت تستخدم all-connected الوضع ، فستتضمن نسبة استخدام الشبكة المضمنة جميع الاتصالات بين A أو B ونقاط النهاية الخارجية الأخرى.

نموذج تضمين ملف أو استبعاده

على سبيل المثال، قد يتضمن ملف تضمين أو استبعاد .txt الإدخالات التالية:

192.168.50.10
172.20.248.1

إنشاء عامل تصفية تسجيل أساسي باستخدام مستخدم المسؤول

إذا كنت تقوم بإنشاء عامل تصفية تسجيل أساسي كمستخدم المسؤول ، فلن يتم تمرير أي سمات في الأمر الأصلي. بدلا من ذلك، يتم عرض سلسلة من المطالبات لمساعدتك في إنشاء عامل تصفية الالتقاط بشكل تفاعلي.

الرد على المطالبات المعروضة على النحو التالي:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    حدد Y لفتح ملف تضمين جديد، حيث يمكنك إضافة جهاز وقناة و/أو شبكة فرعية تريد تضمينها في نسبة استخدام الشبكة المراقبة. لا يتم استيعاب أي حركة مرور أخرى، غير مدرجة في ملف التضمين، في Defender for IoT.

    يتم فتح ملف التضمين في محرر نص Nano . في ملف التضمين، حدد الأجهزة والقنوات والشبكات الفرعية كما يلي:

    النوع ‏‏الوصف مثال
    الجهاز تعريف جهاز بواسطة عنوان IP الخاص به. 1.1.1.1 يتضمن كل نسبة استخدام الشبكة لهذا الجهاز.
    Channel تعريف قناة بواسطة عناوين IP لأجهزة المصدر والوجهة الخاصة بها، مفصولة بفاوصلة. 1.1.1.1,2.2.2.2 يتضمن كل حركة المرور لهذه القناة.
    الشبكه الفرعيه تعريف شبكة فرعية بواسطة عنوان الشبكة الخاص بها. 1.1.1 يتضمن كافة نسبة استخدام الشبكة لهذه الشبكة الفرعية.

    سرد وسيطات متعددة في صفوف منفصلة.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    حدد Y لفتح ملف استبعاد جديد حيث يمكنك إضافة جهاز و/أو قناة و/أو شبكة فرعية تريد استبعادها من نسبة استخدام الشبكة المراقبة. يتم استيعاب أي حركة مرور أخرى، غير مدرجة في ملف الاستبعاد الخاص بك، إلى Defender for IoT.

    يتم فتح ملف الاستبعاد في محرر نص Nano . في ملف الاستبعاد، حدد الأجهزة والقنوات والشبكات الفرعية كما يلي:

    النوع ‏‏الوصف مثال
    الجهاز تعريف جهاز بواسطة عنوان IP الخاص به. 1.1.1.1 يستبعد كل نسبة استخدام الشبكة لهذا الجهاز.
    Channel تعريف قناة بواسطة عناوين IP لأجهزة المصدر والوجهة الخاصة بها، مفصولة بفاوصلة. 1.1.1.1,2.2.2.2 يستبعد كل حركة المرور بين هذه الأجهزة.
    القناة حسب المنفذ حدد قناة بواسطة عناوين IP لأجهزة المصدر والوجهة الخاصة بها، ومنفذ حركة المرور. 1.1.1.1,2.2.2.2,443 يستبعد كل حركة المرور بين هذه الأجهزة واستخدام المنفذ المحدد.
    الشبكه الفرعيه تعريف شبكة فرعية بواسطة عنوان الشبكة الخاص بها. 1.1.1 يستبعد كل نسبة استخدام الشبكة لهذه الشبكة الفرعية.
    قناة الشبكة الفرعية تعريف عناوين شبكة قناة الشبكة الفرعية للشبكات الفرعية المصدر والوجهة. 1.1.1,2.2.2 يستبعد كافة حركة المرور بين هذه الشبكات الفرعية.

    سرد وسيطات متعددة في صفوف منفصلة.

  3. الرد على المطالبات التالية لتعريف أي منافذ TCP أو UDP لتضمينها أو استبعادها. افصل منافذ متعددة بفاوصلة، واضغط على ENTER لتخطي أي مطالبة محددة.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    على سبيل المثال، أدخل منافذ متعددة كما يلي: 502,443

  4. In which component do you wish to apply this capture filter?

    أدخل all لعامل تصفية الالتقاط الأساسي. بالنسبة لحالات الاستخدام المتقدمة، قم بإنشاء عوامل تصفية التقاط لكل مكون Defender ل IoT بشكل منفصل.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    تسمح لك هذه المطالبة بتكوين حركة المرور الموجودة في النطاق. حدد ما إذا كنت تريد جمع نسبة استخدام الشبكة حيث توجد كلتا نقطتي النهاية في النطاق، أو أن واحدة منها فقط موجودة في الشبكة الفرعية المحددة. تشمل القيم المدعومة:

    • internal: يتضمن كافة الاتصالات بين المصدر المحدد والوجهة
    • all-connected: يتضمن كافة الاتصالات بين أي من نقاط النهاية المحددة ونقاط النهاية الخارجية.

    على سبيل المثال، بالنسبة لنقاط النهاية A وB، إذا كنت تستخدم الوضع ، فستتضمن نسبة استخدام الشبكة المضمنة internal الاتصالات بين نقطتي النهاية A وB فقط.
    ومع ذلك، إذا كنت تستخدم all-connected الوضع ، فستتضمن نسبة استخدام الشبكة المضمنة جميع الاتصالات بين A أو B ونقاط النهاية الخارجية الأخرى.

    يعتبرinternal هو الوضع الافتراضي. لاستخدام all-connected الوضع، حدد Y عند المطالبة، ثم أدخل all-connected.

يوضح المثال التالي سلسلة من المطالبات التي تنشئ عامل تصفية التقاط لاستبعاد الشبكة 192.168.x.x الفرعية والمنفذ 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

إنشاء عامل تصفية متقدم لمكونات معينة

عند تكوين عوامل تصفية التقاط متقدمة لمكونات معينة، يمكنك استخدام تضمين الملفات الأولية واستبعادها كعامل تصفية التقاط أساسي أو قالب. ثم قم بتكوين عوامل تصفية إضافية لكل مكون أعلى القاعدة حسب الحاجة.

لإنشاء عامل تصفية التقاط لكل مكون، تأكد من تكرار العملية بأكملها لكل مكون.

إشعار

إذا قمت بإنشاء عوامل تصفية التقاط مختلفة لمكونات مختلفة، يتم استخدام تحديد الوضع لجميع المكونات. تعريف عامل تصفية الالتقاط لمكون واحد ك internal وعامل تصفية الالتقاط لمكون آخر كما all-connected هو غير مدعوم.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف network capture-filter لا توجد سمات.
cyberx، أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

يتم استخدام السمات الإضافية التالية لمستخدم cyberx لإنشاء عوامل تصفية الالتقاط لكل مكون بشكل منفصل:

السمة ‏‏الوصف
-p <PROGRAM>, --program <PROGRAM> يحدد المكون الذي تريد تكوين عامل تصفية التقاط له، حيث <PROGRAM> يحتوي على القيم المدعومة التالية:
- traffic-monitor
- collector
- horizon
- all: إنشاء عامل تصفية التقاط واحد لجميع المكونات. لمزيد من المعلومات، راجع إنشاء عامل تصفية أساسي لجميع المكونات.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> يحدد عامل تصفية الالتقاط الأساسي للمكون horizon ، حيث <BASE_HORIZON> هو عامل التصفية الذي تريد استخدامه.
القيمة الافتراضية = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR تعريف عامل تصفية الالتقاط الأساسي للمكون traffic-monitor .
القيمة الافتراضية = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR تعريف عامل تصفية الالتقاط الأساسي للمكون collector .
القيمة الافتراضية = ""

قيم السمات الأخرى لها نفس الأوصاف كما هو الحال في حالة الاستخدام الأساسية، الموضحة سابقا.

إنشاء عامل تصفية التقاط متقدم باستخدام المستخدم المسؤول

إذا كنت تقوم بإنشاء عامل تصفية التقاط لكل مكون بشكل منفصل كمستخدم المسؤول ، فلن يتم تمرير أي سمات في الأمر الأصلي. بدلا من ذلك، يتم عرض سلسلة من المطالبات لمساعدتك في إنشاء عامل تصفية الالتقاط بشكل تفاعلي.

معظم المطالبات مطابقة لحالة الاستخدام الأساسية. الرد على المطالبات الإضافية التالية كما يلي:

  1. In which component do you wish to apply this capture filter?

    أدخل إحدى القيم التالية، استنادا إلى المكون الذي تريد تصفيته:

    • horizon
    • traffic-monitor
    • collector
  2. تتم مطالبتك بتكوين عامل تصفية التقاط أساسي مخصص للمكون المحدد. يستخدم هذا الخيار عامل تصفية الالتقاط الذي قمت بتكوينه في الخطوات السابقة كقاعدة أو قالب، حيث يمكنك إضافة تكوينات إضافية أعلى القاعدة.

    على سبيل المثال، إذا حددت لتكوين عامل تصفية التقاط للمكون collector في الخطوة السابقة، فستتم مطالبتك: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    أدخل Y لتخصيص القالب للمكون المحدد، أو N لاستخدام عامل تصفية الالتقاط الذي قمت بتكوينه مسبقا كما هو.

تابع المطالبات المتبقية كما هو الحال في حالة الاستخدام الأساسية.

سرد عوامل تصفية الالتقاط الحالية لمكونات معينة

استخدم الأوامر التالية لإظهار تفاصيل حول عوامل تصفية الالتقاط الحالية التي تم تكوينها لجهاز الاستشعار الخاص بك.

المستخدم الأمر بناء جملة الأمر الكامل
مشرف استخدم الأوامر التالية لعرض عوامل تصفية الالتقاط لكل مكون:

- الأفق: edit-config horizon_parser/horizon.properties
- مراقبة نسبة استخدام الشبكة: edit-config traffic_monitor/traffic-monitor
- مجمع:edit-config dumpark.properties
لا توجد سمات
cyberx، أو المسؤول الذي لديه حق الوصول الجذر استخدم الأوامر التالية لعرض عوامل تصفية الالتقاط لكل مكون:

-الأفق: nano /var/cyberx/properties/horizon_parser/horizon.properties
- مراقبة نسبة استخدام الشبكة: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- مجمع:nano /var/cyberx/properties/dumpark.properties
لا توجد سمات

تفتح هذه الأوامر الملفات التالية، والتي تسرد عوامل تصفية الالتقاط المكونة لكل مكون:

الاسم الملف الخاصية
أفق /var/cyberx/properties/horizon.properties horizon.processor.filter
مراقبة نسبة استخدام الشبكة /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
جامع /var/cyberx/properties/dumpark.properties dumpark.network.filter

على سبيل المثال مع المستخدم المسؤول ، مع عامل تصفية التقاط معرف لمكون المجمع الذي يستبعد الشبكة الفرعية 192.168.x.x والمنفذ 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

إعادة تعيين كافة عوامل تصفية الالتقاط

استخدم الأمر التالي لإعادة تعيين المستشعر إلى تكوين الالتقاط الافتراضي مع مستخدم cyberx ، وإزالة جميع عوامل تصفية الالتقاط.

المستخدم الأمر بناء جملة الأمر الكامل
cyberx، أو المسؤول الذي لديه حق الوصول الجذر cyberx-xsense-capture-filter -p all -m all-connected لا توجد سمات

إذا كنت تريد تعديل عوامل تصفية الالتقاط الموجودة، فقم بتشغيل الأمر السابق مرة أخرى، مع قيم سمة جديدة.

لإعادة تعيين كافة عوامل تصفية الالتقاط باستخدام المستخدم المسؤول ، قم بتشغيل الأمر السابق مرة أخرى، والاستجابة N لجميع المطالبات لإعادة تعيين كافة عوامل تصفية الالتقاط.

يوضح المثال التالي بناء جملة الأمر والاستجابة لمستخدم cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

الخطوات التالية