Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran los comandos de la CLI disponibles en los sensores de red de Defender para IoT OT.
Precaución
Solo se admiten parámetros de configuración documentados en el sensor de red de OT para la configuración del cliente. No cambie los parámetros de configuración no documentados ni las propiedades del sistema, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.
Quitar paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para la funcionalidad correcta del sensor.
Prerrequisitos
Antes de poder ejecutar cualquiera de los siguientes comandos de la CLI, necesitará acceder a la CLI en su sensor de red de OT como usuario con privilegios.
Aunque en este artículo se enumera la sintaxis del comando para cada usuario, se recomienda usar el usuario administrador para todos los comandos de la CLI en los que se admita el usuario administrador .
Para obtener más información, consulte Acceso a la CLI y Acceso de usuarios privilegiados para la supervisión de OT.
Lista de comandos disponibles
| Categoría | Comando |
|---|---|
| configuración | configuración |
| sistema | Fecha de copia de seguridad , nombre de host, NTP contraseña , reinicio, sanidad, shell shutdown , versión de syslog |
| red |
Blink Captura-Filtro Lista de Ping Reconfigurar Estadísticas Validar |
Comandos de lista en una categoría
Para enumerar los comandos de una categoría, escriba help. Por ejemplo:
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
Comandos a nivel de shell y categoría
Puede escribir comandos en el nivel de shell o de categoría.
En el nivel de shell, escriba: parámetro de comando<>de categoría<>.<>
Como alternativa, escriba la <categoría> y pulse ENTRAR. El shell cambiará al nombre de la categoría, luego escriba <el parámetro de comando><>. Por ejemplo:
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
Mantenimiento de electrodomésticos
Comprobar el estado de los servicios de supervisión de OT
Use los siguientes comandos para comprobar que la aplicación de Defender para IoT en el sensor de OT funciona correctamente, incluida la consola web y los procesos de análisis de tráfico.
Las comprobaciones de estado también están disponibles desde la consola del sensor OT. Para más información, consulte Solución de problemas con el sensor.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system sanity |
Sin atributos |
| CyberX, o administrador con acceso de root | cyberx-xsense-sanity |
Sin atributos |
En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Reiniciar un electrodoméstico
Utilice los siguientes comandos para reiniciar el dispositivo del sensor OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system reboot |
Sin atributos |
| cyberx_host o administrador con acceso root | sudo reboot |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system reboot
Apagar un electrodoméstico
Utilice los siguientes comandos para apagar el dispositivo del sensor OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system shutdown |
Sin atributos |
| cyberx_host o administrador con acceso de root | sudo shutdown -r now |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system shutdown
Mostrar la versión del software instalado
Use los siguientes comandos para enumerar la versión de software de Defender para IoT instalada en el sensor de OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system version |
Sin atributos |
| CyberX , o administrador con acceso de root | cyberx-xsense-version |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system version
Version: 22.2.5.9-r-2121448
Mostrar la fecha/hora actual del sistema
Utilice los siguientes comandos para mostrar la fecha y hora actuales del sistema en su sensor de red OT, en formato GMT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system date |
Sin atributos |
| CyberX , o administrador con acceso de root | date |
Sin atributos |
| cyberx_host o administrador con acceso root | date |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
Activar la sincronización de tiempo NTP
Utilice los siguientes comandos para activar la sincronización de la hora del dispositivo con un servidor NTP.
Para usar estos comandos, asegúrese de que:
- Se puede acceder al servidor NTP desde el puerto de administración del dispositivo
- Utilice el mismo servidor NTP para sincronizar todos los dispositivos de sensores
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system ntp enable <IP address> |
Sin atributos |
| CyberX , o administrador con acceso de root | cyberx-xsense-ntp-enable <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que utiliza el puerto 123.
Por ejemplo, para el usuario administrador :
shell> system ntp enable 129.6.15.28
Desactivar la sincronización de tiempo NTP
Utilice los siguientes comandos para desactivar la sincronización de la hora del dispositivo con un servidor NTP.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system ntp disable <IP address> |
Sin atributos |
| CyberX , o administrador con acceso de root | cyberx-xsense-ntp-disable <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que utiliza el puerto 123.
Por ejemplo, para el usuario administrador :
shell> system ntp disable 129.6.15.28
Copias de seguridad y restauración
En las siguientes secciones se describen los comandos de la CLI compatibles para realizar copias de seguridad y restaurar una instantánea del sistema de su sensor de red de OT.
Los archivos de copia de seguridad incluyen una instantánea completa del estado del sensor, incluidos los ajustes de configuración, los valores de referencia, los datos de inventario y los registros.
Precaución
No interrumpa una operación de copia de seguridad o restauración del sistema, ya que esto puede hacer que el sistema quede inutilizable.
Iniciar una copia de seguridad inmediata y no programada
Utilice el siguiente comando para iniciar una copia de seguridad inmediata y no programada de los datos en su sensor de OT. Para obtener más información, consulte Configuración de archivos de copia de seguridad y restauración.
Precaución
Asegúrese de no detener ni apagar el aparato mientras realiza una copia de seguridad de los datos.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system backup create |
Sin atributos |
| CyberX , o administrador con acceso de root | cyberx-xsense-system-backup |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Enumerar los archivos de copia de seguridad actuales
Utilice los siguientes comandos para enumerar los archivos de copia de seguridad almacenados actualmente en su sensor de red OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system backup list |
Sin atributos |
| CyberX , o administrador con acceso de root | cyberx-xsense-system-backup-list |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Restaurar datos de la copia de seguridad más reciente
Utilice el siguiente comando para restaurar los datos en su sensor de red OT utilizando el archivo de copia de seguridad más reciente. Cuando se le solicite, confirme que desea continuar.
Precaución
Asegúrese de no detener ni apagar el aparato mientras restaura los datos.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system restore |
Sin atributos |
| CyberX, o administrador con acceso de root | cyberx-xsense-system-restore |
-f
<filename>
|
Por ejemplo, para el usuario administrador :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Mostrar la asignación de espacio en disco de copia de seguridad
El siguiente comando enumera la asignación de espacio en disco de copia de seguridad actual, incluidos los siguientes detalles:
- Ubicación de la carpeta de copia de seguridad
- Tamaño de la carpeta de copia de seguridad
- Limitaciones de la carpeta de copia de seguridad
- Hora de la última operación de copia de seguridad
- Espacio libre en disco disponible para copias de seguridad
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | cyberx-backup-memory-check |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Gestión de usuarios locales
Cambiar las contraseñas de los usuarios locales
Utilice los siguientes comandos para cambiar las contraseñas de los usuarios locales en su sensor de OT. La nueva contraseña debe tener al menos 8 caracteres, contener minúsculas y mayúsculas, caracteres alfabéticos, números y símbolos.
Al cambiar la contraseña del administrador , la contraseña se cambia tanto para SSH como para el acceso web.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | system password |
<username> |
En el siguiente ejemplo se muestra el cambio de contraseña del usuario administrador . La nueva contraseña no aparece en la pantalla cuando la escribe, asegúrese de escribir para anotarla y asegúrese de que esté correctamente escrita cuando se le pida que vuelva a ingresar la contraseña.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Configuración de red
Cambiar la configuración de red o reasignar roles de interfaz de red
Utilice el siguiente comando para volver a ejecutar el asistente de configuración del software de supervisión de OT, que le ayuda a definir o reconfigurar los siguientes ajustes del sensor de OT:
- Habilitar/deshabilitar las interfaces de monitoreo SPAN
- Configure los ajustes de red para la interfaz de administración (IP, subred, puerta de enlace predeterminada, DNS)
- Asignación de un directorio de copia de seguridad
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network reconfigure |
Sin atributos |
| Cyberx | python3 -m cyberx.config.configure |
Sin atributos |
Por ejemplo, con el usuario administrador :
shell> network reconfigure
El asistente de configuración se inicia automáticamente después de ejecutar este comando. Para obtener más información, consulte Instalación de software de supervisión de OT.
Validar y mostrar la configuración de la interfaz de red
Utilice los siguientes comandos para validar y mostrar la configuración actual de la interfaz de red en el sensor OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network validate |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Comprobar la conectividad de red desde el sensor OT
Utilice el siguiente comando para enviar un mensaje de ping desde el sensor OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | ping <IP address> |
Sin atributos |
| CyberX , o administrador con acceso de root | ping <IP address> |
Sin atributos |
En estos comandos, <IP address> es la dirección IP de un host de red IPv4 válido accesible desde el puerto de administración de su sensor OT.
Localice un puerto físico parpadeando las luces de la interfaz
Utilice el siguiente comando para localizar una interfaz física específica haciendo que las luces de la interfaz parpadeen.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network blink <INT> |
Sin atributos |
En este comando, <INT> hay un puerto Ethernet físico en el dispositivo.
El siguiente ejemplo muestra al usuario administrador parpadeando la interfaz eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Enumeración de interfaces físicas conectadas
Utilice el siguiente comando para enumerar las interfaces físicas conectadas en su sensor de OT.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network list |
Sin atributos |
| CyberX, o administrador con acceso de root | ifconfig |
Sin atributos |
Por ejemplo, para el usuario administrador :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filtros de captura de tráfico
Para reducir el desgaste de las alertas y centrar la supervisión de la red en el tráfico de alta prioridad, puede decidir filtrar el tráfico que transmite a Defender para IoT en el origen. Los filtros de captura le permiten bloquear el tráfico de gran ancho de banda en la capa de hardware, lo que optimiza el rendimiento del dispositivo y el uso de recursos.
Utilice listas de inclusión o exclusión para crear y configurar filtros de captura en sus sensores de red de OT, asegurándose de que no bloquea ninguno de los tráficos que desea supervisar.
El caso de uso básico de los filtros de captura usa el mismo filtro para todos los componentes de Defender para IoT. Sin embargo, para casos de uso avanzados, es posible que desee configurar filtros independientes para cada uno de los siguientes componentes de Defender para IoT:
-
horizon: Captura datos de inspección profunda de paquetes (DPI) -
collector: Captura datos PCAP -
traffic-monitor: Captura estadísticas de comunicación
Nota:
Los filtros de captura no se aplican a las alertas de malware de Defender para IoT, que se desencadenan en todo el tráfico de red detectado.
El comando de filtro de captura tiene un límite de longitud de caracteres que se basa en la complejidad de la definición del filtro de captura y las capacidades de tarjeta de interfaz de red disponibles. Si se produce un error en el comando de filtro solicitado, intente agrupar las subredes en ámbitos más grandes y usar un comando de filtro de captura más corto.
Crear un filtro básico para todos los componentes
El método utilizado para configurar un filtro de captura básico difiere según el usuario que realiza el comando:
- Usuario de cyberx : Ejecute el comando especificado con atributos específicos para configurar su filtro de captura.
- Usuario administrador : Ejecute el comando especificado y, a continuación, introduzca los valores según lo solicite la CLI, editando las listas de inclusión y exclusión en un editor nano.
Utilice los siguientes comandos para crear un nuevo filtro de captura:
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network capture-filter |
Sin atributos. |
| CyberX, o administrador con acceso de root | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Los atributos admitidos para el usuario cyberx se definen de la siguiente manera:
| Atributo | Descripción |
|---|---|
-h, --help |
Muestra el mensaje de ayuda y se cierra. |
-i <INCLUDE>, --include <INCLUDE> |
La ruta de acceso a un archivo que contiene los dispositivos y las máscaras de subred que desea incluir, donde <INCLUDE> es la ruta de acceso al archivo. Por ejemplo, consulte Ejemplo de archivo de inclusión o exclusión. |
-x EXCLUDE, --exclude EXCLUDE |
La ruta de acceso a un archivo que contiene los dispositivos y las máscaras de subred que desea excluir, donde <EXCLUDE> es la ruta de acceso al archivo. Por ejemplo, consulte Ejemplo de archivo de inclusión o exclusión. |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Excluye el tráfico TCP en los puertos especificados, donde define <EXCLUDE_TCP_PORT> el puerto o los puertos que desea excluir. Delimite varios puertos con comas, sin espacios. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Excluye el tráfico UDP en los puertos especificados, donde define <EXCLUDE_UDP_PORT> el puerto o los puertos que desea excluir. Delimite varios puertos con comas, sin espacios. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Incluye el tráfico TCP en los puertos especificados, donde define <INCLUDE_TCP_PORT> el puerto o los puertos que desea incluir. Delimite varios puertos con comas, sin espacios. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Incluye el tráfico UDP en los puertos especificados, donde define <INCLUDE_UDP_PORT> el puerto o los puertos que desea incluir. Delimite varios puertos con comas, sin espacios. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Incluye el tráfico de VLAN por ID de VLAN especificados, <INCLUDE_VLAN_IDS> define el ID o los ID de VLAN que desea incluir. Delimite varios ID de VLAN por comas, sin espacios. |
-p <PROGRAM>, --program <PROGRAM> |
Define el componente para el que desea configurar un filtro de captura. Utilícelo all para casos de uso básicos, para crear un único filtro de captura para todos los componentes. Para casos de uso avanzados, cree filtros de captura separados para cada componente. Para obtener más información, consulte Creación de un filtro avanzado para componentes específicos. |
-m <MODE>, --mode <MODE> |
Define un modo de lista de inclusión y solo es relevante cuando se utiliza una lista de inclusión. Use uno de los siguientes valores: - internal: Incluye toda la comunicación entre el origen y el destino especificados - all-connected: Incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos. Por ejemplo, para los puntos de conexión A y B, si utiliza el modo, el internal tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B. Sin embargo, si utiliza el modo, el all-connected tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos. |
Ejemplo de archivo de inclusión o exclusión
Por ejemplo, un archivo de inclusión o exclusión .txt puede incluir las siguientes entradas:
192.168.50.10
172.20.248.1
Creación de un filtro de captura básico mediante el usuario administrador
Si va a crear un filtro de captura básico como usuario administrador , no se pasa ningún atributo en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.
Responda a las indicaciones que se muestran de la siguiente manera:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Seleccione
Yesta opción para abrir un nuevo archivo de inclusión, donde puede agregar un dispositivo, canal o subred que desee incluir en el tráfico supervisado. Cualquier otro tráfico, que no aparezca en el archivo de inclusión, no se ingiere en Defender para IoT.El archivo de inclusión se abre en el editor de texto Nano . En el archivo de inclusión, defina los dispositivos, canales y subredes de la siguiente manera:
Tipo Descripción Ejemplo Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1Incluye todo el tráfico de este dispositivo.Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separadas por una coma. 1.1.1.1,2.2.2.2Incluye todo el tráfico de este canal.Subred Defina una subred por su dirección de red. 1.1.1Incluye todo el tráfico de esta subred.Enumere varios argumentos en filas separadas.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Seleccione
Yesta opción para abrir un nuevo archivo de exclusión en el que pueda agregar un dispositivo, canal o subred que desee excluir del tráfico supervisado. Cualquier otro tráfico, que no aparezca en el archivo de exclusión, se ingiere en Defender para IoT.El archivo de exclusión se abre en el editor de texto Nano . En el archivo de exclusión, defina los dispositivos, canales y subredes de la siguiente manera:
Tipo Descripción Ejemplo Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1Excluye todo el tráfico de este dispositivo.Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separadas por una coma. 1.1.1.1,2.2.2.2excluye todo el tráfico entre estos dispositivos.Canal por puerto Defina un canal por las direcciones IP de sus dispositivos de origen y destino, y el puerto de tráfico. 1.1.1.1,2.2.2.2,443Excluye todo el tráfico entre estos dispositivos y el uso del puerto especificado.Subred Defina una subred por su dirección de red. 1.1.1Excluye todo el tráfico de esta subred.Canal de subred Defina las direcciones de red del canal de subred para las subredes de origen y destino. 1.1.1,2.2.2excluye todo el tráfico entre estas subredes.Enumere varios argumentos en filas separadas.
Responda a las siguientes solicitudes para definir los puertos TCP o UDP que se van a incluir o excluir. Separe varios puertos con comas y presione ENTER para omitir cualquier mensaje específico.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Por ejemplo, introduzca varios puertos de la siguiente manera:
502,443In which component do you wish to apply this capture filter?Intro
allpara un filtro de captura básico. En el caso de casos de uso avanzados, cree filtros de captura para cada componente de Defender para IoT por separado.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Este mensaje le permite configurar qué tráfico está en el ámbito. Defina si desea recopilar tráfico en el que ambos puntos de conexión estén en el ámbito o solo uno de ellos esté en la subred especificada. Los valores admitidos son:
-
internal: Incluye toda la comunicación entre el origen y el destino especificados -
all-connected: Incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos.
Por ejemplo, para los puntos de conexión A y B, si utiliza el modo, el
internaltráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B.
Sin embargo, si utiliza el modo, elall-connectedtráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.El modo predeterminado es
internal. Para usar elall-connectedmodo, seleccioneYen el símbolo del sistema y, a continuación, escribaall-connected.-
En el ejemplo siguiente se muestra una serie de solicitudes que crea un filtro de captura para excluir la subred 192.168.x.x y el puerto 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Crear un filtro avanzado para componentes específicos
Al configurar filtros de captura avanzados para componentes específicos, puede utilizar los archivos de inclusión y exclusión iniciales como filtro de captura base o de plantilla. A continuación, configure filtros adicionales para cada componente en la parte superior de la base según sea necesario.
Para crear un filtro de captura para cada componente, asegúrese de repetir todo el proceso para cada componente.
Nota:
Si ha creado diferentes filtros de captura para diferentes componentes, la selección de modo se utiliza para todos los componentes. No se admite la definición del filtro de captura para un componente como internal y el filtro de captura para otro componente como all-connected .
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | network capture-filter |
Sin atributos. |
| CyberX, o administrador con acceso de root | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Los siguientes atributos adicionales se utilizan para que el usuario cyberx cree filtros de captura para cada componente por separado:
| Atributo | Descripción |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Define el componente para el que desea configurar un filtro de captura, donde <PROGRAM> tiene los siguientes valores admitidos: - traffic-monitor - collector - horizon - all: Crea un único filtro de captura para todos los componentes. Para obtener más información, consulte Creación de un filtro básico para todos los componentes. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Define un filtro de captura base para el horizon componente, donde <BASE_HORIZON> es el filtro que desea utilizar. Valor predeterminado = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Define un filtro de captura base para el traffic-monitor componente. Valor predeterminado = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Define un filtro de captura base para el collector componente. Valor predeterminado = "" |
Otros valores de atributo tienen las mismas descripciones que en el caso de uso básico, descrito anteriormente.
Creación de un filtro de captura avanzado mediante el usuario administrador
Si va a crear un filtro de captura para cada componente por separado como usuario administrador , no se pasa ningún atributo en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.
La mayoría de las solicitudes son idénticas al caso de uso básico. Responda a las siguientes preguntas adicionales de la siguiente manera:
In which component do you wish to apply this capture filter?Introduzca uno de los siguientes valores, en función del componente que desee filtrar:
horizontraffic-monitorcollector
Se le pedirá que configure un filtro de captura base personalizado para el componente seleccionado. Esta opción utiliza el filtro de captura que configuró en los pasos anteriores como base, o plantilla, donde puede agregar configuraciones adicionales sobre la base.
Por ejemplo, si seleccionó configurar un filtro de captura para el componente en el
collectorpaso anterior, se le preguntará:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Intro
Ypara personalizar la plantilla para el componente especificado oNpara utilizar el filtro de captura que había configurado anteriormente tal cual.
Continúe con las solicitudes restantes como en el caso de uso básico.
Enumerar los filtros de captura de corriente para componentes específicos
Utilice los siguientes comandos para mostrar detalles sobre los filtros de captura actuales configurados para el sensor.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| Admin | Utilice los siguientes comandos para ver los filtros de captura de cada componente: - Horizonte: edit-config horizon_parser/horizon.properties - Monitor de tráfico: edit-config traffic_monitor/traffic-monitor - Coleccionista: edit-config dumpark.properties |
Sin atributos |
| CyberX, o administrador con acceso de root | Utilice los siguientes comandos para ver los filtros de captura de cada componente: - Horizonte: nano /var/cyberx/properties/horizon_parser/horizon.properties - Monitor de tráfico: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - Coleccionista: nano /var/cyberx/properties/dumpark.properties |
Sin atributos |
Estos comandos abren los siguientes archivos, que enumeran los filtros de captura configurados para cada componente:
| Nombre | Archivo | Propiedad |
|---|---|---|
| horizonte | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| Monitor de tráfico | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| coleccionista | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Por ejemplo, con el usuario administrador , con un filtro de captura definido para el componente recopilador que excluye la subred 192.168.x.x y el puerto 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Restablecer todos los filtros de captura
Utilice el siguiente comando para restablecer el sensor a la configuración de captura predeterminada con el usuario cyberx , eliminando todos los filtros de captura.
| Usuario | Comando | Sintaxis completa del comando |
|---|---|---|
| CyberX, o administrador con acceso de root | cyberx-xsense-capture-filter -p all -m all-connected |
Sin atributos |
Si desea modificar los filtros de captura existentes, vuelva a ejecutar el comando anterior , con nuevos valores de atributo.
Para restablecer todos los filtros de captura mediante el usuario administrador , vuelva a ejecutar el comando anterior y responda N a todas las solicitudes para restablecer todos los filtros de captura.
En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#