Referenční informace k příkazům rozhraní příkazového řádku ze síťových senzorů OT

  • Článek

Tento článek uvádí příkazy rozhraní příkazového řádku, které jsou k dispozici v programu Defender pro síťové senzory OT IoT.

Upozornění

Pro konfiguraci zákazníka se podporují pouze zdokumentované parametry konfigurace v síťovém senzoru OT a místní konzole pro správu. Neměňte žádné nezdokumentované parametry konfigurace ani systémové vlastnosti, protože změny můžou způsobit neočekávané chování a selhání systému.

Odebrání balíčků ze senzoru bez schválení Microsoftem může způsobit neočekávané výsledky. Všechny balíčky nainstalované na senzoru jsou vyžadovány pro správnou funkčnost senzoru.

Požadavky

Než budete moct spustit některý z následujících příkazů rozhraní příkazového řádku, budete potřebovat přístup k rozhraní příkazového řádku na síťovém senzoru OT jako privilegovaný uživatel.

I když tento článek uvádí syntaxi příkazů pro každého uživatele, doporučujeme použít uživatele správce pro všechny příkazy rozhraní příkazového řádku, ve kterých je uživatel s rolí správce podporovaný.

Pokud používáte starší verzi softwaru senzoru, možná budete mít přístup ke starší verzi uživatele podpory . V takových případech se u starší verze uživatele podpory podporují všechny příkazy uvedené jako podporované pro uživatele s rolí správce.

Další informace najdete v tématu Přístup k rozhraní příkazového řádku a privilegovanému přístupu uživatelů pro monitorování OT.

Údržba zařízení

Kontrola stavu služeb monitorování OT

Pomocí následujících příkazů ověřte, že aplikace Defender for IoT na senzoru OT funguje správně, včetně procesů analýzy provozu a webové konzoly.

Kontroly stavu jsou k dispozici také z konzoly senzoru OT. Další informace najdete v tématu Řešení potíží se senzorem.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system sanity Žádné atributy
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-sanity Žádné atributy

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele správce :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Restartování a vypnutí

Restartování zařízení

Pomocí následujících příkazů restartujte zařízení senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system reboot Žádné atributy
cyberx nebo admin with root access sudo reboot Žádné atributy
cyberx_host nebo správce s kořenovým přístupem sudo reboot Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: system reboot

Vypnutí zařízení

Pomocí následujících příkazů vypněte zařízení senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system shutdown Žádné atributy
cyberx nebo admin with root access sudo shutdown -r now Žádné atributy
cyberx_host nebo správce s kořenovým přístupem sudo shutdown -r now Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: system shutdown

Verze softwaru

Zobrazit nainstalovanou verzi softwaru

Pomocí následujících příkazů vypíšete verzi softwaru Defender for IoT nainstalovanou na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system version Žádné atributy
cyberx nebo admin with root access cyberx-xsense-version Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Aktualizace softwaru senzoru z rozhraní příkazového řádku

Další informace najdete v tématu Aktualizace senzorů.

Datum, čas a NTP

Zobrazení aktuálního systémového data a času

Pomocí následujících příkazů zobrazíte aktuální systémové datum a čas na síťovém senzoru OT ve formátu GMT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin date Žádné atributy
cyberx nebo admin with root access date Žádné atributy
cyberx_host nebo správce s kořenovým přístupem date Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Zapnutí synchronizace času NTP

Pomocí následujících příkazů zapněte synchronizaci času zařízení se serverem NTP.

Pokud chcete použít tyto příkazy, ujistěte se, že:

  • Server NTP je dostupný z portu pro správu zařízení.
  • Použijete stejný server NTP k synchronizaci všech zařízení snímačů a místní konzoly pro správu.
Uživatelská Příkaz Úplná syntaxe příkazů
Admin ntp enable <IP address> Žádné atributy
cyberx nebo admin with root access cyberx-xsense-ntp-enable <IP address> Žádné atributy

V těchto příkazech <IP address> je IP adresa platného serveru IPv4 NTP pomocí portu 123.

Například pro uživatele s rolí správce :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Vypnutí synchronizace času NTP

Pomocí následujících příkazů vypněte synchronizaci času zařízení se serverem NTP.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin ntp disable <IP address> Žádné atributy
cyberx nebo admin with root access cyberx-xsense-ntp-disable <IP address> Žádné atributy

V těchto příkazech <IP address> je IP adresa platného serveru IPv4 NTP pomocí portu 123.

Například pro uživatele s rolí správce :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Zálohování a obnovení

Následující části popisují příkazy rozhraní příkazového řádku podporované pro zálohování a obnovení systémového snímku síťového senzoru OT.

Záložní soubory zahrnují úplný snímek stavu senzoru, včetně nastavení konfigurace, standardních hodnot, dat inventáře a protokolů.

Upozornění

Nepřerušujte operaci zálohování nebo obnovení systému, protože to může způsobit, že se systém stane nepoužitelným.

Výpis aktuálních záložních souborů

Pomocí následujících příkazů zobrazíte seznam záložních souborů aktuálně uložených na síťovém senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system backup-list Žádné atributy
cyberx nebo admin with root access cyberx-xsense-system-backup-list Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Spuštění okamžitého neplánovaného zálohování

Pomocí následujících příkazů spusťte okamžitou neplánovanou zálohu dat na senzoru OT. Další informace najdete v tématu Nastavení souborů zálohování a obnovení.

Upozornění

Při zálohování dat nezapomeňte zařízení zastavit nebo vypnout.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system backup Žádné atributy
cyberx nebo admin with root access cyberx-xsense-system-backup Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Obnovení dat z nejnovější zálohy

Pomocí následujících příkazů obnovte data na síťovém senzoru OT pomocí nejnovějšího záložního souboru. Po zobrazení výzvy potvrďte, že chcete pokračovat.

Upozornění

Při obnovování dat nezapomeňte zařízení zastavit nebo vypnout.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin system restore Žádné atributy
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-system-restore -f <filename>

Například pro uživatele s rolí správce :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Zobrazení přidělení místa na záložním disku

Následující příkaz zobrazí aktuální přidělení místa na záložním disku, včetně následujících podrobností:

  • Umístění záložní složky
  • Velikost záložní složky
  • Omezení složky zálohování
  • Čas poslední operace zálohování
  • Volné místo na disku dostupné pro zálohy
Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-backup-memory-check Žádné atributy

Například pro uživatele cyberxu:

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certifikáty TLS/SSL

Import certifikátů TLS/SSL do senzoru OT

Pomocí následujícího příkazu naimportujte certifikáty TLS/SSL do senzoru z rozhraní příkazového řádku.

Pokud chcete použít tento příkaz:

  • Ověřte, že soubor certifikátu, který chcete importovat, je na zařízení čitelný. Nahrajte soubory certifikátů do zařízení pomocí nástrojů, jako je WinSCP nebo Wget.
  • Ověřte u it kanceláře, že doména zařízení, jak se zobrazí v certifikátu, je správná pro váš server DNS a odpovídající IP adresu.

Další informace najdete v tématu Příprava certifikátů podepsaných certifikační autoritou a vytvoření certifikátů SSL/TLS pro zařízení OT.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]'

V tomto příkazu:

  • -h: Zobrazuje úplnou syntaxi nápovědy k příkazu.

  • --crt: Cesta k souboru certifikátu, který chcete nahrát, s příponou .crt

  • --key: Soubor \*.key , který chcete použít pro certifikát. Délka klíče musí být minimálně 2 048 bitů.

  • --chain: Cesta k souboru řetězu certifikátů. Nepovinné.

  • --pass: Heslo použité k šifrování certifikátu. Nepovinné.

    Pro vytvoření klíče nebo certifikátu s heslem se podporují následující znaky:

    • Znaky ASCII, včetně a-z, A-Z, 0-9
    • Následující speciální znaky: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Nepoužité a ve výchozím nastavení je nastaveno na Hodnotu False . Nastavte hodnotu True tak, aby používala přístupové heslo dodané s předchozím certifikátem. Nepovinné.

Například pro uživatele cyberxu:

root@xsense:/# cyberx-xsense-certificate-import

Obnovení výchozího certifikátu podepsaného svým držitelem

Pomocí následujícího příkazu obnovte výchozí certifikáty podepsané svým držitelem na zařízení senzoru. Tuto aktivitu doporučujeme použít pouze pro řešení potíží, a ne pro produkční prostředí.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-create-self-signed-certificate Žádné atributy

Například pro uživatele cyberxu:

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Místní správa uživatelů

Změna místních uživatelských hesel

Pomocí následujících příkazů můžete změnit hesla pro místní uživatele na senzoru OT.

Když změníte heslo správce, kyberzločince nebo cyberx_host uživatele, změní se heslo pro přístup přes SSH i web.

Uživatelská Příkaz Úplná syntaxe příkazů
cyberx nebo admin with root access cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host nebo správce s kořenovým přístupem passwd Žádné atributy

Následující příklad ukazuje, že uživatel kyberzločince resetuje heslo uživatele správce na jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

Následující příklad ukazuje , cyberx_host uživatel mění heslo cyberx_host uživatele.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Řízení časových limitů uživatelských relací

Definujte čas, po kterém se uživatelé automaticky odhlásí ze senzoru OT. Tuto hodnotu definujte v souboru vlastností uloženém na senzoru. a ne, další informace naleznete v tématu Řízení časových limitů uživatelských relací.

Definování maximálního počtu neúspěšných přihlášení

Definujte počet neúspěšných přihlášení před senzorem OT, aby se uživatel nemohl znovu přihlásit ze stejné IP adresy. Tuto hodnotu definujte v souboru vlastností uloženém na senzoru.

Další informace najdete v tématu Definování maximálního počtu neúspěšných přihlášení.

Konfigurace sítě

Nastavení sítě

Změna konfigurace sítě nebo změna přiřazení rolí síťového rozhraní

Pomocí následujícího příkazu znovu spusťte průvodce konfigurací softwaru monitorování OT, který vám pomůže definovat nebo překonfigurovat následující nastavení senzoru OT:

  • Povolení nebo zakázání monitorovacích rozhraní SPAN
  • Konfigurace nastavení sítě pro rozhraní pro správu (IP, podsíť, výchozí brána, DNS)
  • Přiřazení záložního adresáře
Uživatelská Příkaz Úplná syntaxe příkazů
cyberx_host nebo správce s kořenovým přístupem sudo dpkg-reconfigure iot-sensor Žádné atributy

Například s cyberx_host uživatelem:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

Průvodce konfigurací se spustí automaticky po spuštění tohoto příkazu. Další informace naleznete v tématu Instalace monitorovacího softwaru OT.

Ověření a zobrazení konfigurace síťového rozhraní

Pomocí následujících příkazů ověřte a zobrazte aktuální konfiguraci síťového rozhraní na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network validate Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Připojení k síti

Kontrola síťového připojení ze senzoru OT

Pomocí následujících příkazů odešlete zprávu ping ze senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin ping <IP address> Žádné atributy
cyberx nebo admin with root access ping <IP address> Žádné atributy

V těchtopříkazch <IP address>

Kontrola aktuálního zatížení síťového rozhraní

Pomocí následujícího příkazu zobrazte síťový provoz a šířku pásma pomocí šestisekundového testu.

Uživatelská Příkaz Úplná syntaxe příkazů
cyberx nebo admin with root access cyberx-nload Žádné atributy 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Kontrola připojení k internetu

Pomocí následujícího příkazu zkontrolujte připojení k internetu na vašem zařízení.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-internet-connectivity Žádné atributy 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Nastavení omezení šířky pásma pro síťové rozhraní pro správu

Pomocí následujícího příkazu nastavte limit odchozí šířky pásma pro nahrávání z rozhraní pro správu senzoru OT na web Azure Portal nebo místní konzolu pro správu.

Nastavení limitů odchozí šířky pásma může být užitečné při udržování kvality služby (QoS). Tento příkaz se podporuje jenom v prostředích s omezenými šířkou pásma, například přes satelitní nebo sériovou linku.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

V tomto příkazu:

  • -h nebo --help: Zobrazuje syntaxi nápovědy k příkazu.

  • --interface <INTERFACE VALUE>: Je rozhraní, které chcete omezit, například eth0

  • --limit <LIMIT VALUE>: Omezení, které chcete nastavit, například 30kbit. Použijte jednu z následujících jednotek:

    • kbps: Kilobajtů za sekundu
    • mbps: Megabajty za sekundu
    • kbit: Kilobity za sekundu
    • mbit: Megabity za sekundu
    • bps nebo holé číslo: Bajty za sekundu

  • --clear: Vymaže všechna nastavení pro zadané rozhraní.

Například pro uživatele cyberxu:

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Fyzická rozhraní

Vyhledání fyzického portu pomocí blikajících světel rozhraní

Pomocí následujícího příkazu vyhledejte konkrétní fyzické rozhraní tím, že způsobí, že světla rozhraní bliknou.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network blink <INT> Žádné atributy

V tomto příkazu <INT> je fyzický ethernetový port na zařízení.

Následující příklad ukazuje, že uživatel správce bliká na rozhraní eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Výpis připojených fyzických rozhraní

Pomocí následujících příkazů zobrazíte seznam připojených fyzických rozhraní na senzoru OT.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network list Žádné atributy
kyberzločince nebo správce s kořenovým přístupem ifconfig Žádné atributy

Například pro uživatele s rolí správce :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtry zachytávání provozu

Pokud chcete snížit únavu výstrah a zaměřit se monitorování sítě na provoz s vysokou prioritou, můžete se rozhodnout filtrovat provoz, který streamuje do defenderu pro IoT ve zdroji. Zachytávání filtrů umožňuje blokovat přenosy s velkou šířkou pásma na hardwarové vrstvě a optimalizovat výkon zařízení i využití prostředků.

Pomocí seznamů zahrnutí nebo vyloučení můžete vytvářet a konfigurovat filtry zachytávání v síťových senzorech OT, abyste nezablokovali žádný provoz, který chcete monitorovat.

Základní případ použití pro filtry zachycení používá stejný filtr pro všechny komponenty Defenderu pro IoT. V případě pokročilých případů použití ale můžete chtít nakonfigurovat samostatné filtry pro každou z následujících komponent Defenderu pro IoT:

  • horizon: Zachytává data hloubkové kontroly paketů (DPI).
  • collector: Zaznamenává data PCAP.
  • traffic-monitor: Zaznamenává statistiky komunikace.

Poznámka:

  • Filtry zachycení se nevztahují na výstrahy malwaru Defenderu pro IoT, které se aktivují na všech detekovaných síťových přenosech.

  • Příkaz filtru zachycení má omezení délky znaků založené na složitosti definice filtru zachycení a dostupných funkcí síťové karty. Pokud požadovaná čárka filtru selže, zkuste seskupit podsítě do větších oborů a použít kratší příkaz filtru zachycení.

Vytvoření základního filtru pro všechny komponenty

Metoda použitá ke konfiguraci základního filtru zachycení se liší v závislosti na uživateli, který provádí příkaz:

  • uživatel cyberx : Spuštěním zadaného příkazu s konkrétními atributy nakonfigurujte filtr zachycení.
  • uživatel s oprávněním správce : Spusťte zadaný příkaz a zadejte hodnoty podle výzvy rozhraní příkazového řádku, upravte seznamy zahrnutí a vyloučení v editoru nano.

Pomocí následujících příkazů vytvořte nový filtr zachycení:

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network capture-filter Žádné atributy.
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Podporované atributy pro uživatele cyberxu jsou definovány takto:

Atribut Popis
-h, --help Zobrazí zprávu nápovědy a ukončí.
-i <INCLUDE>, --include <INCLUDE> Cesta k souboru, který obsahuje zařízení a masky podsítě, které chcete zahrnout, kde <INCLUDE> je cesta k souboru. Příklad najdete v části Ukázka zahrnutí nebo vyloučení souboru.
-x EXCLUDE, --exclude EXCLUDE Cesta k souboru, který obsahuje zařízení a masky podsítě, které chcete vyloučit, kde <EXCLUDE> je cesta k souboru. Příklad najdete v části Ukázka zahrnutí nebo vyloučení souboru.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Vyloučí provoz TCP na všech zadaných portech, kde <EXCLUDE_TCP_PORT> definuje port nebo porty, které chcete vyloučit. Oddělovačte více portů čárkami bez mezer.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Vyloučí provoz UDP na všech zadaných portech, kde <EXCLUDE_UDP_PORT> definuje port nebo porty, které chcete vyloučit. Oddělovačte více portů čárkami bez mezer.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Zahrnuje provoz TCP na všech zadaných portech, kde <INCLUDE_TCP_PORT> definuje port nebo porty, které chcete zahrnout. Oddělovačte více portů čárkami bez mezer.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Zahrnuje provoz UDP na všech zadaných portech, kde <INCLUDE_UDP_PORT> definuje port nebo porty, které chcete zahrnout. Oddělovačte více portů čárkami bez mezer.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Zahrnuje provoz sítě VLAN podle zadaných ID sítě VLAN, definuje ID sítě VLAN nebo ID, <INCLUDE_VLAN_IDS> které chcete zahrnout. Oddělovačte více ID sítě VLAN čárkami bez mezer.
-p <PROGRAM>, --program <PROGRAM> Definuje komponentu, pro kterou chcete nakonfigurovat filtr zachycení. Pro all základní případy použití slouží k vytvoření jednoho filtru zachycení pro všechny komponenty.

V případě pokročilých případů použití vytvořte pro každou komponentu samostatné filtry zachycení. Další informace naleznete v tématu Vytvoření rozšířeného filtru pro konkrétní komponenty.
-m <MODE>, --mode <MODE> Definuje režim zahrnutí seznamu a je relevantní pouze v případě, že se použije seznam zahrnutí. Použijte jednu z následujících hodnot:

- internal: Zahrnuje veškerou komunikaci mezi zadaným zdrojem a cílem.
- all-connected: Zahrnuje veškerou komunikaci mezi některým ze zadaných koncových bodů a externími koncovými body.

Pokud například použijete internal režim koncových bodů A a B, bude zahrnutý provoz zahrnovat pouze komunikaci mezi koncovými body A a B.
Pokud ale použijete all-connected režim, bude zahrnutý provoz zahrnovat veškerou komunikaci mezi A nebo B a dalšími externími koncovými body.

Ukázkový soubor zahrnutí nebo vyloučení

Například zahrnutí nebo vyloučení souboru .txt může obsahovat následující položky:

192.168.50.10
172.20.248.1

Vytvoření základního filtru zachycení pomocí uživatele správce

Pokud vytváříte základní filtr zachycení jako uživatel správce , v původním příkazu se nepředají žádné atributy. Místo toho se zobrazí řada výzev, které vám pomůžou interaktivně vytvořit filtr zachycení.

Odpovědět na výzvy zobrazené následujícím způsobem:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Vyberte Y , pokud chcete otevřít nový soubor include, kde můžete přidat zařízení, kanál a/nebo podsíť, které chcete zahrnout do monitorovaného provozu. Jakýkoli jiný provoz, který není uvedený v souboru include, se neingestuje do Defenderu pro IoT.

    Soubor include se otevře v textovém editoru Nano . V souboru include definujte zařízení, kanály a podsítě následujícím způsobem:

    Typ Popis Příklad
    Zařízení Definujte zařízení podle jeho IP adresy. 1.1.1.1 zahrnuje veškerý provoz pro toto zařízení.
    Kanál Definujte kanál podle IP adres jeho zdrojových a cílových zařízení oddělených čárkou. 1.1.1.1,2.2.2.2 zahrnuje veškerý provoz pro tento kanál.
    Podsíť Definujte podsíť podle její síťové adresy. 1.1.1 zahrnuje veškerý provoz pro tuto podsíť.
    Kanál podsítě Definujte síťové adresy kanálu podsítě pro zdrojové a cílové podsítě. 1.1.1,2.2.2 zahrnuje veškerý provoz mezi těmito podsítěmi.

    Zobrazení seznamu více argumentů v samostatných řádcích

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Výběrem Y otevřete nový soubor vyloučení, ve kterém můžete přidat zařízení, kanál a/nebo podsíť, které chcete vyloučit z monitorovaného provozu. Jakýkoli jiný provoz, který není uvedený v souboru vyloučení, se ingestuje do Defenderu pro IoT.

    Soubor vyloučení se otevře v textovém editoru Nano . V souboru vyloučení definujte zařízení, kanály a podsítě následujícím způsobem:

    Typ Popis Příklad
    Zařízení Definujte zařízení podle jeho IP adresy. 1.1.1.1 vyloučí veškerý provoz pro toto zařízení.
    Kanál Definujte kanál podle IP adres jeho zdrojových a cílových zařízení oddělených čárkou. 1.1.1.1,2.2.2.2 vyloučí veškerý provoz mezi těmito zařízeními.
    Kanál podle portu Definujte kanál podle IP adres jeho zdrojových a cílových zařízení a portu provozu. 1.1.1.1,2.2.2.2,443 vylučuje veškerý provoz mezi těmito zařízeními a použitím zadaného portu.
    Podsíť Definujte podsíť podle její síťové adresy. 1.1.1 vyloučí veškerý provoz pro tuto podsíť.
    Kanál podsítě Definujte síťové adresy kanálu podsítě pro zdrojové a cílové podsítě. 1.1.1,2.2.2 vylučuje veškerý provoz mezi těmito podsítěmi.

    Zobrazení seznamu více argumentů v samostatných řádcích

  3. Odpovězte na následující výzvy a definujte všechny porty TCP nebo UDP, které se mají zahrnout nebo vyloučit. Oddělte několik portů čárkami a stisknutím klávesy ENTER přeskočte všechny konkrétní výzvy.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Zadejte například několik portů následujícím způsobem: 502,443

  4. In which component do you wish to apply this capture filter?

    Zadejte all základní filtr zachycení. V případě pokročilých případů použití vytvořte filtry zachycení pro každou komponentu Defenderu pro IoT samostatně.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Tato výzva umožňuje nakonfigurovat, který provoz je v oboru. Definujte, jestli chcete shromažďovat provoz, ve kterém jsou oba koncové body v oboru, nebo jenom jeden z nich je v zadané podsíti. Mezi podporované hodnoty patří:

    • internal: Zahrnuje veškerou komunikaci mezi zadaným zdrojem a cílem.
    • all-connected: Zahrnuje veškerou komunikaci mezi některým ze zadaných koncových bodů a externími koncovými body.

    Pokud například použijete internal režim koncových bodů A a B, bude zahrnutý provoz zahrnovat pouze komunikaci mezi koncovými body A a B.
    Pokud ale použijete all-connected režim, bude zahrnutý provoz zahrnovat veškerou komunikaci mezi A nebo B a dalšími externími koncovými body.

    Výchozí režim je internal. Chcete-li použít all-connected režim, vyberte Y na příkazovém řádku a pak zadejte all-connected.

Následující příklad ukazuje řadu výzev, které vytvoří filtr zachycení pro vyloučení podsítě 192.168.x.x a portu. 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Vytvoření rozšířeného filtru pro konkrétní komponenty

Při konfiguraci rozšířených filtrů zachycení pro konkrétní komponenty můžete použít počáteční zahrnutí a vyloučení souborů jako základní nebo šablonu filtru zachycení. Potom podle potřeby nakonfigurujte další filtry pro každou komponentu nad základnou.

Pokud chcete vytvořit filtr zachycení pro každou komponentu, nezapomeňte celý proces opakovat pro každou komponentu.

Poznámka:

Pokud jste pro různé komponenty vytvořili různé filtry zachycení, použije se výběr režimu pro všechny komponenty. Definování filtru zachycení pro jednu komponentu jako internal a filtru zachycení pro jinou komponentu, protože all-connected se nepodporuje.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin network capture-filter Žádné atributy.
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Pro uživatele kyberzločinců se používají následující další atributy k vytvoření filtrů zachycení pro každou komponentu samostatně:

Atribut Popis
-p <PROGRAM>, --program <PROGRAM> Definuje komponentu, pro kterou chcete nakonfigurovat filtr zachycení, kde <PROGRAM> mají následující podporované hodnoty:
- traffic-monitor
- collector
- horizon
- all: Vytvoří jeden filtr zachycení pro všechny komponenty. Další informace naleznete v tématu Vytvoření základního filtru pro všechny komponenty.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definuje základní filtr zachycení pro komponentu horizon , kde je filtr, který <BASE_HORIZON> chcete použít.
Výchozí hodnota = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definuje filtr základního zachytávání pro komponentu traffic-monitor .
Výchozí hodnota = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definuje filtr základního zachytávání pro komponentu collector .
Výchozí hodnota = ""

Jiné hodnoty atributů mají stejné popisy jako v případě základního použití popsané výše.

Vytvoření rozšířeného filtru zachycení pomocí uživatele správce

Pokud vytváříte filtr zachycení pro každou komponentu samostatně jako uživatel správce , v původním příkazu se nepředají žádné atributy. Místo toho se zobrazí řada výzev, které vám pomůžou interaktivně vytvořit filtr zachycení.

Většina výzev je shodná se základním případem použití. Na následující dodatečné výzvy odpovězte následujícím způsobem:

  1. In which component do you wish to apply this capture filter?

    V závislosti na komponentě, kterou chcete filtrovat, zadejte jednu z následujících hodnot:

    • horizon
    • traffic-monitor
    • collector

  2. Zobrazí se výzva ke konfiguraci vlastního filtru základního zachytávání pro vybranou komponentu. Tato možnost používá filtr zachycení, který jste nakonfigurovali v předchozích krocích jako základ, nebo šablonu, kde můžete nad základnu přidat další konfigurace.

    Pokud jste například vybrali konfiguraci filtru zachycení pro komponentu collector v předchozím kroku, zobrazí se výzva: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Zadáním Y můžete přizpůsobit šablonu pro zadanou komponentu nebo N použít filtr zachycení, který jste nakonfigurovali dříve.

Pokračujte zbývajícími výzvami jako v případě základního použití.

Výpis aktuálních filtrů zachycení pro konkrétní komponenty

Pomocí následujících příkazů zobrazíte podrobnosti o aktuálních filtrech zachytávání nakonfigurovaných pro váš senzor.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin Pomocí následujících příkazů zobrazte filtry zachytávání pro každou komponentu:

- horizont: edit-config horizon_parser/horizon.properties
- monitorování provozu:edit-config traffic_monitor/traffic-monitor
- kolektor: edit-config dumpark.properties		 Žádné atributy
kyberzločince nebo správce s kořenovým přístupem Pomocí následujících příkazů zobrazte filtry zachytávání pro každou komponentu:

-horizont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitorování provozu:nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- kolektor: nano /var/cyberx/properties/dumpark.properties		 Žádné atributy

Tyto příkazy otevřou následující soubory, které uvádějí filtry zachycení nakonfigurované pro každou komponentu:

Název Soubor Vlastnost
Horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
monitorování provozu /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Kolekcí /var/cyberx/properties/dumpark.properties dumpark.network.filter

Například s uživatelem správce s filtrem zachycení definovaným pro komponentu kolektoru , který vylučuje podsíť 192.168.x.x a port 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Resetování všech filtrů zachycení

Pomocí následujícího příkazu resetujte senzor na výchozí konfiguraci zachytávání s uživatelem cyberxu a odeberte všechny filtry zachycení.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-capture-filter -p all -m all-connected Žádné atributy

Pokud chcete upravit existující filtry zachycení, spusťte znovu předchozí příkaz s novými hodnotami atributů.

Pokud chcete obnovit všechny filtry zachycení pomocí uživatele správce , spusťte znovu předchozí příkaz a odpovězte N na všechny výzvy k resetování všech filtrů zachycení.

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele cyberxu :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Výstrahy

Aktivace testovací výstrahy

Následující příkaz použijte k otestování připojení a přesměrování výstrah ze senzoru do konzol pro správu, včetně webu Azure Portal, místní konzoly pro správu Defenderu pro IoT nebo siEM jiného výrobce.

Uživatelská Příkaz Úplná syntaxe příkazů
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-trigger-test-alert Žádné atributy

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele cyberxu :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Pravidla vyloučení výstrah ze senzoru OT

Následující příkazy podporují funkce vyloučení výstrah na senzoru OT, včetně zobrazení aktuálních pravidel vyloučení, přidávání a úprav pravidel a odstraňování pravidel.

Poznámka:

Pravidla vyloučení upozornění definovaná na senzoru OT je možné přepsat pravidly vyloučení výstrah definovanými v místní konzole pro správu.

Zobrazit aktuální pravidla vyloučení upozornění

Pomocí následujícího příkazu zobrazíte seznam aktuálně nakonfigurovaných pravidel vyloučení.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx nebo admin with root access alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele správce :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Vytvoření nového pravidla vyloučení upozornění

Pomocí následujících příkazů vytvořte na senzoru pravidlo místního vyloučení upozornění.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
kyberzločince nebo správce s kořenovým přístupem cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Podporované atributy jsou definovány takto:

Atribut Popis
-h, --help Zobrazí zprávu nápovědy a ukončí.
[-n <NAME>], [--name <NAME>] Definujte název pravidla.
[-ts <TIMES>] [--time_span <TIMES>] Definuje časové období, pro které je pravidlo aktivní, pomocí následující syntaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Směr adresy, který chcete vyloučit. Použijte jednu z následujících hodnot: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy zařízení nebo typy adres, které se mají vyloučit, pomocí následující syntaxe: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Názvy výstrah, které chcete vyloučit, podle šestnáctkové hodnoty. Příklad: 0x00000, 0x000001

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele správce :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Úprava pravidla vyloučení upozornění

Pomocí následujících příkazů můžete upravit stávající pravidlo vyloučení místních upozornění na senzoru.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
kyberzločince nebo správce s kořenovým přístupem exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Podporované atributy jsou definovány takto:

Atribut Popis
-h, --help Zobrazí zprávu nápovědy a ukončí.
[-n <NAME>], [--name <NAME>] Název pravidla, které chcete upravit.
[-ts <TIMES>] [--time_span <TIMES>] Definuje časové období, pro které je pravidlo aktivní, pomocí následující syntaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Směr adresy, který chcete vyloučit. Použijte jednu z následujících hodnot: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy zařízení nebo typy adres, které se mají vyloučit, pomocí následující syntaxe: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Názvy výstrah, které chcete vyloučit, podle šestnáctkové hodnoty. Příklad: 0x00000, 0x000001

Použijte následující syntaxi příkazu s uživatelem správce :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Odstranění pravidla vyloučení upozornění

Pomocí následujících příkazů odstraňte existující pravidlo vyloučení místních výstrah na senzoru.

Uživatelská Příkaz Úplná syntaxe příkazů
Admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
kyberzločince nebo správce s kořenovým přístupem exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Podporované atributy jsou definovány takto:

Atribut Popis
-h, --help Zobrazí zprávu nápovědy a ukončí.
[-n <NAME>], [--name <NAME>] Název pravidla, které chcete odstranit.
[-ts <TIMES>] [--time_span <TIMES>] Definuje časové období, pro které je pravidlo aktivní, pomocí následující syntaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Směr adresy, který chcete vyloučit. Použijte jednu z následujících hodnot: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy zařízení nebo typy adres, které se mají vyloučit, pomocí následující syntaxe: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Názvy výstrah, které chcete vyloučit, podle šestnáctkové hodnoty. Příklad: 0x00000, 0x000001

Následující příklad ukazuje syntaxi příkazu a odpověď pro uživatele správce :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Další kroky

Další informace o příkazech Rozhraní příkazového řádku Defenderu pro IoT