Référence des commandes CLI à partir de capteurs réseau OT

  • Article

Cet article répertorie les commandes CLI disponibles à partir des capteurs réseau OT Defender pour IoT.

Attention

Seuls les paramètres de configuration documentés sur le capteur réseau OT et la console de gestion locale sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ni les propriétés système, car ces modifications peuvent entraîner un comportement inattendu et des défaillances système.

La suppression de packages de votre capteur sans l’approbation de Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité correcte du capteur.

Prérequis

Avant de pouvoir exécuter l’une des commandes CLI suivantes, vous devez accéder à l’interface CLI sur votre capteur réseau OT en tant qu’utilisateur privilégié.

Bien que cet article répertorie la syntaxe de commande pour chaque utilisateur, nous vous recommandons d’utiliser l’utilisateur administrateur pour toutes les commandes CLI où l’utilisateur administrateur est pris en charge.

Si vous utilisez une version antérieure du logiciel de capteur, vous pouvez avoir accès à l’utilisateur de support hérité. Dans ce cas, toutes les commandes répertoriées comme prises en charge pour l’utilisateur administrateur sont prises en charge pour l’utilisateur de support hérité.

Pour plus d’informations, consultez Accéder à l’interface CLI et Accès utilisateur privilégié pour la surveillance OT.

Maintenance de l’appliance

Vérification de l’intégrité des services de surveillance OT

Utilisez les commandes suivantes pour vérifier que l'application Defender pour IoT sur le capteur OT fonctionne correctement, y compris la console Web et les processus d'analyse du trafic.

Des contrôles d’intégrité sont également disponibles depuis la console du capteur OT. Pour plus d’informations, consultez Dépanner le capteur.

Utilisateur Commande Syntaxe de la commande complète
admin system sanity Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-sanity Aucun attribut

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Redémarrer et arrêter

Redémarrer une appliance

Utilisez les commandes suivantes pour redémarrer l’appliance de capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system reboot Aucun attribut
cyberx ou administrateur disposant d’un accès racine sudo reboot Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine sudo reboot Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: system reboot

Arrêt d’une appliance

Utilisez les commandes suivantes pour arrêter l’appliance de capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system shutdown Aucun attribut
cyberx ou administrateur disposant d’un accès racine sudo shutdown -r now Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine sudo shutdown -r now Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: system shutdown

Versions des logiciels

Afficher la version du logiciel installée

Utilisez les commandes suivantes pour répertorier la version du logiciel Defender pour IoT installée sur votre capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin system version Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-version Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Mise à jour du logiciel du capteur à partir de l’interface CLI

Pour plus d’informations, consultez Mettre à jour vos capteurs.

Date, heure et NTP

Affichage de la date/heure système actuelle

Utilisez les commandes suivantes pour afficher la date et l’heure système actuelles sur votre capteur réseau OT, au format GMT.

Utilisateur Commande Syntaxe de la commande complète
admin date Aucun attribut
cyberx ou administrateur disposant d’un accès racine date Aucun attribut
cyberx_host ou administrateur disposant d’un accès racine date Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Activation de la synchronisation de l’heure NTP

Utilisez les commandes suivantes afin d’activer la synchronisation pour l’heure de l’appliance avec un serveur NTP.

Pour utiliser ces commandes, vérifiez que :

  • Le serveur NTP est accessible à partir du port de gestion de l’appliance
  • Vous utilisez le même serveur NTP pour synchroniser toutes les appliances de capteur et la console de gestion locale
Utilisateur Commande Syntaxe de la commande complète
admin ntp enable <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-ntp-enable <IP address> Aucun attribut

Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.

Par exemple, pour l’utilisateur administrateur :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Désactivation de la synchronisation de l’heure NTP

Utilisez les commandes suivantes afin de désactiver la synchronisation pour l’heure de l’appliance avec un serveur NTP.

Utilisateur Commande Syntaxe de la commande complète
admin ntp disable <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-ntp-disable <IP address> Aucun attribut

Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.

Par exemple, pour l’utilisateur administrateur :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Sauvegarde et restauration

Les sections suivantes décrivent les commandes CLI prises en charge pour la sauvegarde et la restauration d’un instantané système de votre capteur réseau OT.

Les fichiers de sauvegarde incluent un instantané complet de l’état du capteur, y compris les paramètres de configuration, les valeurs de base, les données d’inventaire et les journaux.

Attention

N’interrompez pas une opération de sauvegarde ou de restauration du système, car cela risque de rendre le système inutilisable.

Liste des fichiers de sauvegarde actuels

Utilisez les commandes suivantes pour répertorier les fichiers de sauvegarde actuellement stockés sur votre capteur réseau OT.

Utilisateur Commande Syntaxe de la commande complète
admin system backup-list Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-backup-list Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Lancer une sauvegarde immédiate et non planifiée

Utilisez les commandes suivantes pour démarrer une sauvegarde immédiate et non planifiée des données sur votre capteur OT. Pour plus d’informations, consultez Configurer des fichiers de sauvegarde et de restauration.

Attention

Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la sauvegarde des données.

Utilisateur Commande Syntaxe de la commande complète
admin system backup Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-backup Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Restauration de données à partir de la dernière sauvegarde

Utilisez les commandes suivantes pour restaurer des données sur votre capteur réseau OT à l’aide du fichier de sauvegarde le plus récent. Lorsque vous y êtes invité, confirmez que vous voulez continuer.

Attention

Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la restauration des données.

Utilisateur Commande Syntaxe de la commande complète
admin system restore Aucun attribut
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-system-restore -f <filename>

Par exemple, pour l’utilisateur administrateur :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Affichage de l’allocation d’espace disque de sauvegarde

La commande suivante répertorie l’allocation actuelle d’espace disque de sauvegarde, y compris les détails suivants :

  • Emplacement du dossier de sauvegarde
  • Taille du dossier de sauvegarde
  • Limitations du dossier de sauvegarde
  • Heure de la dernière opération de sauvegarde
  • Espace disque disponible pour les sauvegardes
Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-backup-memory-check Aucun attribut

Par exemple, pour l’utilisateur cyberx :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certificats TLS/SSL

Importation des certificats TLS/SSL dans le capteur OT

Utilisez la commande suivante pour importer des certificats TLS/SSL dans le capteur à partir de l’interface CLI.

Pour utiliser cette commande :

  • Vérifiez que le fichier de certificat que vous souhaitez importer est lisible sur l’appliance. Chargez des fichiers de certificat sur l’appliance à l’aide d’outils tels que WinSCP ou Wget.
  • Vérifiez auprès du service informatique que le domaine de l’appliance, tel qu’il apparaît dans le certificat, correspond à votre serveur DNS et à l’adresse IP.

Pour plus d’informations, consultez Préparer des certificats signés par une autorité de certification et Créer des certificats SSL/TLS pour des appliances OT.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]`

Dans cette commande :

  • -h : affiche la syntaxe complète de l'aide de la commande

  • --crt : chemin d’accès au fichier de certificat que vous souhaitez charger, avec une extension .crt

  • --key : fichier \*.key que vous souhaitez utiliser pour le certificat. La longueur de la clé doit être de 2 048 bits minimum

  • --chain : chemin d'accès à un fichier de chaîne de certificat. Optionnel.

  • --pass : phrase secrète utilisée pour chiffrer le certificat. facultatif.

    Les caractères suivants sont pris en charge pour la création d’une clé ou d’un certificat avec une phrase secrète :

    • Caractères ASCII, y compris a-z, A-Z, 0-9
    • Les caractères spéciaux suivants : ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set : inutilisé et défini sur False par défaut. Définir sur True pour utiliser la phrase secrète fournie avec le certificat précédent. Optionnel.

Par exemple, pour l’utilisateur cyberx :

root@xsense:/# cyberx-xsense-certificate-import

Restauration du certificat auto-signé par défaut

Utilisez la commande suivante pour restaurer les certificats auto-signés par défaut sur votre appliance de capteur. Nous vous recommandons d’utiliser cette activité uniquement pour la résolution des problèmes, et non sur les environnements de production.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-create-self-signed-certificate Aucun attribut

Par exemple, pour l’utilisateur cyberx :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Gestion des utilisateurs locaux

Modification des mots de passe des utilisateurs locaux

Utilisez les commandes suivantes pour modifier les mots de passe des utilisateurs locaux sur votre capteur OT.

Lorsque vous modifiez le mot de passe de l’administrateur, du cyberx ou de l’utilisateur cyberx_host, le mot de passe est modifié pour l’accès SSH et web.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host ou administrateur disposant d’un accès racine passwd Aucun attribut

L’exemple suivant montre que l’utilisateur cyberx réinitialise le mot de passe de l’utilisateur administrateur sur jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

L’exemple suivant montre que l’utilisateur cyberx_host modifie le mot de passe de l’utilisateur cyberx_host.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Contrôler les délais d’expiration de session utilisateur

Définissez l’heure après laquelle les utilisateurs sont automatiquement déconnectés du capteur OT. Définissez cette valeur dans un fichier de propriétés enregistré sur le capteur. Pour plus d’informations, consultez Contrôler les délais d’expiration de session utilisateur.

Définition du nombre maximal d’échecs de connexion

Définissez le nombre maximal d’échecs de connexion avant qu’un capteur OT empêche l’utilisateur de se reconnecter avec la même adresse IP. Définissez cette valeur dans un fichier de propriétés enregistré sur le capteur.

Pour plus d’informations, consultez Définition du nombre maximal d’échecs de connexion.

Configuration réseau

Paramètres réseau

Modification de la configuration réseau ou réaffectation des rôles d’interface réseau

Utilisez la commande suivante pour réexécuter l’assistant de configuration du logiciel de surveillance OT, qui vous aide à définir ou à reconfigurer les paramètres de capteur OT suivants :

  • Activer/désactiver les interfaces de surveillance SPAN
  • Configurer les paramètres réseau pour l’interface de gestion (IP, sous-réseau, passerelle par défaut, DNS)
  • Affectation d’un répertoire de sauvegarde
Utilisateur Commande Syntaxe de la commande complète
cyberx_host ou administrateur disposant d’un accès racine sudo dpkg-reconfigure iot-sensor Aucun attribut

Par exemple, avec l’utilisateur cyberx_host :

root@xsense:/# sudo dpkg-reconfigure iot-sensor

L’assistant de configuration démarre automatiquement après l’exécution de cette commande. Pour plus d’informations, consultez Installer le logiciel de surveillance OT.

Validation et affichage de la configuration de l’interface réseau

Utilisez les commandes suivantes pour valider et afficher la configuration actuelle de l’interface réseau sur le capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin network validate Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Connectivité réseau

Vérification de la connectivité réseau à partir du capteur OT

Utilisez les commandes suivantes pour envoyer un message ping à partir du capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin ping <IP address> Aucun attribut
cyberx ou administrateur disposant d’un accès racine ping <IP address> Aucun attribut

Dans ces commandes, <IP address> représente l’adresse IP d’un hôte réseau IPv4 valide accessible à partir du port de gestion sur votre capteur OT.

Vérification de la charge actuelle de l’interface réseau

Utilisez la commande suivante pour afficher le trafic réseau et la bande passante à l’aide d’un test de six secondes.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-nload Aucun attribut 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Vérifier la connexion Internet

Utilisez la commande suivante pour vérifier la connectivité Internet sur votre appliance.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-internet-connectivity Aucun attribut 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Définition de la limite de bande passante de l’interface réseau de gestion

Utilisez la commande suivante pour définir la limite de bande passante sortante pour les chargements à partir de l’interface de gestion du capteur OT vers le portail Azure ou une console de gestion locale.

La définition de limites de bande passante sortante peut être utile pour maintenir la qualité de service réseau (QoS). Cette commande est prise en charge uniquement dans les environnements à bande passante limitée, par exemple sur une liaison satellite ou série.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

Dans cette commande :

  • -h ou --help : affiche la syntaxe d’aide de la commande

  • --interface <INTERFACE VALUE> : l’interface que vous souhaitez limiter, par exemple eth0

  • --limit <LIMIT VALUE> : limite que vous souhaitez définir, par exemple 30kbit. Utilisez l’une des unités suivantes :

    • kbps : kilo-octets par seconde
    • mbps : méga-octets par seconde
    • kbit : kilobits par seconde
    • mbit : mégabits par seconde
    • bps ou un nombre nu : octets par seconde

  • --clear : efface tous les paramètres de l'interface spécifiée

Par exemple, pour l’utilisateur cyberx :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Interfaces physiques

Localisation d’un port physique grâce au clignotement des lumières de l’interface

Utilisez la commande suivante pour localiser une interface physique spécifique en faisant clignoter les lumières de l’interface.

Utilisateur Commande Syntaxe de la commande complète
admin network blink <INT> Aucun attribut

Dans cette commande, <INT> est un port Ethernet physique sur l’appliance.

L’exemple suivant montre que l’utilisateur administrateur clignote l’interface eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Liste des interfaces physiques connectées

Utilisez les commandes suivantes pour répertorier les interfaces physiques connectées sur votre capteur OT.

Utilisateur Commande Syntaxe de la commande complète
admin network list Aucun attribut
cyberx ou administrateur disposant d’un accès racine ifconfig Aucun attribut

Par exemple, pour l’utilisateur administrateur :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtres de capture de trafic

Pour réduire la fatigue liée aux alertes et concentrer votre surveillance réseau sur le trafic de priorité élevée, vous pouvez filtrer le trafic transmis vers Defender pour IoT à la source. Les filtres de capture vous permettent de bloquer le trafic à bande passante élevée au niveau de la couche matérielle, ce qui optimise les performances de l’appliance et l’utilisation des ressources.

Utilisez des listes d’inclusion et/ou d’exclusions pour créer et configurer des filtres de capture sur vos capteurs réseau OT, en veillant à ne pas bloquer le trafic que vous souhaitez surveiller.

Le cas d’usage de base des filtres de capture utilise le même filtre pour tous les composants Defender pour IoT. Toutefois, pour les cas d’usage avancés, vous pouvez configurer des filtres distincts pour chacun des composants Defender pour IoT suivants :

  • horizon : capture les données Deep Packet Inspection (DPI)
  • collector : capture les données PCAP
  • traffic-monitor : capture les statistiques de communication

Notes

  • Les filtres de capture ne s’appliquent pas aux alertes de programme malveillant Defender pour IoT, qui sont déclenchées sur tout le trafic réseau détecté.

  • La commande du filtre de capture est limitée en nombre de caractères en fonction de la complexité de la définition du filtre de capture et des fonctionnalités disponibles de la carte d’interface réseau. Si la commande du filtre demandée échoue, essayez de regrouper les sous-réseaux dans des étendues plus grandes et d’utiliser une commande du filtre de capture plus courte.

Création d’un filtre de base pour tous les composants

La méthode utilisée pour configurer un filtre de capture de base diffère selon que l’utilisateur exécute la commande :

  • Utilisateur cyberx : exécutez la commande spécifiée avec des attributs spécifiques pour configurer votre filtre de capture.
  • utilisateur administrateur : exécutez la commande spécifiée, puis entrez des valeurs comme invité par l’interface CLI, en modifiant vos listes d’inclusion et d’exclusion dans un éditeur nano.

Utilisez les commandes suivantes pour créer un filtre de capture :

Utilisateur Commande Syntaxe de la commande complète
admin network capture-filter Aucun attribut.
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Les attributs pris en charge pour l’utilisateur cyberx sont définis comme suit :

Attribut Description
-h, --help Affiche le message d’aide et quitte.
-i <INCLUDE>, --include <INCLUDE> Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez inclure, où <INCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion.
-x EXCLUDE, --exclude EXCLUDE Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez exclure, où <EXCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Exclut le trafic TCP sur tous les ports spécifiés, où définit <EXCLUDE_TCP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Exclut le trafic UDP sur tous les ports spécifiés, où définit <EXCLUDE_UDP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Inclut le trafic TCP sur tous les ports spécifiés, où définit <INCLUDE_TCP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Inclut le trafic UDP sur tous les ports spécifiés, où définit <INCLUDE_UDP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Inclut le trafic VLAN par des ID VLAN spécifiés, <INCLUDE_VLAN_IDS> définit le ou les ID VLAN que vous souhaitez inclure. Délimitez plusieurs ID VLAN par des virgules, sans espace.
-p <PROGRAM>, --program <PROGRAM> Définit le composant pour lequel vous souhaitez configurer un filtre de capture. Utilisez all pour les cas d’usage de base, afin de créer un filtre de capture unique pour tous les composants.

Pour les cas d’usage avancés, créez des filtres de capture distincts pour chaque composant. Pour plus d’informations, consultez Création d’un filtre avancé pour des composants spécifiques.
-m <MODE>, --mode <MODE> Définit un mode de liste d’inclusion et ne s’applique que lorsqu’une liste d’inclusion est utilisée. Utilisez l’une des valeurs suivantes :

- internal : inclut toutes les communications entre la source et la destination spécifiées
- all-connected : inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes.

Par exemple, pour les points de terminaison A et B, si vous utilisez le mode internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B.
Toutefois, si vous utilisez le mode all-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes.

Exemple de fichier d’inclusion ou d’exclusion

Par exemple, un fichier d’inclusion ou d’exclusion .txt peut inclure les entrées suivantes :

192.168.50.10
172.20.248.1

Créer un filtre de capture de base à l’aide de l’utilisateur administrateur

Si vous créez un filtre de capture de base en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.

Répondez aux invites affichées comme suit :

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Sélectionnez Y pour ouvrir un nouveau fichier d’inclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez inclure dans le trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’inclusion, n’est pas ingéré dans Defender pour IoT.

    Le fichier d’inclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’inclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :

    Type Description Exemple
    Appareil Définissez un appareil par son adresse IP. 1.1.1.1 inclut tout le trafic pour cet appareil.
    Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2 inclut tout le trafic pour ce canal.
    Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1 inclut tout le trafic pour ce sous-réseau.
    Canal de sous-réseau Définissez les adresses réseau du canal de sous-réseau pour les sous-réseaux source et de destination. 1.1.1,2.2.2 inclut tout le trafic entre ces sous-réseaux.

    Répertoriez plusieurs arguments dans des lignes distinctes.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Sélectionnez Y pour ouvrir un nouveau fichier d’exclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez exclure du trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’exclusion, est ingéré dans Defender pour IoT.

    Le fichier d’exclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’exclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :

    Type Description Exemple
    Appareil Définissez un appareil par son adresse IP. 1.1.1.1 exclut tout le trafic pour cet appareil.
    Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2 exclut tout le trafic entre ces appareils.
    Canal par port Définissez un canal par les adresses IP de ses appareils source et de destination, ainsi que le port de trafic. 1.1.1.1,2.2.2.2,443 exclut tout le trafic entre ces appareils et l’utilisation du port spécifié.
    Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1 exclut tout le trafic pour ce sous-réseau.
    Canal de sous-réseau Définissez les adresses réseau du canal de sous-réseau pour les sous-réseaux source et de destination. 1.1.1,2.2.2 exclut tout le trafic entre ces sous-réseaux.

    Répertoriez plusieurs arguments dans des lignes distinctes.

  3. Répondez aux invites suivantes pour définir les ports TCP ou UDP à inclure ou à exclure. Séparez plusieurs ports par une virgule, puis appuyez sur ENTRÉE pour ignorer toute invite spécifique.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Par exemple, entrez plusieurs ports comme suit : 502,443

  4. In which component do you wish to apply this capture filter?

    Entrez all pour un filtre de capture de base. Pour les cas d’usage avancés, créez séparément des filtres de capture pour chaque composant Defender pour IoT.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Cette invite vous permet de configurer le trafic dans l’étendue. Indiquez si vous souhaitez collecter le trafic dans lequel les deux points de terminaison figurent dans l’étendue, ou si un seul d’entre eux se trouve dans le sous-réseau spécifié. Les valeurs prises en charge sont :

    • internal : inclut toutes les communications entre la source et la destination spécifiées
    • all-connected : inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes.

    Par exemple, pour les points de terminaison A et B, si vous utilisez le mode internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B.
    Toutefois, si vous utilisez le mode all-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes.

    Le mode par défaut est internal. Pour utiliser le mode all-connected, sélectionnez Y à l’invite, puis entrez all-connected.

L’exemple suivant montre une série d’invites qui crée un filtre de capture pour exclure le sous-réseau 192.168.x.x et le port 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Création d’un filtre avancé pour des composants spécifiques

Lorsque vous configurez des filtres de capture avancés pour des composants spécifiques, vous pouvez utiliser vos fichiers d’inclusion et d’exclusion initiaux comme filtre de capture de base ou modèle. Configurez ensuite des filtres supplémentaires pour chaque composant au-dessus de la base selon vos besoins.

Pour créer un filtre de capture pour chaque composant, veillez à répéter l’ensemble du processus pour chaque composant.

Notes

Si vous avez créé différents filtres de capture pour divers composants, la sélection du mode est utilisée pour tous les composants. La définition du filtre de capture pour un composant comme internal et le filtre de capture pour un autre composant comme all-connected n’est pas prise en charge.

Utilisateur Commande Syntaxe de la commande complète
admin network capture-filter Aucun attribut.
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Les attributs supplémentaires suivants sont utilisés pour que l’utilisateur cyberx crée séparément des filtres de capture pour chaque composant :

Attribut Description
-p <PROGRAM>, --program <PROGRAM> Définit le composant pour lequel vous souhaitez configurer un filtre de capture, où <PROGRAM> a les valeurs prises en charge suivantes :
- traffic-monitor
- collector
- horizon
- all : crée un filtre de capture unique pour tous les composants. Pour plus d’informations, consultez Création d’un filtre de base pour tous les composants.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Définit un filtre de capture de base pour le composant horizon, où <BASE_HORIZON> est le filtre que vous souhaitez utiliser.
Valeur par défaut = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Définit un filtre de capture de base pour le composant traffic-monitor.
Valeur par défaut = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Définit un filtre de capture de base pour le composant collector.
Valeur par défaut = ""

Les autres valeurs d’attribut ont les mêmes descriptions que dans le cas d’usage de base, décrit précédemment.

Créer un filtre de capture avancé à l’aide de l’utilisateur administrateur

Si vous créez un filtre de capture pour chaque composant séparément en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.

La plupart des invites sont identiques au cas d’usage de base. Répondez aux invites supplémentaires comme suit :

  1. In which component do you wish to apply this capture filter?

    Entrez l’une des valeurs suivantes, en fonction du composant à filtrer :

    • horizon
    • traffic-monitor
    • collector

  2. Vous êtes invité à configurer un filtre de capture de base personnalisé pour le composant sélectionné. Cette option utilise le filtre de capture que vous avez configuré aux étapes précédentes en tant que base ou modèle, où vous pouvez ajouter des configurations supplémentaires par-dessus la base.

    Par exemple, si vous avez choisi de configurer un filtre de capture pour le composant collector à l’étape précédente, répondez aux invites de la façon suivante : Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Entrez Y afin de personnaliser le modèle pour le composant spécifié, ou N pour utiliser le filtre de capture que vous avez configuré tel quel.

Continuez avec les invites restantes comme dans le cas d’usage de base.

Liste des filtres de capture actuels pour des composants spécifiques

Utilisez les commandes suivantes pour afficher des détails sur les filtres de capture actuels configurés pour votre capteur.

Utilisateur Commande Syntaxe de la commande complète
admin Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant :

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties		 Aucun attribut
cyberx ou administrateur disposant d’un accès racine Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant :

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties		 Aucun attribut

Ces commandes ouvrent les fichiers suivants, qui répertorient les filtres de capture configurés pour chaque composant :

Nom Fichier Propriété
horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
collecteur /var/cyberx/properties/dumpark.properties dumpark.network.filter

Par exemple, avec l’utilisateur administrateur , avec un filtre de capture défini pour le composant collecteur qui exclut le sous-réseau 192.168.x.x et le port 9000 :


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Réinitialisation de tous les filtres de capture

Utilisez la commande suivante pour réinitialiser votre capteur à la configuration de capture par défaut avec l’utilisateur cyberx, en supprimant tous les filtres de capture.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-capture-filter -p all -m all-connected Aucun attribut

Si vous souhaitez modifier les filtres de capture existants, réexécutez la commande précédente, avec de nouvelles valeurs d’attribut.

Pour réinitialiser tous les filtres de capture à l’aide de l’utilisateur administrateur , réexécutez la commande précédente et répondez N à toutes les invites pour réinitialiser tous les filtres de capture.

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Alertes

Déclenchement d’une alerte de test

Utilisez la commande suivante pour tester la connectivité et le transfert d’alertes du capteur vers les consoles de gestion, notamment le portail Azure, une console de gestion locale Defender pour IoT ou un système SIEM tiers.

Utilisateur Commande Syntaxe de la commande complète
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-trigger-test-alert Aucun attribut

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur cyberx :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Règles d’exclusion d’alerte d’un capteur OT

Les commandes suivantes prennent en charge les fonctionnalités d’exclusion d’alerte sur votre capteur OT, notamment l’affichage des règles d’exclusion actuelles, l’ajout et la modification de règles et la suppression de règles.

Notes

Les règles d’exclusion d’alerte définies sur un capteur OT peuvent être remplacées par des règles d’exclusion d’alerte définies sur votre console de gestion locale.

Affichage des règles d’exclusion d’alerte actuelles

Utilisez la commande suivante pour afficher la liste des règles d’exclusion actuellement configurées.

Utilisateur Commande Syntaxe de la commande complète
admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx ou administrateur disposant d’un accès racine alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Création d’une règle d’exclusion d’alerte

Utilisez les commandes suivantes pour créer une règle d’exclusion d’alerte locale sur votre capteur.

Utilisateur Commande Syntaxe de la commande complète
admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx ou administrateur disposant d’un accès racine cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Les attributs pris en charge sont définis comme suit :

Attribut Description
-h, --help Affiche le message d’aide et quitte.
[-n <NAME>], [--name <NAME>] Définissez le nom de la règle.
[-ts <TIMES>] [--time_span <TIMES>] Définit l’intervalle de temps pendant lequel la règle est active, à l’aide de la syntaxe suivante : hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direction de l’adresse à exclure. Utilisez l’une des valeurs suivantes : both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Adresses d’appareil ou types d’adresses à exclure, à l’aide de la syntaxe suivante : ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Noms d’alerte à exclure, par valeur hexadécimale. Par exemple : 0x00000, 0x000001

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Modification d’une règle d’exclusion d’alerte

Utilisez les commandes suivantes pour modifier une règle d’exclusion d’alerte locale existante sur votre capteur.

Utilisateur Commande Syntaxe de la commande complète
admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx ou administrateur disposant d’un accès racine exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Les attributs pris en charge sont définis comme suit :

Attribut Description
-h, --help Affiche le message d’aide et quitte.
[-n <NAME>], [--name <NAME>] Nom de la règle à modifier.
[-ts <TIMES>] [--time_span <TIMES>] Définit l’intervalle de temps pendant lequel la règle est active, à l’aide de la syntaxe suivante : hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direction de l’adresse à exclure. Utilisez l’une des valeurs suivantes : both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Adresses d’appareil ou types d’adresses à exclure, à l’aide de la syntaxe suivante : ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Noms d’alerte à exclure, par valeur hexadécimale. Par exemple : 0x00000, 0x000001

Utilisez la syntaxe de commande suivante avec l’utilisateur administrateur :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Suppression d’une règle d’exclusion d’alerte

Utilisez les commandes suivantes pour supprimer une règle d’exclusion d’alerte locale existante sur votre capteur.

Utilisateur Commande Syntaxe de la commande complète
admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx ou administrateur disposant d’un accès racine exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Les attributs pris en charge sont définis comme suit :

Attribut Description
-h, --help Affiche le message d’aide et quitte.
[-n <NAME>], [--name <NAME>] Nom de la règle à supprimer.
[-ts <TIMES>] [--time_span <TIMES>] Définit l’intervalle de temps pendant lequel la règle est active, à l’aide de la syntaxe suivante : hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direction de l’adresse à exclure. Utilisez l’une des valeurs suivantes : both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Adresses d’appareil ou types d’adresses à exclure, à l’aide de la syntaxe suivante : ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Noms d’alerte à exclure, par valeur hexadécimale. Par exemple : 0x00000, 0x000001

L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Étapes suivantes

En savoir plus sur les commandes CLI Defender pour IoT