CLI-Befehlsreferenz für OT-Netzwerksensoren

  • Artikel

In diesem Artikel werden die CLI-Befehle aufgeführt, die für OT-Netzwerksensoren von Defender for IoT verfügbar sind.

Achtung

Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter für den OT-Netzwerksensor und die lokale Verwaltungskonsole unterstützt. Nehmen Sie keine Änderungen an nicht dokumentierten Konfigurationsparametern oder Systemeigenschaften vor, da Änderungen zu unerwartetem Verhalten und zu Systemfehlern führen können.

Das Entfernen von Paketen aus Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.

Voraussetzungen

Damit Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie als privilegierter Benutzer Zugriff auf die CLI Ihres OT-Netzwerksensors.

Während in diesem Artikel die Befehlssyntax für jeden Benutzer aufgeführt wird, empfehlen wir die Verwendung des Administratorbenutzers für alle CLI-Befehle, in denen der Administratorbenutzer unterstützt wird.

Wenn Sie eine ältere Version der Sensorsoftware verwenden, haben Sie möglicherweise Zugriff auf den älteren Supportbenutzer . In solchen Fällen werden alle Befehle, die für den Administratorbenutzer unterstützt werden, für den Legacysupportbenutzer unterstützt.

Weitere Informationen finden Sie unter Zugreifen auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.

Appliancewartung

Überprüfen der Integrität der OT-Überwachungsdienste

Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender for IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.

Integritätsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung beim Sensor.

User Get-Help Vollständige Befehlssyntax
admin system sanity Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-sanity Keine Attribute

Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Neustarten und Herunterfahren

Neustarten einer Appliance

Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance neu zu starten:

User Get-Help Vollständige Befehlssyntax
admin system reboot Keine Attribute
Cyberx oder Administrator mit Stammzugriff sudo reboot Keine Attribute
cyberx_host oder Administrator mit Stammzugriff sudo reboot Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: system reboot

Herunterfahren einer Appliance

Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance herunterzufahren:

User Get-Help Vollständige Befehlssyntax
admin system shutdown Keine Attribute
Cyberx oder Administrator mit Stammzugriff sudo shutdown -r now Keine Attribute
cyberx_host oder Administrator mit Stammzugriff sudo shutdown -r now Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: system shutdown

Softwareversionen

Anzeigen der installierten Softwareversion

Verwenden Sie die folgenden Befehle, um die auf Ihrem OT-Sensor installierte Defender for IoT-Softwareversion aufzuführen:

User Get-Help Vollständige Befehlssyntax
admin system version Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-version Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Aktualisieren der Sensorsoftware über die CLI

Weitere Informationen finden Sie unter Aktualisieren der Sensoren.

Datum, Uhrzeit und NTP

Anzeigen des aktuellen Systemdatums/der aktuellen Systemzeit

Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Systemzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen:

User Get-Help Vollständige Befehlssyntax
admin date Keine Attribute
Cyberx oder Administrator mit Stammzugriff date Keine Attribute
cyberx_host oder Administrator mit Stammzugriff date Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Aktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu aktivieren:

Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:

  • Der NTP-Server kann über den Applianceverwaltungsport erreicht werden.
  • Sie verwenden denselben NTP-Server, um alle Sensorappliances und die lokale Verwaltungskonsole zu synchronisieren.
User Get-Help Vollständige Befehlssyntax
admin ntp enable <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-ntp-enable <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.

Beispiel: Für den Administratorbenutzer :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Deaktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu deaktivieren:

User Get-Help Vollständige Befehlssyntax
admin ntp disable <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-ntp-disable <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.

Beispiel: Für den Administratorbenutzer :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Sichern und Wiederherstellen

In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen einer Systemmomentaufnahme Ihres OT-Netzwerksensors unterstützt werden.

Sicherungsdateien enthalten eine vollständige Momentaufnahme des Sensorzustands, einschließlich Konfigurationseinstellungen, Baselinewerten, Bestandsdaten und Protokollen.

Achtung

Unterbrechen Sie einen Systemsicherungs- oder Wiederherstellungsvorgang nicht, da dies dazu führen kann, dass das System nicht mehr verwendet werden kann.

Auflisten der aktuellen Sicherungsdateien

Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit in Ihrem OT-Netzwerksensor gespeichert sind:

User Get-Help Vollständige Befehlssyntax
admin system backup-list Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-backup-list Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Starten einer sofortigen, nicht geplanten Sicherung

Verwenden Sie die folgenden Befehle, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.

Achtung

Stellen Sie sicher, dass die Appliance beim Sichern von Daten nicht beendet oder ausgeschaltet wird.

User Get-Help Vollständige Befehlssyntax
admin system backup Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-backup Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Wiederherstellen von Daten aus der letzten Sicherung

Verwenden Sie die folgenden Befehle, um Daten auf Ihrem OT-Netzwerksensor mithilfe der neuesten Sicherungsdatei wiederherzustellen. Bestätigen Sie bei Aufforderung, dass Sie den Vorgang fortsetzen möchten.

Achtung

Stellen Sie sicher, dass die Appliance beim Wiederherstellen von Daten nicht beendet oder ausgeschaltet wird.

User Get-Help Vollständige Befehlssyntax
admin system restore Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-restore -f <filename>

Beispiel: Für den Administratorbenutzer :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Anzeigen der Speicherbelegung auf dem Sicherungsdatenträger

Der folgende Befehl listet die aktuelle Speicherbelegung auf dem Sicherungsdatenträger auf, einschließlich der folgenden Details:

  • Speicherort des Ordners
  • Größe des Sicherungsordners
  • Einschränkungen des Sicherungsordners
  • Zeitpunkt des letzten Sicherungsvorgangs
  • Für Sicherungen verfügbarer freier Speicherplatz
User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-backup-memory-check Keine Attribute

Beispiel für den Benutzer cyberx:

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

TLS-/SSL-Zertifikate

Importieren von TLS-/SSL-Zertifikaten in den OT-Sensor

Verwenden Sie den folgenden Befehl, um TLS/SSL-Zertifikate über die CLI in den Sensor zu importieren.

Führen Sie zum Verwenden dieses Befehls die folgenden Schritte aus:

  • Vergewissern Sie sich, dass die zu importierende Zertifikatdatei auf der Appliance lesbar ist. Laden Sie Zertifikatdateien mithilfe von Tools wie WinSCP oder Wget auf die Appliance hoch.
  • Vergewissern Sie sich bei der IT-Abteilung, dass die Appliancedomäne wie im Zertifikat angezeigt für Ihren DNS-Server und die entsprechende IP-Adresse korrekt ist.

Weitere Informationen finden Sie unter Vorbereiten der von einer Zertifizierungsstelle signierten Zertifikate und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]`

In diesem Befehl:

  • -h: Zeigt die vollständige Hilfesyntax an.

  • --crt: Der Pfad zur Zertifikatdatei, die Sie hochladen möchten, mit der Erweiterung .crt

  • --key: Die Datei \*.key, die Sie für das Zertifikat verwenden möchten. Die Schlüssellänge muss mindestens 2.048 Bits betragen.

  • --chain: Der Pfad zu einer Zertifikatskettendatei Optional.

  • --pass: Passphrase zum Verschlüsseln des Zertifikats Optional.

    Die folgenden Zeichen werden zum Erstellen eines Schlüssels oder Zertifikats mit einer Passphrase unterstützt:

    • ASCII-Zeichen, einschließlich a–z, A–Z, 0–9
    • Die folgenden Sonderzeichen: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Nicht verwendet und standardmäßig auf False festgelegt. Legen Sie die Einstellung auf True fest, um die mit dem vorherigen Zertifikat bereitgestellte Passphrase zu verwenden. Optional.

Beispiel für den Benutzer cyberx:

root@xsense:/# cyberx-xsense-certificate-import

Wiederherstellen des standardmäßigen selbstsignierten Zertifikats

Verwenden Sie den folgenden Befehl, um die selbstsignierten Standardzertifikate auf Ihrer Sensorappliance wiederherzustellen. Es wird empfohlen, diese Aktivität nur für die Problembehandlung und nicht für Produktionsumgebungen zu verwenden.

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-create-self-signed-certificate Keine Attribute

Beispiel für den Benutzer cyberx:

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Lokale Benutzerverwaltung

Ändern der Kennwörter von lokalen Benutzern

Verwenden Sie die folgenden Befehle, um Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern.

Wenn Sie das Kennwort für den Administrator, Cyberx oder cyberx_host Benutzer ändern, wird das Kennwort sowohl für SSH als auch für den Webzugriff geändert.

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host oder Administrator mit Stammzugriff passwd Keine Attribute

Das folgende Beispiel zeigt, wie der Cyberx-Benutzer das Kennwort jI8iD9kE6hB8qN0hdes Administratorbenutzers auf folgendes zurückgesetzt:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

Das folgende Beispiel zeigt, wie der Benutzer cyberx_host das Kennwort des Benutzers cyberx_host ändert:

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Steuern von Timeouts für Benutzersitzungen

Definieren Sie den Zeitraum, nach dem Benutzer automatisch vom OT-Sensor abgemeldet werden. Definieren Sie diesen Wert in einer Eigenschaftendatei, die auf dem Sensor gespeichert ist. Weitere Informationen finden Sie unter Steuern der Timeouts von Benutzersitzungen.

Definieren der maximalen Anzahl fehlgeschlagener Anmeldungen

Legen Sie die maximale Anzahl fehlgeschlagener Anmeldungen fest, die erfolgen darf, bevor ein OT-Sensor verhindert, dass sich der Benutzer über dieselbe IP-Adresse erneut anmeldet. Definieren Sie diesen Wert in einer Eigenschaftendatei, die auf dem Sensor gespeichert ist.

Weitere Informationen finden Sie unter Definieren der maximalen Anzahl fehlgeschlagener Anmeldungen.

Netzwerkkonfiguration

Netzwerkeinstellungen

Ändern der Netzwerkkonfiguration oder erneutes Zuweisen von Netzwerkschnittstellenrollen

Verwenden Sie den folgenden Befehl, um den Assistenten zur Konfiguration der OT-Überwachungssoftware erneut auszuführen, mit dem Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:

  • Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
  • Konfigurieren von Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
  • Zuweisen eines Sicherungsverzeichnisses
User Get-Help Vollständige Befehlssyntax
cyberx_host oder Administrator mit Stammzugriff sudo dpkg-reconfigure iot-sensor Keine Attribute

Beispiel für den Benutzer cyberx_host:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

Der Konfigurations-Assistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.

Überprüfen und Anzeigen der Netzwerkschnittstellenkonfiguration

Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu überprüfen und anzuzeigen:

User Get-Help Vollständige Befehlssyntax
admin network validate Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Netzwerkkonnektivität

Überprüfen der Netzwerkkonnektivität über den OT-Sensor

Verwenden Sie die folgenden Befehle, um eine Pingnachricht über den OT-Sensor zu senden:

User Get-Help Vollständige Befehlssyntax
admin ping <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff ping <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-Netzwerkhosts, auf den über den Verwaltungsport Ihres OT-Sensors zugegriffen werden kann.

Überprüfen der aktuellen Last der Netzwerkschnittstelle

Verwenden Sie den folgenden Befehl, um Netzwerkdatenverkehr und Bandbreite mithilfe eines 6-Sekunden-Tests anzuzeigen:

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-nload Keine Attribute 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Überprüfen der Internetverbindung

Verwenden Sie den folgenden Befehl, um die Internetverbindung auf Ihrer Appliance zu überprüfen:

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-internet-connectivity Keine Attribute 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Festlegen des Bandbreitengrenzwerts für die Verwaltungsnetzwerkschnittstelle

Verwenden Sie den folgenden Befehl, um die ausgehende Bandbreitengrenze für Uploads über die Verwaltungsschnittstelle des OT-Sensors in das Azure-Portal oder eine lokale Verwaltungskonsole festzulegen.

Das Festlegen ausgehender Bandbreitengrenzen kann hilfreich sein, um die Servicequalität (Quality of Service, QoS) des Netzwerks aufrechtzuerhalten. Dieser Befehl wird nur in Umgebungen mit eingeschränkter Bandbreite unterstützt, z. B. über eine Satelliten- oder serielle Verbindung.

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

In diesem Befehl:

  • -h oder --help: Zeigt die Befehlshilfesyntax.

  • --interface <INTERFACE VALUE>: Die Schnittstelle, die Sie einschränken möchten, z. B. eth0

  • --limit <LIMIT VALUE>: Der Grenzwert, den Sie festlegen möchten, z. B. 30kbit. Verwenden Sie eine der folgenden Einheiten:

    • kbps: Kilobytes pro Sekunde
    • mbps: Megabytes pro Sekunde
    • kbit: Kilobits pro Sekunde
    • mbit: Megabits pro Sekunde
    • bps oder eine bloße Zahl: Bytes pro Sekunde

  • --clear: Löscht alle Einstellungen für die angegebene Schnittstelle

Beispiel für den Benutzer cyberx:

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Physische Schnittstellen

Ermitteln eines physischen Ports mithilfe blinkender Schnittstellenleuchten

Verwenden Sie den folgenden Befehl, um nach einer bestimmten physischen Schnittstelle zu suchen, indem Sie ein Blinken der Schnittstellenleuchten verursachen.

User Get-Help Vollständige Befehlssyntax
admin network blink <INT> Keine Attribute

In diesem Befehl ist <INT> ein physischer Ethernet-Port auf der Appliance.

Das folgende Beispiel zeigt den Administratorbenutzer , der die Eth0-Schnittstelle blinkt:

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Auflisten verbundener physischer Schnittstellen

Verwenden Sie die folgenden Befehle, um die verbundenen physischen Schnittstellen auf Ihrem OT-Sensor aufzulisten:

User Get-Help Vollständige Befehlssyntax
admin network list Keine Attribute
Cyberx oder Administrator mit Stammzugriff ifconfig Keine Attribute

Beispiel: Für den Administratorbenutzer :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filter für die Datenverkehrserfassung

Um Warnungsermüdung zu reduzieren und Ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle bei Defender for IoT eingeht. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf Hardwareebene blockieren und so sowohl die Leistung der Appliance als auch die Ressourcennutzung optimieren.

Verwenden Sie Einschluss- und/oder Ausschlusslisten, um Erfassungsfilter für Ihre OT-Netzwerksensoren zu erstellen und konfigurieren. Stellen Sie sicher, dass Sie den zu überwachenden Datenverkehr nicht blockieren.

Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender for IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender for IoT-Komponenten konfigurieren:

  • horizon: Erfasst DPI-Daten (Deep Packet Inspection, eingehende Paketuntersuchung)
  • collector: Erfasst PCAP-Daten
  • traffic-monitor: Erfasst Kommunikationsstatistiken

Hinweis

  • Erfassungsfilter gelten nicht für Defender for IoT-Schadsoftwarewarnungen, die für den gesamten erkannten Netzwerkdatenverkehr ausgelöst werden.

  • Der Befehl capture filter hat einen Grenzwert für die Zeichenlänge, der sich nach der Komplexität der Definition des Erfassungsfilters und den verfügbaren Fähigkeiten der Netzwerkkarte richtet. Wenn Ihr angeforderter Filterbefehl fehlschlägt, versuchen Sie, Subnetze in größeren Bereichen zu gruppieren und einen kürzeren Erfassungsfilterbefehl zu verwenden.

Erstellen eines einfachen Filters für alle Komponenten

Die zum Konfigurieren eines einfachen Erfassungsfilters verwendete Methode unterscheidet sich je nach Benutzer, der den Befehl ausführt:

  • Benutzer cyberx: Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um den Erfassungsfilter zu konfigurieren.
  • Administratorbenutzer : Führen Sie den angegebenen Befehl aus, und geben Sie dann Werte ein, wie sie von der CLI aufgefordert werden, und bearbeiten Sie Ihre Listen in einem Nano-Editor, und schließen Sie sie aus.

Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:

User Get-Help Vollständige Befehlssyntax
admin network capture-filter Keine Attribute.
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Unterstützte Attribute für den Benutzer cyberx sind wie folgt definiert:

attribute BESCHREIBUNG
-h, --help Zeigt die Hilfemeldung an; dann wird der Vorgang beendet.
-i <INCLUDE>, --include <INCLUDE> Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie einschließen möchten, wobei <INCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei.
-x EXCLUDE, --exclude EXCLUDE Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie ausschließen möchten, wobei <EXCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Schließt TCP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_TCP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Schließt UDP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_UDP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Schließt TCP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_TCP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Schließt UDP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_UDP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Schließt VLAN-Datenverkehr anhand der angegebenen VLAN-IDs ein. <INCLUDE_VLAN_IDS> definiert die VLAN-IDs, die Sie einschließen möchten. Trennen Sie mehrere VLAN-IDs durch Komma ohne Leerzeichen.
-p <PROGRAM>, --program <PROGRAM> Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten. Verwenden Sie all für einfache Anwendungsfälle, um einen einzelnen Erfassungsfilter für alle Komponenten zu erstellen.

Erstellen Sie für erweiterte Anwendungsfälle separate Erfassungsfilter für die einzelnen Komponenten. Weitere Informationen finden Sie unter Erstellen eines erweiterten Filters für bestimmte Komponenten.
-m <MODE>, --mode <MODE> Definiert einen Einschlusslistenmodus und ist nur relevant, wenn eine Einschlussliste verwendet wird. Verwenden Sie einen der folgenden Werte:

- internal: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel
- all-connected: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.

Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.

Beispiel: Einschluss- oder Ausschlussdatei

Eine Einschluss- oder Ausschlussdatei .txt kann beispielsweise die folgenden Einträge beinhalten:

192.168.50.10
172.20.248.1

Erstellen eines einfachen Erfassungsfilters mithilfe des Administratorbenutzers

Wenn Sie einen einfachen Erfassungsfilter als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Antworten Sie wie folgt auf die angezeigten Eingabeaufforderungen:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Wählen Sie Y aus, um eine neue Einschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie in den überwachten Datenverkehr einschließen möchten. Jeder andere Datenverkehr, der nicht in der Einschlussdatei aufgeführt ist, wird nicht in Defender for IoT erfasst.

    Die Einschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Einschlussdatei wie folgt Geräte, Kanäle und Subnetze:

    type Beschreibung des Dataflows Beispiel
    Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1 schließt den gesamten Datenverkehr für dieses Gerät ein.
    Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2 schließt den gesamten Datenverkehr für diesen Kanal ein.
    Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1 schließt den gesamten Datenverkehr für dieses Subnetz ein.
    Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2 schließt den gesamten Datenverkehr zwischen diesen Subnetzen ein.

    Listen Sie mehrere Argumente in separaten Zeilen auf.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Wählen Sie Y aus, um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie aus dem überwachten Datenverkehr ausschließen möchten. Jeder andere Datenverkehr, der nicht in der Ausschlussdatei aufgeführt ist, wird in Defender for IoT erfasst.

    Die Ausschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Ausschlussdatei wie folgt Geräte, Kanäle und Subnetze:

    type Beschreibung des Dataflows Beispiel
    Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1 schließt den gesamten Datenverkehr für dieses Gerät aus.
    Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2 schließt den gesamten Datenverkehr zwischen diesen Geräten aus.
    Kanal nach Port Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte sowie den Datenverkehrsport. 1.1.1.1,2.2.2.2,443 schließt den gesamten Datenverkehr zwischen diesen Geräten und unter Verwendung des angegebenen Ports aus.
    Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1 schließt den gesamten Datenverkehr für dieses Subnetz aus.
    Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2 schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.

    Listen Sie mehrere Argumente in separaten Zeilen auf.

  3. Antworten Sie auf die folgenden Aufforderungen, um TCP- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Komma, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Geben Sie mehrere Ports beispielsweise wie folgt an: 502,443.

  4. In which component do you wish to apply this capture filter?

    Geben Sie all für einen einfachen Erfassungsfilter ein. Erstellen Sie für erweiterte Anwendungsfälle separat Erfassungsfilter für die einzelnen Defender for IoT-Komponenten.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Mit dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Gültigkeitsbereich befindet. Legen Sie fest, ob Sie Datenverkehr sammeln möchten, wenn sich beide Endpunkte im Gültigkeitsbereich befinden oder wenn sich nur einer davon im angegebenen Subnetz befindet. Unterstützte Werte sind:

    • internal: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel
    • all-connected: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.

    Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
    Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.

    Der Standardmodus ist internal. Um den Modus all-connected zu verwenden, wählen Sie Y an der Eingabeaufforderung aus, und geben Sie dann all-connected ein.

Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, die einen Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x und Port 9000: erstellen.

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Erstellen eines erweiterten Filters für bestimmte Komponenten

Beim Konfigurieren von erweiterten Erfassungsfiltern für bestimmte Komponenten können Sie Ihre anfänglichen Ein- und Ausschlussdateien als Basis- oder Vorlagenerfassungsfilter verwenden. Konfigurieren Sie dann zusätzlich zum Basisfilter ggf. weitere Filter für die einzelnen Komponenten.

Um einen Erfassungsfilter für die einzelnen Komponente zu erstellen, müssen Sie den gesamten Prozess für die einzelnen Komponenten wiederholen.

Hinweis

Wenn Sie verschiedene Erfassungsfilter für verschiedene Komponenten erstellt haben, wird die Modusauswahl für alle Komponenten verwendet. Das Definieren des Erfassungsfilters für eine Komponente als internal und des Erfassungsfilters für eine andere Komponente als all-connected wird nicht unterstützt.

User Get-Help Vollständige Befehlssyntax
admin network capture-filter Keine Attribute.
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Die folgenden zusätzlichen Attribute werden für den Benutzer cyberx verwendet, um Erfassungsfilter für die einzelnen Komponenten separat zu erstellen:

attribute BESCHREIBUNG
-p <PROGRAM>, --program <PROGRAM> Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten, wobei <PROGRAM> die folgenden unterstützten Werte hat:
- traffic-monitor
- collector
- horizon
- all: Erstellt einen einzelnen Erfassungsfilter für alle Komponenten. Weitere Informationen finden Sie unter Erstellen eines einfachen Filters für alle Komponenten.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definiert einen Basiserfassungsfilter für die Komponente horizon. Dabei ist <BASE_HORIZON> der Filter, den Sie verwenden möchten.
Standardwert = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definiert einen Basiserfassungsfilter für die Komponente traffic-monitor.
Standardwert = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definiert einen Basiserfassungsfilter für die Komponente collector.
Standardwert = ""

Andere Attributwerte weisen die gleichen Beschreibungen auf wie im zuvor beschriebenen einfachen Anwendungsfall.

Erstellen eines erweiterten Erfassungsfilters mithilfe des Administratorbenutzers

Wenn Sie einen Aufnahmefilter für jede Komponente separat als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Die meisten Eingabeaufforderungen sind mit denen für den einfachen Anwendungsfall identisch. Reagieren Sie auf die folgenden zusätzlichen Eingabeaufforderungen wie folgt:

  1. In which component do you wish to apply this capture filter?

    Geben Sie je nach der zu filternden Komponente einen der folgenden Werte ein:

    • horizon
    • traffic-monitor
    • collector

  2. Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Diese Option verwendet den Erfassungsfilter, den Sie in den vorherigen Schritten als Basis oder Vorlage konfiguriert haben, und Sie können zusätzlich zur Basis weitere Konfigurationen hinzufügen.

    Wenn Sie beispielsweise im vorherigen Schritt das Konfigurieren eines Erfassungsfilters für die Komponente collector ausgewählt haben, wird folgende Eingabeaufforderung angezeigt: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Geben Sie Y ein, um die Vorlage für die angegebene Komponente anzupassen, oder N, um den zuvor konfigurierten Erfassungsfilter unverändert zu verwenden.

Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im einfachen Anwendungsfall fort.

Auflisten der aktuellen Erfassungsfilter für bestimmte Komponenten

Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.

User Get-Help Vollständige Befehlssyntax
admin Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen:

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties		 Keine Attribute
Cyberx oder Administrator mit Stammzugriff Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen:

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties		 Keine Attribute

Mit diesen Befehlen werden die folgenden Dateien geöffnet, in denen die Erfassungsfilter aufgelistet werden, die für die einzelnen Komponenten konfiguriert sind:

Name Datei Eigenschaft
horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Sammlung /var/cyberx/properties/dumpark.properties dumpark.network.filter

Beispiel: mit dem Administratorbenutzer, mit einem für die Sammlungskomponente definierten Aufnahmefilter, der Subnetz 192.168.x.x und Port 9000 ausschließt:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Zurücksetzen aller Erfassungsfilter

Verwenden Sie den folgenden Befehl, um Ihren Sensor auf die Standarderfassungskonfiguration mit dem Benutzer cyberx zurückzusetzen und alle Erfassungsfilter zu entfernen:

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter -p all -m all-connected Keine Attribute

Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den vorherigen Befehl erneut mit neuen Attributwerten aus.

Um alle Aufnahmefilter mithilfe des Administratorbenutzers zurückzusetzen, führen Sie den früheren Befehl erneut aus, und reagieren Sie auf N alle Eingabeaufforderungen , um alle Aufnahmefilter zurückzusetzen.

Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Alerts

Auslösen einer Testwarnung

Verwenden Sie den folgenden Befehl, um die Konnektivität und Warnungsweiterleitung vom Sensor an Verwaltungskonsolen zu testen, einschließlich Azure-Portal, einer lokalen Defender for IoT-Verwaltungskonsole oder einem SIEM eines Drittanbieters.

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-trigger-test-alert Keine Attribute

Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Warnungsausschlussregeln von einem OT-Sensor

Die folgenden Befehle unterstützen Warnungsausschlussfunktionen auf Ihrem OT-Sensor und ermöglichen u. a. das Anzeigen aktueller Ausschlussregeln, das Hinzufügen und Bearbeiten von Regeln und das Löschen von Regeln.

Hinweis

Warnungsausschlussregeln, die auf einem OT-Sensor definiert sind, können durch Warnungsausschlussregeln überschrieben werden, die in Ihrer lokalen Verwaltungskonsole definiert sind.

Anzeigen der aktuellen Warnungsausschlussregeln

Verwenden Sie den folgenden Befehl, um eine Liste der aktuell konfigurierten Ausschlussregeln anzuzeigen:

User Get-Help Vollständige Befehlssyntax
admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
Cyberx oder Administrator mit Stammzugriff alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Erstellen einer neuen Warnungsausschlussregel

Verwenden Sie die folgenden Befehle, um eine lokale Warnungsausschlussregel für Ihren Sensor zu erstellen:

User Get-Help Vollständige Befehlssyntax
admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Unterstützte Attribute sind wie folgt definiert:

attribute BESCHREIBUNG
-h, --help Zeigt die Hilfemeldung an; dann wird der Vorgang beendet.
[-n <NAME>], [--name <NAME>] Definieren Sie den Namen der Regel.
[-ts <TIMES>] [--time_span <TIMES>] Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both, src, dst.
[-dev <DEVICES>], [--devices <DEVICES>] Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001

Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Ändern einer Warnungsausschlussregel

Verwenden Sie die folgenden Befehle, um eine vorhandene lokale Warnungsausschlussregel für Ihren Sensor zu ändern:

User Get-Help Vollständige Befehlssyntax
admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
Cyberx oder Administrator mit Stammzugriff exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Unterstützte Attribute sind wie folgt definiert:

attribute BESCHREIBUNG
-h, --help Zeigt die Hilfemeldung an; dann wird der Vorgang beendet.
[-n <NAME>], [--name <NAME>] Der Name der Regel, die Sie ändern möchten
[-ts <TIMES>] [--time_span <TIMES>] Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both, src, dst.
[-dev <DEVICES>], [--devices <DEVICES>] Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001

Verwenden Sie die folgende Befehlssyntax mit dem Administratorbenutzer :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Löschen einer Warnungsausschlussregel

Verwenden Sie die folgenden Befehle, um eine vorhandene lokale Warnungsausschlussregel für Ihren Sensor zu löschen:

User Get-Help Vollständige Befehlssyntax
admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
Cyberx oder Administrator mit Stammzugriff exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Unterstützte Attribute sind wie folgt definiert:

attribute BESCHREIBUNG
-h, --help Zeigt die Hilfemeldung an; dann wird der Vorgang beendet.
[-n <NAME>], [--name <NAME>] Der Name des Servers, die Sie löschen möchten
[-ts <TIMES>] [--time_span <TIMES>] Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both, src, dst.
[-dev <DEVICES>], [--devices <DEVICES>] Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001

Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Nächste Schritte

Weitere Informationen zu den CLI-Befehlen von Defender for IoT