Referencia de los comandos de la CLI desde sensores de red de OT

  • Artículo

En este artículo se enumeran los comandos de la CLI disponibles en los sensores de red de OT de Defender para IoT.

Precaución

Solo se admiten parámetros de configuración documentados en el sensor de red de OT y la consola de administración local para la configuración del cliente. No cambie ningún parámetro de configuración no documentado o sistemas de propiedades, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.

La eliminación de paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para su correcto funcionamiento.

Requisitos previos

Para poder ejecutar cualquiera de los siguientes comandos de la CLI, necesitará acceso a la CLI en el sensor de red de OT como usuario con privilegios.

Aunque en este artículo se muestra la sintaxis de comandos para cada usuario, se recomienda usar el usuario administrador para todos los comandos de la CLI en los que se admita el usuario administrador .

Si usa una versión anterior del software del sensor, es posible que tenga acceso al usuario de soporte técnico heredado. En tales casos, se admiten los comandos que se enumeran como compatibles con el usuario administrador para el usuario de soporte técnico heredado.

Para más información, consulte Acceso a la CLI y Acceso de usuario con privilegios para la supervisión de OT.

Mantenimiento del dispositivo

Comprobación del estado de los servicios de supervisión de OT

Use los siguientes comandos para comprobar que la aplicación Defender para IoT del sensor de OT funciona correctamente, incluidos los procesos de análisis de tráfico y de la consola web.

Las comprobaciones de estado también están disponibles en la consola del sensor de OT. Para más información, consulte Solución de problemas con el sensor.

Usuario Get-Help Sintaxis completa del comando
admin system sanity Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-sanity Sin atributos

En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Reinicio y apagado

Reinicio de un dispositivo

Use los siguientes comandos para reiniciar el sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin system reboot Sin atributos
cyberx o administrador con acceso raíz sudo reboot Sin atributos
cyberx_host o administrador con acceso raíz sudo reboot Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: system reboot

Apagado de un dispositivo

Use los siguientes comandos para apagar el sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin system shutdown Sin atributos
cyberx o administrador con acceso raíz sudo shutdown -r now Sin atributos
cyberx_host o administrador con acceso raíz sudo shutdown -r now Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: system shutdown

Versiones de software

Visualización de la versión de software instalada

Use los siguientes comandos para mostrar la versión de software de Defender para IoT instalada en el sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin system version Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-version Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Actualización de software del sensor desde la CLI

Para más información, consulte Actualización de los sensores.

Fecha, hora y NTP

Visualización de la fecha y hora actuales del sistema

Use los siguientes comandos para mostrar la fecha y hora actuales del sistema en el sensor de red de OT, en formato GMT.

Usuario Get-Help Sintaxis completa del comando
admin date Sin atributos
cyberx o administrador con acceso raíz date Sin atributos
cyberx_host o administrador con acceso raíz date Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Activación de la sincronización de la hora NTP

Use los siguientes comandos para activar la sincronización de la hora del dispositivo con un servidor NTP.

Para usar estos comandos, asegúrese de lo siguiente:

  • Se puede acceder al servidor NTP desde el puerto de administración del dispositivo.
  • Se usa el mismo servidor NTP para sincronizar todos los sensores y la consola de administración local.
Usuario Get-Help Sintaxis completa del comando
admin ntp enable <IP address> Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-ntp-enable <IP address> Sin atributos

En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que usa el puerto 123.

Por ejemplo, para el usuario administrador :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Desactivación de la sincronización de la hora NTP

Use los siguientes comandos para desactivar la sincronización de la hora del dispositivo con un servidor NTP.

Usuario Get-Help Sintaxis completa del comando
admin ntp disable <IP address> Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-ntp-disable <IP address> Sin atributos

En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que usa el puerto 123.

Por ejemplo, para el usuario administrador :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Copia de seguridad y restauración

En las secciones siguientes se describen los comandos de la CLI admitidos para realizar copias de seguridad y restaurar una instantánea del sistema del sensor de red de OT.

Los archivos de copia de seguridad incluyen una instantánea completa del estado del sensor, incluidos los valores de configuración, los valores de referencia, los datos de inventario y los registros.

Precaución

La copia de seguridad o restauración del sistema no deben interrumpirse, ya que esto podría dañar irreversiblemente el sistema.

Enumeración de los archivos de copia de seguridad actuales

Use los siguientes comandos para enumerar los archivos de copia de seguridad almacenados actualmente en el sensor de red de OT.

Usuario Get-Help Sintaxis completa del comando
admin system backup-list Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-system-backup-list Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Inicio de una copia de seguridad inmediata no programada

Use los siguientes comandos para iniciar una copia de seguridad inmediata no programada de los datos del sensor de OT. Para más información, consulte Configuración de archivos de copia de seguridad y restauración.

Precaución

Asegúrese de no detener o apagar el dispositivo mientras se realiza una copia de seguridad de los datos.

Usuario Get-Help Sintaxis completa del comando
admin system backup Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-system-backup Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Restauración de datos a partir de la copia de seguridad más reciente

Use los siguientes comandos para restaurar los datos en el sensor de red de OT mediante el archivo de copia de seguridad más reciente. Cuando se le solicite, confirme que quiere continuar.

Precaución

Asegúrese de no detener o apagar el dispositivo durante la restauración de los datos.

Usuario Get-Help Sintaxis completa del comando
admin system restore Sin atributos
cyberx o administrador con acceso raíz cyberx-xsense-system-restore -f <filename>

Por ejemplo, para el usuario administrador :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Visualización de la asignación de espacio en disco de la copia de seguridad

El siguiente comando enumera la asignación actual de espacio en disco de la copia de seguridad, incluidos los detalles siguientes:

  • Ubicación de la carpeta de copia de seguridad
  • Tamaño de la carpeta de copia de seguridad
  • Limitaciones de la carpeta de copia de seguridad
  • Hora de la última copia de seguridad
  • Espacio libre en disco disponible para copias de seguridad
Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-backup-memory-check Sin atributos

Por ejemplo, para el usuario cyberx:

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certificados TLS/SSL

Importación de certificados TLS/SSL en el sensor de OT

Use el siguiente comando para importar certificados TLS/SSL al sensor desde la CLI.

Para usar este comando:

  • Compruebe que el archivo de certificado que desea importar es legible en el dispositivo. Cargue los archivos de certificado en el dispositivo mediante herramientas como WinSCP o Wget.
  • Confirme con el departamento de TI que el dominio del dispositivo (tal como aparece en el certificado) es correcto para el servidor DNS y la dirección IP correspondiente.

Para más información, consulte Preparación de certificados firmados por CA e Implementación de un certificado SSL/TLS para dispositivos OT.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]`

En este comando:

  • -h: muestra la sintaxis completa de ayuda de los comandos.

  • --crt: ruta de acceso al archivo de certificado que desea cargar, con extensión .crt.

  • --key: el archivo \*.key que desea usar para el certificado. La longitud de la clave debe ser 2048 bits como mínimo.

  • --chain: ruta de acceso a un archivo de cadena de certificados. Opcional.

  • --pass: frase de contraseña usada para cifrar el certificado. Opcional.

    Se admiten los siguientes caracteres para crear una clave o un certificado con una frase de contraseña:

    • Caracteres ASCII, incluidos a-z, A-Z, 0-9
    • Los siguientes caracteres especiales: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: sin usar; se establece en False de forma predeterminada. Establézcalo en True para usar la frase de contraseña proporcionada con el certificado anterior. Opcional.

Por ejemplo, para el usuario cyberx:

root@xsense:/# cyberx-xsense-certificate-import

Restauración del certificado autofirmado predeterminado

Use el siguiente comando para restaurar los certificados autofirmados predeterminados en el sensor. Se recomienda usar esta actividad solo para solucionar problemas y no en entornos de producción.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-create-self-signed-certificate Sin atributos

Por ejemplo, para el usuario cyberx:

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Administración de usuarios locales

Cambio de contraseñas de usuario locales

Use los siguientes comandos para cambiar las contraseñas de los usuarios locales en el sensor de OT.

Al cambiar la contraseña del administrador, cyberx o cyberx_host usuario, se cambia la contraseña para el acceso SSH y web.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host o administrador con acceso raíz passwd Sin atributos

En el ejemplo siguiente se muestra el usuario cyberx que restablezca la contraseña del usuario administrador en jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

En el ejemplo siguiente se muestra el usuario cyberx_host que cambia su contraseña.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Control de los tiempos de espera de sesión de usuario

Defina la hora a la que se cerrará automáticamente la sesión de los usuarios del sensor de OT. Defina este valor en un archivo de propiedades que se guarde en el sensor. Para más información, consulte Control de los tiempos de espera de sesión de los usuarios.

Definición del número máximo de errores de inicio de sesión

Defina el número máximo de errores de inicio de sesión antes de que un sensor de OT impida que el usuario vuelva a iniciar sesión desde la misma dirección IP. Defina este valor en un archivo de propiedades que se guarde en el sensor.

Para más información, consulte Definición del número máximo de errores de inicio de sesión.

Configuración de red

Configuración de red

Cambio de la configuración de la conexión en red o reasignación de los roles de interfaz de red

Use el siguiente comando para volver a ejecutar el asistente para la configuración del software de supervisión de OT; le ayudará a definir o volver a configurar la siguiente configuración del sensor de OT:

  • Habilitación o deshabilitación de interfaces de supervisión de SPAN
  • Configuración de la red para la interfaz de administración (IP, subred, puerta de enlace predeterminada, DNS)
  • Asignación de un directorio de copia de seguridad
Usuario Get-Help Sintaxis completa del comando
cyberx_host o administrador con acceso raíz sudo dpkg-reconfigure iot-sensor Sin atributos

Por ejemplo, con el usuario cyberx_host:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

El asistente para la configuración se inicia automáticamente después de ejecutar este comando. Para obtener más información, consulte Instalación de software de supervisión de OT.

Validación y visualización de la configuración de la interfaz de red

Use los siguientes comandos para validar y mostrar la configuración de la interfaz de red actual en el sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin network validate Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Conectividad de red

Comprobación de la conectividad de red desde el sensor de OT

Use los siguientes comandos para enviar un mensaje de ping desde el sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin ping <IP address> Sin atributos
cyberx o administrador con acceso raíz ping <IP address> Sin atributos

En estos comandos, <IP address> es la dirección IP de un host de red IPv4 válido al que se accede desde el puerto de administración del sensor de OT.

Comprobación de la carga actual de la interfaz de red

Use el siguiente comando para mostrar el tráfico y el ancho de banda mediante una prueba de seis segundos.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-nload Sin atributos 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Comprobación de la conexión a Internet

Use el siguiente comando para comprobar la conectividad a Internet en el dispositivo.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-internet-connectivity Sin atributos 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Establecimiento del límite de ancho de banda para la interfaz de red de administración

Use el siguiente comando para establecer el límite de ancho de banda de salida para las cargas desde la interfaz de administración del sensor de OT a Azure Portal o a una consola de administración local.

La configuración de los límites de ancho de banda de salida puede ser útil para mantener la calidad de servicio (QoS) de la red. Este comando solo se admite en entornos con restricción de ancho de banda, como con vínculo en serie o un satélite.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

En este comando:

  • -h o --help: muestra la sintaxis de la ayuda del comando.

  • --interface <INTERFACE VALUE>: es la interfaz que desea limitar, como eth0.

  • --limit <LIMIT VALUE>: el límite que desea establecer, como 30kbit. Use una de los siguientes unidades:

    • kbps: kilobytes por segundo.
    • mbps: megabytes por segundo.
    • kbit: kilobits por segundo.
    • mbit: megabits por segundo.
    • bps o un número sencillo: bytes por segundo.

  • --clear: borra toda la configuración de la interfaz especificada.

Por ejemplo, para el usuario cyberx:

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Interfaces físicas

Búsqueda de un puerto físico mediante luces de la interfaz parpadeantes

Use el siguiente comando para buscar una interfaz física específica haciendo que las luces de la interfaz parpadeen.

Usuario Get-Help Sintaxis completa del comando
admin network blink <INT> Sin atributos

En este comando, <INT> es un puerto Ethernet físico del dispositivo.

En el ejemplo siguiente se muestra que el usuario administrador parpadea en la interfaz eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Enumeración de las interfaces físicas conectadas

Use los siguientes comandos para enumerar las interfaces físicas conectadas al sensor de OT.

Usuario Get-Help Sintaxis completa del comando
admin network list Sin atributos
cyberx o administrador con acceso raíz ifconfig Sin atributos

Por ejemplo, para el usuario administrador :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtros de captura de tráfico

Para reducir el desgaste de las alertas y centrar la supervisión de la red en el tráfico de alta prioridad, puede decidir filtrar el tráfico que transmite a Defender para IoT en el origen. Los filtros de captura permiten bloquear el tráfico con ancho de banda elevado en la capa de hardware, lo que optimiza el rendimiento del dispositivo y el uso de los recursos.

Use listas de inclusión y exclusión para crear y configurar filtros de captura en los sensores de red de OT, asegurándose de que no bloquea el tráfico que desee supervisar.

El caso de uso básico para los filtros de captura usa el mismo filtro para todos los componentes de Defender para IoT. Sin embargo, para los casos de uso avanzados, es posible que desee configurar filtros independientes para cada uno de los siguientes componentes de Defender para IoT:

  • horizon: captura datos de inspección profunda de paquetes (DPI).
  • collector: captura datos de PCAP.
  • traffic-monitor: captura las estadísticas de comunicación.

Nota:

  • Los filtros de captura no se aplican a las alertas de malware de Defender para IoT, que se desencadenan en todo el tráfico detectado.

  • El comando de filtro de captura tiene un límite de longitud de caracteres que se basa en la complejidad de la definición del filtro de captura y las funcionalidades de tarjeta de interfaz de red disponibles. Si se produce un error en el comando de filtro solicitado, intente agrupar las subredes en ámbitos más amplios y utilice un comando de filtro de captura más corto.

Creación de un filtro básico para todos los componentes

El método utilizado para configurar un filtro de captura básico difiere en función del usuario que realice el comando:

  • Usuario cyberx: ejecute el comando especificado con atributos concretos para configurar el filtro de captura.
  • usuario administrador : ejecute el comando especificado y, a continuación, escriba los valores que le solicite la CLI, editando las listas de inclusión y exclusión en un editor nano.

Use los siguientes comandos para crear un filtro de captura:

Usuario Get-Help Sintaxis completa del comando
admin network capture-filter Sin atributos.
cyberx o administrador con acceso raíz cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Los atributos admitidos para el usuario cyberx se definen de la siguiente manera:

Atributo Descripción
-h, --help Muestra el mensaje de ayuda y se cierra.
-i <INCLUDE>, --include <INCLUDE> Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea incluir, donde <INCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Ejemplo de archivo de inclusión o exclusión.
-x EXCLUDE, --exclude EXCLUDE Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea excluir, donde <EXCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Ejemplo de archivo de inclusión o exclusión.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Excluye el tráfico TCP en los puertos especificados, donde <EXCLUDE_TCP_PORT> define el puerto o los puertos que desea excluir. Delimite los distintos puertos con comas, sin espacios.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Excluye el tráfico UDP en los puertos especificados, donde <EXCLUDE_UDP_PORT> define el puerto o los puertos que desea excluir. Delimite los distintos puertos con comas, sin espacios.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Incluye el tráfico TCP en los puertos especificados, donde <INCLUDE_TCP_PORT> define el puerto o los puertos que desea incluir. Delimite los distintos puertos con comas, sin espacios.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Incluye el tráfico UDP en los puertos especificados, donde <INCLUDE_UDP_PORT> define el puerto o los puertos que desea incluir. Delimite los distintos puertos con comas, sin espacios.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Incluye el tráfico de VLAN por los identificadores de VLAN especificados, <INCLUDE_VLAN_IDS> define los identificadores de VLAN que desea incluir. Delimite los distintos identificadores de VLAN con comas, sin espacios.
-p <PROGRAM>, --program <PROGRAM> Define el componente para el que desea configurar un filtro de captura. Use all en los casos de uso básicos para crear un único filtro de captura para todos los componentes.

Para casos de uso avanzados, cree filtros de captura independientes para cada componente. Para más información, consulte Creación de un filtro avanzado para componentes específicos.
-m <MODE>, --mode <MODE> Define un modo de lista de inclusión y solo procede cuando se usa una lista de inclusión. Utilice uno de los valores siguientes:

- internal: incluye toda la comunicación entre el origen y el destino especificados.
- all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos.

Por ejemplo, para los puntos de conexión A y B, si usa el modo internal, el tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B.
Sin embargo, si usa el modo all-connected, el tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.

Archivo de inclusión o exclusión de ejemplo

Por ejemplo, un archivo .txt de exclusión o inclusión podría contener las siguientes entradas:

192.168.50.10
172.20.248.1

Creación de un filtro de captura básico mediante el usuario administrador

Si va a crear un filtro de captura básico como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.

Responda a las indicaciones que se muestran de la siguiente manera:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Seleccione Y para abrir un nuevo archivo de inclusión donde agregar un dispositivo, un canal o una subred que desee incluir en el tráfico supervisado. El resto del tráfico, no incluido en el archivo de inclusión, no se ingerirá en Defender para IoT.

    El archivo de inclusión se abre en el editor de texto Nano. En el archivo de inclusión, defina los dispositivos, los canales y las subredes de la siguiente manera:

    Tipo Descripción Ejemplo
    Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1 incluye todo el tráfico de este dispositivo.
    Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma. 1.1.1.1,2.2.2.2 incluye todo el tráfico de este canal.
    Subred Defina una subred por su dirección de red. 1.1.1 incluye todo el tráfico de esta subred.
    Canal de subred Defina las direcciones de red del canal de subred para las subredes de origen y de destino. 1.1.1,2.2.2 incluye todo el tráfico entre estas subredes.

    Enumere varios argumentos en filas distintas.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Seleccione Y para abrir un nuevo archivo de exclusión donde agregar un dispositivo, un canal o una subred que desee excluir del tráfico supervisado. El resto del tráfico, no incluido en el archivo de exclusión, se ingerirá en Defender para IoT.

    El archivo de exclusión se abre en el editor de texto Nano. En el archivo de exclusión, defina los dispositivos, los canales y las subredes de la siguiente manera:

    Tipo Descripción Ejemplo
    Dispositivo Defina un dispositivo por su dirección IP. 1.1.1.1 excluye todo el tráfico de este dispositivo.
    Canal Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma. 1.1.1.1,2.2.2.2 excluye todo el tráfico entre estos dispositivos.
    Canal por puerto Defina un canal por las direcciones IP de sus dispositivos de origen y destino, y el puerto para el tráfico. 1.1.1.1,2.2.2.2,443 excluye todo el tráfico entre estos dispositivos y el uso del puerto especificado.
    Subred Defina una subred por su dirección de red. 1.1.1 excluye todo el tráfico de esta subred.
    Canal de subred Defina las direcciones de red del canal de subred para las subredes de origen y de destino. 1.1.1,2.2.2 excluye todo el tráfico entre estas subredes.

    Enumere varios argumentos en filas distintas.

  3. Responda a las siguientes indicaciones para definir los puertos TCP o UDP que se van a incluir o excluir. Separe los puertos por comas y presione ENTRAR para omitir cualquier solicitud específica.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Por ejemplo, escriba varios puertos de la manera siguiente: 502,443.

  4. In which component do you wish to apply this capture filter?

    Escriba all para un filtro de captura básico. Para casos de uso avanzados, cree filtros de captura para cada componente de Defender para IoT.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Este aviso permite configurar el tráfico del ámbito. Defina si desea recopilar el tráfico de los dos puntos de conexión dentro del ámbito o de solo uno de ellos que esté en la subred especificada. Los valores admitidos son:

    • internal: incluye toda la comunicación entre el origen y el destino especificados.
    • all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos.

    Por ejemplo, para los puntos de conexión A y B, si usa el modo internal, el tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B.
    Sin embargo, si usa el modo all-connected, el tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.

    El modo predeterminado es internal. Para usar el modo all-connected, seleccione Y en la indicación y escriba all-connected.

En el ejemplo siguiente se muestra una serie de mensajes para crear un filtro de captura donde se excluya la subred 192.168.x.x y el puerto 9000:.

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Creación de un filtro avanzado para componentes específicos

Al configurar filtros de captura avanzados para componentes específicos, puede usar los archivos de inclusión y exclusión iniciales como referencia, una plantilla o un filtro de captura. A continuación, configure otros filtros para cada componente partiendo de las referencias, según proceda.

Para crear un filtro de captura para cada componente, asegúrese de repetir todo el proceso con cada uno.

Nota:

Si ha creado filtros de captura distintos para componentes diferentes, la selección de modo se usa para todos los componentes. Definir el filtro de captura para un componente como internal y el filtro de captura para otro componente, ya all-connected que no se admite.

Usuario Get-Help Sintaxis completa del comando
admin network capture-filter Sin atributos.
cyberx o administrador con acceso raíz cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Los siguientes atributos adicionales se usan para que el usuario cyberx cree filtros de captura para cada componente por separado:

Atributo Descripción
-p <PROGRAM>, --program <PROGRAM> Define el componente para el que desea configurar un filtro de captura, donde <PROGRAM> tiene los siguientes valores admitidos:
- traffic-monitor
- collector
- horizon
- all: crea un único filtro de captura para todos los componentes. Para más información, consulte Creación de un filtro básico para todos los componentes.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Define un filtro de captura de referencia para el componente horizon, donde <BASE_HORIZON> es el filtro que desea usar.
Valor predeterminado: "".
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Define un filtro de captura de referencia para el componente traffic-monitor.
Valor predeterminado: "".
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Define un filtro de captura de referencia para el componente collector.
Valor predeterminado: "".

Otros valores de atributo tienen las mismas descripciones que en el caso de uso básico, que se describió anteriormente.

Creación de un filtro de captura avanzado mediante el usuario administrador

Si va a crear un filtro de captura para cada componente por separado como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.

La mayoría de las solicitudes son idénticas a las del caso de uso básico. Responda a estas indicaciones adicionales de la siguiente manera:

  1. In which component do you wish to apply this capture filter?

    Escriba uno de los valores siguientes, según el componente que desee filtrar:

    • horizon
    • traffic-monitor
    • collector

  2. Se le pedirá que configure un filtro de captura de referencia personalizado para el componente seleccionado. Esta opción usa el filtro de captura que configuró en los pasos anteriores como referencia o plantilla donde agregar configuraciones adicionales partiendo de ella.

    Por ejemplo, si ha seleccionado configurar un filtro de captura para el componente collector en el paso anterior, se le pedirá Would you like to supply a custom base capture filter for the collector component? [Y/N]:.

    Escriba Y para personalizar la plantilla para el componente especificado o N para usar el filtro de captura que configurara anteriormente tal cual.

Continúe con los mensajes restantes, como en el caso de uso básico.

Enumeración de los filtros de captura actuales para componentes específicos

Use los siguientes comandos para mostrar los detalles de los filtros de captura actuales configurados para el sensor.

Usuario Get-Help Sintaxis completa del comando
admin Use los siguientes comandos para ver los filtros de captura de cada componente:

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties		 Sin atributos
cyberx o administrador con acceso raíz Use los siguientes comandos para ver los filtros de captura de cada componente:

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties		 Sin atributos

Estos comandos abren los siguientes archivos, que enumeran los filtros de captura configurados para cada componente:

Nombre Archivo Propiedad
horizon (horizonte) /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
recopilador /var/cyberx/properties/dumpark.properties dumpark.network.filter

Por ejemplo, con el usuario administrador, con un filtro de captura definido para el componente del recopilador que excluye la subred 192.168.x.x y el puerto 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Restablecimiento de todos los filtros de captura

Use el siguiente comando para restablecer el sensor a la configuración de captura predeterminada con el usuario cyberx y eliminar todos los filtros de captura.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-capture-filter -p all -m all-connected Sin atributos

Si desea modificar los filtros de captura existentes, vuelva a ejecutar el comando anterior, con nuevos valores de atributo.

Para restablecer todos los filtros de captura mediante el usuario administrador, vuelva a ejecutar el comando anterior y responda N a todas las indicaciones para restablecer todos los filtros de captura.

En el ejemplo siguiente se muestra la sintaxis del comando y la respuesta para el usuario cyberx:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Alertas

Desencadenamiento de una alerta de prueba

Use el siguiente comando para probar la conectividad y el reenvío de alertas desde el sensor a las consolas de administración, incluidos Azure Portal, una consola de administración local de Defender para IoT o un SIEM de terceros.

Usuario Get-Help Sintaxis completa del comando
cyberx o administrador con acceso raíz cyberx-xsense-trigger-test-alert Sin atributos

En el ejemplo siguiente se muestra la sintaxis del comando y la respuesta para el usuario cyberx:

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Reglas de exclusión de alertas de un sensor de OT

Los siguientes comandos admiten características de exclusión de alertas en el sensor de OT, incluida la visualización de las reglas de exclusión actuales, la incorporación y la edición de reglas y su eliminación.

Nota:

Las reglas de exclusión de alertas definidas en un sensor de OT se pueden sobrescribir mediante reglas de exclusión de alertas definidas en la consola de administración local.

Visualización de las reglas de exclusión de alertas actuales

Use el siguiente comando para mostrar una lista de las reglas de exclusión configuradas actualmente.

Usuario Get-Help Sintaxis completa del comando
admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o administrador con acceso raíz alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Creación de una regla de exclusión de alertas

Use los comandos siguientes para crear una regla de exclusión de alertas local en el sensor.

Usuario Get-Help Sintaxis completa del comando
admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o administrador con acceso raíz cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Los atributos admitidos se definen de la manera siguiente:

Atributo Descripción
-h, --help Muestra el mensaje de ayuda y se cierra.
[-n <NAME>], [--name <NAME>] Defina el nombre de la regla.
[-ts <TIMES>] [--time_span <TIMES>] Define el intervalo de tiempo para el que la regla estará activa mediante la sintaxis siguiente: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Dirección que se va a excluir. Utilice uno de los valores siguientes: both, src o dst.
[-dev <DEVICES>], [--devices <DEVICES>] Direcciones de dispositivo o tipos de direcciones que se van a excluir mediante la sintaxis siguiente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx o subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Nombres de alerta que se van a excluir, por valor hexadecimal. Por ejemplo: 0x00000, 0x000001

En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Modificación de una regla de exclusión de alertas

Use los comandos siguientes para modificar una regla de exclusión de alertas local existente en el sensor.

Usuario Get-Help Sintaxis completa del comando
admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o administrador con acceso raíz exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Los atributos admitidos se definen de la manera siguiente:

Atributo Descripción
-h, --help Muestra el mensaje de ayuda y se cierra.
[-n <NAME>], [--name <NAME>] Nombre de la regla que se desea modificar.
[-ts <TIMES>] [--time_span <TIMES>] Define el intervalo de tiempo para el que la regla estará activa mediante la sintaxis siguiente: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Dirección que se va a excluir. Utilice uno de los valores siguientes: both, src o dst.
[-dev <DEVICES>], [--devices <DEVICES>] Direcciones de dispositivo o tipos de direcciones que se van a excluir mediante la sintaxis siguiente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx o subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Nombres de alerta que se van a excluir, por valor hexadecimal. Por ejemplo: 0x00000, 0x000001

Use la siguiente sintaxis de comandos con el usuario administrador :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Eliminación de una regla de exclusión de alertas

Use los comandos siguientes para eliminar una regla de exclusión de alertas local existente en el sensor.

Usuario Get-Help Sintaxis completa del comando
admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o administrador con acceso raíz exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Los atributos admitidos se definen de la manera siguiente:

Atributo Descripción
-h, --help Muestra el mensaje de ayuda y se cierra.
[-n <NAME>], [--name <NAME>] Nombre de la regla que se desea eliminar.
[-ts <TIMES>] [--time_span <TIMES>] Define el intervalo de tiempo para el que la regla estará activa mediante la sintaxis siguiente: hh:mm-hh:mm, hh:mm-hh:mm.
[-dir <DIRECTION>], --direction <DIRECTION> Dirección que se va a excluir. Utilice uno de los valores siguientes: both, src o dst.
[-dev <DEVICES>], [--devices <DEVICES>] Direcciones de dispositivo o tipos de direcciones que se van a excluir mediante la sintaxis siguiente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx o subnet:x.x.x.x/x.
[-a <ALERTS>], --alerts <ALERTS> Nombres de alerta que se van a excluir, por valor hexadecimal. Por ejemplo: 0x00000, 0x000001

En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Pasos siguientes

Más información sobre los comandos de la CLI de Defender para IoT.