CLI-Befehlsreferenz für OT-Netzwerksensoren
In diesem Artikel werden die CLI-Befehle aufgeführt, die für OT-Netzwerksensoren von Defender for IoT verfügbar sind.
Achtung
Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter für den OT-Netzwerksensor und die lokale Verwaltungskonsole unterstützt. Nehmen Sie keine Änderungen an nicht dokumentierten Konfigurationsparametern oder Systemeigenschaften vor, da Änderungen zu unerwartetem Verhalten und zu Systemfehlern führen können.
Das Entfernen von Paketen aus Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.
Voraussetzungen
Damit Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie als privilegierter Benutzer Zugriff auf die CLI Ihres OT-Netzwerksensors.
Während in diesem Artikel die Befehlssyntax für jeden Benutzer aufgeführt wird, empfehlen wir die Verwendung des Administratorbenutzers für alle CLI-Befehle, in denen der Administratorbenutzer unterstützt wird.
Wenn Sie eine ältere Version der Sensorsoftware verwenden, haben Sie möglicherweise Zugriff auf den älteren Supportbenutzer . In solchen Fällen werden alle Befehle, die für den Administratorbenutzer unterstützt werden, für den Legacysupportbenutzer unterstützt.
Weitere Informationen finden Sie unter Zugreifen auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.
Appliancewartung
Überprüfen der Integrität der OT-Überwachungsdienste
Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender for IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.
Integritätsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung beim Sensor.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system sanity |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-sanity |
Keine Attribute |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Neustarten und Herunterfahren
Neustarten einer Appliance
Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance neu zu starten:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system reboot |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | sudo reboot |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | sudo reboot |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: system reboot
Herunterfahren einer Appliance
Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance herunterzufahren:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system shutdown |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | sudo shutdown -r now |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | sudo shutdown -r now |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: system shutdown
Softwareversionen
Anzeigen der installierten Softwareversion
Verwenden Sie die folgenden Befehle, um die auf Ihrem OT-Sensor installierte Defender for IoT-Softwareversion aufzuführen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system version |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-version |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: system version
Version: 22.2.5.9-r-2121448
Aktualisieren der Sensorsoftware über die CLI
Weitere Informationen finden Sie unter Aktualisieren der Sensoren.
Datum, Uhrzeit und NTP
Anzeigen des aktuellen Systemdatums/der aktuellen Systemzeit
Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Systemzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | date |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | date |
Keine Attribute |
cyberx_host oder Administrator mit Stammzugriff | date |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
Aktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu aktivieren:
Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:
- Der NTP-Server kann über den Applianceverwaltungsport erreicht werden.
- Sie verwenden denselben NTP-Server, um alle Sensorappliances und die lokale Verwaltungskonsole zu synchronisieren.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ntp enable <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-ntp-enable <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
root@xsense: ntp enable 129.6.15.28
root@xsense:
Deaktivieren der NTP-Zeitsynchronisierung
Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu deaktivieren:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ntp disable <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-ntp-disable <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.
Beispiel: Für den Administratorbenutzer :
root@xsense: ntp disable 129.6.15.28
root@xsense:
Sichern und Wiederherstellen
In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen einer Systemmomentaufnahme Ihres OT-Netzwerksensors unterstützt werden.
Sicherungsdateien enthalten eine vollständige Momentaufnahme des Sensorzustands, einschließlich Konfigurationseinstellungen, Baselinewerten, Bestandsdaten und Protokollen.
Achtung
Unterbrechen Sie einen Systemsicherungs- oder Wiederherstellungsvorgang nicht, da dies dazu führen kann, dass das System nicht mehr verwendet werden kann.
Auflisten der aktuellen Sicherungsdateien
Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit in Ihrem OT-Netzwerksensor gespeichert sind:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system backup-list |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-backup-list |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
Starten einer sofortigen, nicht geplanten Sicherung
Verwenden Sie die folgenden Befehle, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.
Achtung
Stellen Sie sicher, dass die Appliance beim Sichern von Daten nicht beendet oder ausgeschaltet wird.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system backup |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-backup |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
Wiederherstellen von Daten aus der letzten Sicherung
Verwenden Sie die folgenden Befehle, um Daten auf Ihrem OT-Netzwerksensor mithilfe der neuesten Sicherungsdatei wiederherzustellen. Bestätigen Sie bei Aufforderung, dass Sie den Vorgang fortsetzen möchten.
Achtung
Stellen Sie sicher, dass die Appliance beim Wiederherstellen von Daten nicht beendet oder ausgeschaltet wird.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | system restore |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-system-restore |
-f <filename> |
Beispiel: Für den Administratorbenutzer :
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
Anzeigen der Speicherbelegung auf dem Sicherungsdatenträger
Der folgende Befehl listet die aktuelle Speicherbelegung auf dem Sicherungsdatenträger auf, einschließlich der folgenden Details:
- Speicherort des Ordners
- Größe des Sicherungsordners
- Einschränkungen des Sicherungsordners
- Zeitpunkt des letzten Sicherungsvorgangs
- Für Sicherungen verfügbarer freier Speicherplatz
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-backup-memory-check |
Keine Attribute |
Beispiel für den Benutzer cyberx:
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
TLS-/SSL-Zertifikate
Importieren von TLS-/SSL-Zertifikaten in den OT-Sensor
Verwenden Sie den folgenden Befehl, um TLS/SSL-Zertifikate über die CLI in den Sensor zu importieren.
Führen Sie zum Verwenden dieses Befehls die folgenden Schritte aus:
- Vergewissern Sie sich, dass die zu importierende Zertifikatdatei auf der Appliance lesbar ist. Laden Sie Zertifikatdateien mithilfe von Tools wie WinSCP oder Wget auf die Appliance hoch.
- Vergewissern Sie sich bei der IT-Abteilung, dass die Appliancedomäne wie im Zertifikat angezeigt für Ihren DNS-Server und die entsprechende IP-Adresse korrekt ist.
Weitere Informationen finden Sie unter Vorbereiten der von einer Zertifizierungsstelle signierten Zertifikate und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]` |
In diesem Befehl:
-h
: Zeigt die vollständige Hilfesyntax an.--crt
: Der Pfad zur Zertifikatdatei, die Sie hochladen möchten, mit der Erweiterung.crt
--key
: Die Datei\*.key
, die Sie für das Zertifikat verwenden möchten. Die Schlüssellänge muss mindestens 2.048 Bits betragen.--chain
: Der Pfad zu einer Zertifikatskettendatei Optional.--pass
: Passphrase zum Verschlüsseln des Zertifikats Optional.Die folgenden Zeichen werden zum Erstellen eines Schlüssels oder Zertifikats mit einer Passphrase unterstützt:
- ASCII-Zeichen, einschließlich a–z, A–Z, 0–9
- Die folgenden Sonderzeichen: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set
: Nicht verwendet und standardmäßig auf False festgelegt. Legen Sie die Einstellung auf True fest, um die mit dem vorherigen Zertifikat bereitgestellte Passphrase zu verwenden. Optional.
Beispiel für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-certificate-import
Wiederherstellen des standardmäßigen selbstsignierten Zertifikats
Verwenden Sie den folgenden Befehl, um die selbstsignierten Standardzertifikate auf Ihrer Sensorappliance wiederherzustellen. Es wird empfohlen, diese Aktivität nur für die Problembehandlung und nicht für Produktionsumgebungen zu verwenden.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-create-self-signed-certificate |
Keine Attribute |
Beispiel für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
Lokale Benutzerverwaltung
Ändern der Kennwörter von lokalen Benutzern
Verwenden Sie die folgenden Befehle, um Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern.
Wenn Sie das Kennwort für den Administrator, Cyberx oder cyberx_host Benutzer ändern, wird das Kennwort sowohl für SSH als auch für den Webzugriff geändert.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
cyberx_host oder Administrator mit Stammzugriff | passwd |
Keine Attribute |
Das folgende Beispiel zeigt, wie der Cyberx-Benutzer das Kennwort jI8iD9kE6hB8qN0h
des Administratorbenutzers auf folgendes zurückgesetzt:
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
Das folgende Beispiel zeigt, wie der Benutzer cyberx_host das Kennwort des Benutzers cyberx_host ändert:
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
Steuern von Timeouts für Benutzersitzungen
Definieren Sie den Zeitraum, nach dem Benutzer automatisch vom OT-Sensor abgemeldet werden. Definieren Sie diesen Wert in einer Eigenschaftendatei, die auf dem Sensor gespeichert ist. Weitere Informationen finden Sie unter Steuern der Timeouts von Benutzersitzungen.
Definieren der maximalen Anzahl fehlgeschlagener Anmeldungen
Legen Sie die maximale Anzahl fehlgeschlagener Anmeldungen fest, die erfolgen darf, bevor ein OT-Sensor verhindert, dass sich der Benutzer über dieselbe IP-Adresse erneut anmeldet. Definieren Sie diesen Wert in einer Eigenschaftendatei, die auf dem Sensor gespeichert ist.
Weitere Informationen finden Sie unter Definieren der maximalen Anzahl fehlgeschlagener Anmeldungen.
Netzwerkkonfiguration
Netzwerkeinstellungen
Ändern der Netzwerkkonfiguration oder erneutes Zuweisen von Netzwerkschnittstellenrollen
Verwenden Sie den folgenden Befehl, um den Assistenten zur Konfiguration der OT-Überwachungssoftware erneut auszuführen, mit dem Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:
- Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
- Konfigurieren von Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
- Zuweisen eines Sicherungsverzeichnisses
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
cyberx_host oder Administrator mit Stammzugriff | sudo dpkg-reconfigure iot-sensor |
Keine Attribute |
Beispiel für den Benutzer cyberx_host:
root@xsense:/# sudo dpkg-reconfigure iot-sensor
Der Konfigurations-Assistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.
Überprüfen und Anzeigen der Netzwerkschnittstellenkonfiguration
Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu überprüfen und anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network validate |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
Netzwerkkonnektivität
Überprüfen der Netzwerkkonnektivität über den OT-Sensor
Verwenden Sie die folgenden Befehle, um eine Pingnachricht über den OT-Sensor zu senden:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | ping <IP address> |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | ping <IP address> |
Keine Attribute |
In diesen Befehlen ist <IP address>
die IP-Adresse eines gültigen IPv4-Netzwerkhosts, auf den über den Verwaltungsport Ihres OT-Sensors zugegriffen werden kann.
Überprüfen der aktuellen Last der Netzwerkschnittstelle
Verwenden Sie den folgenden Befehl, um Netzwerkdatenverkehr und Bandbreite mithilfe eines 6-Sekunden-Tests anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-nload |
Keine Attribute |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
Überprüfen der Internetverbindung
Verwenden Sie den folgenden Befehl, um die Internetverbindung auf Ihrer Appliance zu überprüfen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-internet-connectivity |
Keine Attribute |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
Festlegen des Bandbreitengrenzwerts für die Verwaltungsnetzwerkschnittstelle
Verwenden Sie den folgenden Befehl, um die ausgehende Bandbreitengrenze für Uploads über die Verwaltungsschnittstelle des OT-Sensors in das Azure-Portal oder eine lokale Verwaltungskonsole festzulegen.
Das Festlegen ausgehender Bandbreitengrenzen kann hilfreich sein, um die Servicequalität (Quality of Service, QoS) des Netzwerks aufrechtzuerhalten. Dieser Befehl wird nur in Umgebungen mit eingeschränkter Bandbreite unterstützt, z. B. über eine Satelliten- oder serielle Verbindung.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
In diesem Befehl:
-h
oder--help
: Zeigt die Befehlshilfesyntax.--interface <INTERFACE VALUE>
: Die Schnittstelle, die Sie einschränken möchten, z. B.eth0
--limit <LIMIT VALUE>
: Der Grenzwert, den Sie festlegen möchten, z. B.30kbit
. Verwenden Sie eine der folgenden Einheiten:kbps
: Kilobytes pro Sekundembps
: Megabytes pro Sekundekbit
: Kilobits pro Sekundembit
: Megabits pro Sekundebps
oder eine bloße Zahl: Bytes pro Sekunde
--clear
: Löscht alle Einstellungen für die angegebene Schnittstelle
Beispiel für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
Physische Schnittstellen
Ermitteln eines physischen Ports mithilfe blinkender Schnittstellenleuchten
Verwenden Sie den folgenden Befehl, um nach einer bestimmten physischen Schnittstelle zu suchen, indem Sie ein Blinken der Schnittstellenleuchten verursachen.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network blink <INT> |
Keine Attribute |
In diesem Befehl ist <INT>
ein physischer Ethernet-Port auf der Appliance.
Das folgende Beispiel zeigt den Administratorbenutzer , der die Eth0-Schnittstelle blinkt:
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
Auflisten verbundener physischer Schnittstellen
Verwenden Sie die folgenden Befehle, um die verbundenen physischen Schnittstellen auf Ihrem OT-Sensor aufzulisten:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network list |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | ifconfig |
Keine Attribute |
Beispiel: Für den Administratorbenutzer :
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
Filter für die Datenverkehrserfassung
Um Warnungsermüdung zu reduzieren und Ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle bei Defender for IoT eingeht. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf Hardwareebene blockieren und so sowohl die Leistung der Appliance als auch die Ressourcennutzung optimieren.
Verwenden Sie Einschluss- und/oder Ausschlusslisten, um Erfassungsfilter für Ihre OT-Netzwerksensoren zu erstellen und konfigurieren. Stellen Sie sicher, dass Sie den zu überwachenden Datenverkehr nicht blockieren.
Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender for IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender for IoT-Komponenten konfigurieren:
horizon
: Erfasst DPI-Daten (Deep Packet Inspection, eingehende Paketuntersuchung)collector
: Erfasst PCAP-Datentraffic-monitor
: Erfasst Kommunikationsstatistiken
Hinweis
Erfassungsfilter gelten nicht für Defender for IoT-Schadsoftwarewarnungen, die für den gesamten erkannten Netzwerkdatenverkehr ausgelöst werden.
Der Befehl capture filter hat einen Grenzwert für die Zeichenlänge, der sich nach der Komplexität der Definition des Erfassungsfilters und den verfügbaren Fähigkeiten der Netzwerkkarte richtet. Wenn Ihr angeforderter Filterbefehl fehlschlägt, versuchen Sie, Subnetze in größeren Bereichen zu gruppieren und einen kürzeren Erfassungsfilterbefehl zu verwenden.
Erstellen eines einfachen Filters für alle Komponenten
Die zum Konfigurieren eines einfachen Erfassungsfilters verwendete Methode unterscheidet sich je nach Benutzer, der den Befehl ausführt:
- Benutzer cyberx: Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um den Erfassungsfilter zu konfigurieren.
- Administratorbenutzer : Führen Sie den angegebenen Befehl aus, und geben Sie dann Werte ein, wie sie von der CLI aufgefordert werden, und bearbeiten Sie Ihre Listen in einem Nano-Editor, und schließen Sie sie aus.
Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network capture-filter |
Keine Attribute. |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Unterstützte Attribute für den Benutzer cyberx sind wie folgt definiert:
attribute | BESCHREIBUNG |
---|---|
-h , --help |
Zeigt die Hilfemeldung an; dann wird der Vorgang beendet. |
-i <INCLUDE> , --include <INCLUDE> |
Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie einschließen möchten, wobei <INCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei. |
-x EXCLUDE , --exclude EXCLUDE |
Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie ausschließen möchten, wobei <EXCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_TCP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_UDP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Schließt TCP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_TCP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Schließt UDP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_UDP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Schließt VLAN-Datenverkehr anhand der angegebenen VLAN-IDs ein. <INCLUDE_VLAN_IDS> definiert die VLAN-IDs, die Sie einschließen möchten. Trennen Sie mehrere VLAN-IDs durch Komma ohne Leerzeichen. |
-p <PROGRAM> , --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten. Verwenden Sie all für einfache Anwendungsfälle, um einen einzelnen Erfassungsfilter für alle Komponenten zu erstellen. Erstellen Sie für erweiterte Anwendungsfälle separate Erfassungsfilter für die einzelnen Komponenten. Weitere Informationen finden Sie unter Erstellen eines erweiterten Filters für bestimmte Komponenten. |
-m <MODE> , --mode <MODE> |
Definiert einen Einschlusslistenmodus und ist nur relevant, wenn eine Einschlussliste verwendet wird. Verwenden Sie einen der folgenden Werte: - internal : Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel - all-connected : Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten. Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B. Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten. |
Beispiel: Einschluss- oder Ausschlussdatei
Eine Einschluss- oder Ausschlussdatei .txt kann beispielsweise die folgenden Einträge beinhalten:
192.168.50.10
172.20.248.1
Erstellen eines einfachen Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen einfachen Erfassungsfilter als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Antworten Sie wie folgt auf die angezeigten Eingabeaufforderungen:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Wählen Sie
Y
aus, um eine neue Einschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie in den überwachten Datenverkehr einschließen möchten. Jeder andere Datenverkehr, der nicht in der Einschlussdatei aufgeführt ist, wird nicht in Defender for IoT erfasst.Die Einschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Einschlussdatei wie folgt Geräte, Kanäle und Subnetze:
type Beschreibung des Dataflows Beispiel Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1
schließt den gesamten Datenverkehr für dieses Gerät ein.Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2
schließt den gesamten Datenverkehr für diesen Kanal ein.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1
schließt den gesamten Datenverkehr für dieses Subnetz ein.Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2
schließt den gesamten Datenverkehr zwischen diesen Subnetzen ein.Listen Sie mehrere Argumente in separaten Zeilen auf.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Wählen Sie
Y
aus, um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie aus dem überwachten Datenverkehr ausschließen möchten. Jeder andere Datenverkehr, der nicht in der Ausschlussdatei aufgeführt ist, wird in Defender for IoT erfasst.Die Ausschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Ausschlussdatei wie folgt Geräte, Kanäle und Subnetze:
type Beschreibung des Dataflows Beispiel Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1
schließt den gesamten Datenverkehr für dieses Gerät aus.Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2
schließt den gesamten Datenverkehr zwischen diesen Geräten aus.Kanal nach Port Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte sowie den Datenverkehrsport. 1.1.1.1,2.2.2.2,443
schließt den gesamten Datenverkehr zwischen diesen Geräten und unter Verwendung des angegebenen Ports aus.Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1
schließt den gesamten Datenverkehr für dieses Subnetz aus.Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2
schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.Listen Sie mehrere Argumente in separaten Zeilen auf.
Antworten Sie auf die folgenden Aufforderungen, um TCP- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Komma, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Geben Sie mehrere Ports beispielsweise wie folgt an:
502,443
.In which component do you wish to apply this capture filter?
Geben Sie
all
für einen einfachen Erfassungsfilter ein. Erstellen Sie für erweiterte Anwendungsfälle separat Erfassungsfilter für die einzelnen Defender for IoT-Komponenten.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Mit dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Gültigkeitsbereich befindet. Legen Sie fest, ob Sie Datenverkehr sammeln möchten, wenn sich beide Endpunkte im Gültigkeitsbereich befinden oder wenn sich nur einer davon im angegebenen Subnetz befindet. Unterstützte Werte sind:
internal
: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Zielall-connected
: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.
Wenn Sie beispielsweise den Modus
internal
für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
Wenn Sie den Modusall-connected
verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.Der Standardmodus ist
internal
. Um den Modusall-connected
zu verwenden, wählen SieY
an der Eingabeaufforderung aus, und geben Sie dannall-connected
ein.
Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, die einen Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x
und Port 9000:
erstellen.
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Erstellen eines erweiterten Filters für bestimmte Komponenten
Beim Konfigurieren von erweiterten Erfassungsfiltern für bestimmte Komponenten können Sie Ihre anfänglichen Ein- und Ausschlussdateien als Basis- oder Vorlagenerfassungsfilter verwenden. Konfigurieren Sie dann zusätzlich zum Basisfilter ggf. weitere Filter für die einzelnen Komponenten.
Um einen Erfassungsfilter für die einzelnen Komponente zu erstellen, müssen Sie den gesamten Prozess für die einzelnen Komponenten wiederholen.
Hinweis
Wenn Sie verschiedene Erfassungsfilter für verschiedene Komponenten erstellt haben, wird die Modusauswahl für alle Komponenten verwendet. Das Definieren des Erfassungsfilters für eine Komponente als internal
und des Erfassungsfilters für eine andere Komponente als all-connected
wird nicht unterstützt.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | network capture-filter |
Keine Attribute. |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Die folgenden zusätzlichen Attribute werden für den Benutzer cyberx verwendet, um Erfassungsfilter für die einzelnen Komponenten separat zu erstellen:
attribute | BESCHREIBUNG |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten, wobei <PROGRAM> die folgenden unterstützten Werte hat: - traffic-monitor - collector - horizon - all : Erstellt einen einzelnen Erfassungsfilter für alle Komponenten. Weitere Informationen finden Sie unter Erstellen eines einfachen Filters für alle Komponenten. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Definiert einen Basiserfassungsfilter für die Komponente horizon . Dabei ist <BASE_HORIZON> der Filter, den Sie verwenden möchten. Standardwert = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definiert einen Basiserfassungsfilter für die Komponente traffic-monitor . Standardwert = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Definiert einen Basiserfassungsfilter für die Komponente collector . Standardwert = "" |
Andere Attributwerte weisen die gleichen Beschreibungen auf wie im zuvor beschriebenen einfachen Anwendungsfall.
Erstellen eines erweiterten Erfassungsfilters mithilfe des Administratorbenutzers
Wenn Sie einen Aufnahmefilter für jede Komponente separat als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.
Die meisten Eingabeaufforderungen sind mit denen für den einfachen Anwendungsfall identisch. Reagieren Sie auf die folgenden zusätzlichen Eingabeaufforderungen wie folgt:
In which component do you wish to apply this capture filter?
Geben Sie je nach der zu filternden Komponente einen der folgenden Werte ein:
horizon
traffic-monitor
collector
Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Diese Option verwendet den Erfassungsfilter, den Sie in den vorherigen Schritten als Basis oder Vorlage konfiguriert haben, und Sie können zusätzlich zur Basis weitere Konfigurationen hinzufügen.
Wenn Sie beispielsweise im vorherigen Schritt das Konfigurieren eines Erfassungsfilters für die Komponente
collector
ausgewählt haben, wird folgende Eingabeaufforderung angezeigt:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Geben Sie
Y
ein, um die Vorlage für die angegebene Komponente anzupassen, oderN
, um den zuvor konfigurierten Erfassungsfilter unverändert zu verwenden.
Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im einfachen Anwendungsfall fort.
Auflisten der aktuellen Erfassungsfilter für bestimmte Komponenten
Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
Keine Attribute |
Cyberx oder Administrator mit Stammzugriff | Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
Keine Attribute |
Mit diesen Befehlen werden die folgenden Dateien geöffnet, in denen die Erfassungsfilter aufgelistet werden, die für die einzelnen Komponenten konfiguriert sind:
Name | Datei | Eigenschaft |
---|---|---|
horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
Sammlung | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Beispiel: mit dem Administratorbenutzer, mit einem für die Sammlungskomponente definierten Aufnahmefilter, der Subnetz 192.168.x.x und Port 9000 ausschließt:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Zurücksetzen aller Erfassungsfilter
Verwenden Sie den folgenden Befehl, um Ihren Sensor auf die Standarderfassungskonfiguration mit dem Benutzer cyberx zurückzusetzen und alle Erfassungsfilter zu entfernen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-capture-filter -p all -m all-connected |
Keine Attribute |
Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den vorherigen Befehl erneut mit neuen Attributwerten aus.
Um alle Aufnahmefilter mithilfe des Administratorbenutzers zurückzusetzen, führen Sie den früheren Befehl erneut aus, und reagieren Sie auf N
alle Eingabeaufforderungen , um alle Aufnahmefilter zurückzusetzen.
Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
Alerts
Auslösen einer Testwarnung
Verwenden Sie den folgenden Befehl, um die Konnektivität und Warnungsweiterleitung vom Sensor an Verwaltungskonsolen zu testen, einschließlich Azure-Portal, einer lokalen Defender for IoT-Verwaltungskonsole oder einem SIEM eines Drittanbieters.
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-trigger-test-alert |
Keine Attribute |
Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
Warnungsausschlussregeln von einem OT-Sensor
Die folgenden Befehle unterstützen Warnungsausschlussfunktionen auf Ihrem OT-Sensor und ermöglichen u. a. das Anzeigen aktueller Ausschlussregeln, das Hinzufügen und Bearbeiten von Regeln und das Löschen von Regeln.
Hinweis
Warnungsausschlussregeln, die auf einem OT-Sensor definiert sind, können durch Warnungsausschlussregeln überschrieben werden, die in Ihrer lokalen Verwaltungskonsole definiert sind.
Anzeigen der aktuellen Warnungsausschlussregeln
Verwenden Sie den folgenden Befehl, um eine Liste der aktuell konfigurierten Ausschlussregeln anzuzeigen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Cyberx oder Administrator mit Stammzugriff | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
Erstellen einer neuen Warnungsausschlussregel
Verwenden Sie die folgenden Befehle, um eine lokale Warnungsausschlussregel für Ihren Sensor zu erstellen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Cyberx oder Administrator mit Stammzugriff | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Unterstützte Attribute sind wie folgt definiert:
attribute | BESCHREIBUNG |
---|---|
-h , --help |
Zeigt die Hilfemeldung an; dann wird der Vorgang beendet. |
[-n <NAME>] , [--name <NAME>] |
Definieren Sie den Namen der Regel. |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm . |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both , src , dst . |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x . |
[-a <ALERTS>] , --alerts <ALERTS> |
Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001 |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Ändern einer Warnungsausschlussregel
Verwenden Sie die folgenden Befehle, um eine vorhandene lokale Warnungsausschlussregel für Ihren Sensor zu ändern:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Cyberx oder Administrator mit Stammzugriff | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Unterstützte Attribute sind wie folgt definiert:
attribute | BESCHREIBUNG |
---|---|
-h , --help |
Zeigt die Hilfemeldung an; dann wird der Vorgang beendet. |
[-n <NAME>] , [--name <NAME>] |
Der Name der Regel, die Sie ändern möchten |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm . |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both , src , dst . |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x . |
[-a <ALERTS>] , --alerts <ALERTS> |
Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001 |
Verwenden Sie die folgende Befehlssyntax mit dem Administratorbenutzer :
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Löschen einer Warnungsausschlussregel
Verwenden Sie die folgenden Befehle, um eine vorhandene lokale Warnungsausschlussregel für Ihren Sensor zu löschen:
User | Get-Help | Vollständige Befehlssyntax |
---|---|---|
admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Cyberx oder Administrator mit Stammzugriff | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Unterstützte Attribute sind wie folgt definiert:
attribute | BESCHREIBUNG |
---|---|
-h , --help |
Zeigt die Hilfemeldung an; dann wird der Vorgang beendet. |
[-n <NAME>] , [--name <NAME>] |
Der Name des Servers, die Sie löschen möchten |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiert die Zeitspanne, für die die Regel aktiv ist, unter Verwendung der folgenden Syntax: hh:mm-hh:mm, hh:mm-hh:mm . |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Adressrichtung, die ausgeschlossen werden soll. Verwenden Sie einen der folgenden Werte: both , src , dst . |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Auszuschließende Geräteadressen oder Adresstypen mit der folgenden Syntax: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x . |
[-a <ALERTS>] , --alerts <ALERTS> |
Auszuschließende Warnungsnamen nach Hexadezimalwert. Beispiel: 0x00000, 0x000001 |
Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]