Référence des commandes CLI à partir de capteurs réseau OT
Cet article répertorie les commandes CLI disponibles à partir des capteurs réseau OT Defender pour IoT.
Attention
Seuls les paramètres de configuration documentés sur le capteur réseau OT et la console de gestion locale sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ni les propriétés système, car ces modifications peuvent entraîner un comportement inattendu et des défaillances système.
La suppression de packages de votre capteur sans l’approbation de Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité correcte du capteur.
Prérequis
Avant de pouvoir exécuter l’une des commandes CLI suivantes, vous devez accéder à l’interface CLI sur votre capteur réseau OT en tant qu’utilisateur privilégié.
Bien que cet article répertorie la syntaxe de commande pour chaque utilisateur, nous vous recommandons d’utiliser l’utilisateur administrateur pour toutes les commandes CLI où l’utilisateur administrateur est pris en charge.
Pour plus d’informations, consultez Accéder à l’interface CLI et Accès utilisateur privilégié pour la surveillance OT.
Maintenance de l’appliance
Vérification de l’intégrité des services de surveillance OT
Utilisez les commandes suivantes pour vérifier que l'application Defender pour IoT sur le capteur OT fonctionne correctement, y compris la console Web et les processus d'analyse du trafic.
Des contrôles d’intégrité sont également disponibles depuis la console du capteur OT. Pour plus d’informations, consultez Dépanner le capteur.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system sanity |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-sanity |
Aucun attribut |
L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur administrateur :
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Redémarrer une appliance
Utilisez les commandes suivantes pour redémarrer l’appliance de capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system reboot |
Aucun attribut |
| cyberx_host ou administrateur disposant d’un accès racine | sudo reboot |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> system reboot
Arrêt d’une appliance
Utilisez les commandes suivantes pour arrêter l’appliance de capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system shutdown |
Aucun attribut |
| cyberx_host ou administrateur disposant d’un accès racine | sudo shutdown -r now |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> system shutdown
Afficher la version du logiciel installée
Utilisez les commandes suivantes pour répertorier la version du logiciel Defender pour IoT installée sur votre capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system version |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-version |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> system version
Version: 22.2.5.9-r-2121448
Affichage de la date/heure système actuelle
Utilisez les commandes suivantes pour afficher la date et l’heure système actuelles sur votre capteur réseau OT, au format GMT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | date |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | date |
Aucun attribut |
| cyberx_host ou administrateur disposant d’un accès racine | date |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
Activation de la synchronisation de l’heure NTP
Utilisez les commandes suivantes afin d’activer la synchronisation pour l’heure de l’appliance avec un serveur NTP.
Pour utiliser ces commandes, vérifiez que :
- Le serveur NTP est accessible à partir du port de gestion de l’appliance
- Vous utilisez le même serveur NTP pour synchroniser toutes les appliances de capteur et la console de gestion locale
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | ntp enable <IP address> |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-ntp-enable <IP address> |
Aucun attribut |
Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.
Par exemple, pour l’utilisateur administrateur :
shell> ntp enable 129.6.15.28
shell>
Désactivation de la synchronisation de l’heure NTP
Utilisez les commandes suivantes afin de désactiver la synchronisation pour l’heure de l’appliance avec un serveur NTP.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | ntp disable <IP address> |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-ntp-disable <IP address> |
Aucun attribut |
Dans ces commandes, <IP address> est l’adresse IP d’un serveur NTP IPv4 valide utilisant le port 123.
Par exemple, pour l’utilisateur administrateur :
shell> ntp disable 129.6.15.28
shell>
Sauvegarde et restauration
Les sections suivantes décrivent les commandes CLI prises en charge pour la sauvegarde et la restauration d’un instantané système de votre capteur réseau OT.
Les fichiers de sauvegarde incluent un instantané complet de l’état du capteur, y compris les paramètres de configuration, les valeurs de base, les données d’inventaire et les journaux.
Attention
N’interrompez pas une opération de sauvegarde ou de restauration du système, car cela risque de rendre le système inutilisable.
Lancement d’une sauvegarde non planifiée immédiate
Utilisez la commande suivante pour démarrer une sauvegarde immédiate et non planifiée des données sur votre capteur OT. Pour plus d’informations, consultez Configurer des fichiers de sauvegarde et de restauration.
Attention
Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la sauvegarde des données.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system backup create |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-system-backup |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
Liste des fichiers de sauvegarde actuels
Utilisez les commandes suivantes pour répertorier les fichiers de sauvegarde actuellement stockés sur votre capteur réseau OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system backup list |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-system-backup-list |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
Restauration de données à partir de la dernière sauvegarde
Utilisez la commande suivante pour restaurer des données sur votre capteur réseau OT à l’aide du fichier de sauvegarde le plus récent. Lorsque vous y êtes invité, confirmez que vous voulez continuer.
Attention
Veillez à ne pas arrêter ou mettre hors tension l’appliance lors de la restauration des données.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system restore |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-system-restore |
-f <filename> |
Par exemple, pour l’utilisateur administrateur :
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
Affichage de l’allocation d’espace disque de sauvegarde
La commande suivante répertorie l’allocation actuelle d’espace disque de sauvegarde, y compris les détails suivants :
- Emplacement du dossier de sauvegarde
- Taille du dossier de sauvegarde
- Limitations du dossier de sauvegarde
- Heure de la dernière opération de sauvegarde
- Espace disque disponible pour les sauvegardes
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | cyberx-backup-memory-check |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
Gestion des utilisateurs locaux
Modification des mots de passe des utilisateurs locaux
Utilisez les commandes suivantes pour modifier les mots de passe des utilisateurs locaux sur votre capteur OT. Le nouveau mot de passe doit comporter au moins 8 caractères, contenir des minuscules et des majuscules, des caractères alphabétiques, des nombres et des symboles.
Lorsque vous modifiez le mot de passe de l’administrateur, le mot de passe est modifié pour l’accès SSH et web.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | system password |
<username> |
L’exemple suivant illustre la modification du mot de passe par l’utilisateur administrateur . Le nouveau mot de passe n’apparaît pas à l’écran lorsque vous le tapez, veillez à écrire pour prendre note de celui-ci et assurez-vous qu’il est correctement tapé lorsqu’il est demandé de réentérer le mot de passe.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
Configuration réseau
Modification de la configuration réseau ou réaffectation des rôles d’interface réseau
Utilisez la commande suivante pour réexécuter l’assistant de configuration du logiciel de surveillance OT, qui vous aide à définir ou à reconfigurer les paramètres de capteur OT suivants :
- Activer/désactiver les interfaces de surveillance SPAN
- Configurer les paramètres réseau pour l’interface de gestion (IP, sous-réseau, passerelle par défaut, DNS)
- Affectation d’un répertoire de sauvegarde
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | sudo dpkg-reconfigure iot-sensor |
Aucun attribut |
Par exemple, avec l’utilisateur administrateur :
shell> sudo dpkg-reconfigure iot-sensor
L’assistant de configuration démarre automatiquement après l’exécution de cette commande. Pour plus d’informations, consultez Installer le logiciel de surveillance OT.
Validation et affichage de la configuration de l’interface réseau
Utilisez les commandes suivantes pour valider et afficher la configuration actuelle de l’interface réseau sur le capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | network validate |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
Vérification de la connectivité réseau à partir du capteur OT
Utilisez la commande suivante pour envoyer un message ping à partir du capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | ping <IP address> |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | ping <IP address> |
Aucun attribut |
Dans ces commandes, <IP address> représente l’adresse IP d’un hôte réseau IPv4 valide accessible à partir du port de gestion sur votre capteur OT.
Localisation d’un port physique grâce au clignotement des lumières de l’interface
Utilisez la commande suivante pour localiser une interface physique spécifique en faisant clignoter les lumières de l’interface.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | network blink <INT> |
Aucun attribut |
Dans cette commande, <INT> est un port Ethernet physique sur l’appliance.
L’exemple suivant montre que l’utilisateur administrateur clignote l’interface eth0 :
shell> network blink eth0
Blinking interface for 20 seconds ...
Liste des interfaces physiques connectées
Utilisez la commande suivante pour répertorier les interfaces physiques connectées sur votre capteur OT.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | network list |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | ifconfig |
Aucun attribut |
Par exemple, pour l’utilisateur administrateur :
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
Filtres de capture de trafic
Pour réduire la fatigue liée aux alertes et concentrer votre surveillance réseau sur le trafic de priorité élevée, vous pouvez filtrer le trafic transmis vers Defender pour IoT à la source. Les filtres de capture vous permettent de bloquer le trafic à bande passante élevée au niveau de la couche matérielle, ce qui optimise les performances de l’appliance et l’utilisation des ressources.
Utilisez des listes d’inclusion et/ou d’exclusions pour créer et configurer des filtres de capture sur vos capteurs réseau OT, en veillant à ne pas bloquer le trafic que vous souhaitez surveiller.
Le cas d’usage de base des filtres de capture utilise le même filtre pour tous les composants Defender pour IoT. Toutefois, pour les cas d’usage avancés, vous pouvez configurer des filtres distincts pour chacun des composants Defender pour IoT suivants :
horizon: capture les données Deep Packet Inspection (DPI)collector: capture les données PCAPtraffic-monitor: capture les statistiques de communication
Notes
Les filtres de capture ne s’appliquent pas aux alertes de programme malveillant Defender pour IoT, qui sont déclenchées sur tout le trafic réseau détecté.
La commande du filtre de capture est limitée en nombre de caractères en fonction de la complexité de la définition du filtre de capture et des fonctionnalités disponibles de la carte d’interface réseau. Si la commande du filtre demandée échoue, essayez de regrouper les sous-réseaux dans des étendues plus grandes et d’utiliser une commande du filtre de capture plus courte.
Création d’un filtre de base pour tous les composants
La méthode utilisée pour configurer un filtre de capture de base diffère selon que l’utilisateur exécute la commande :
- Utilisateur cyberx : exécutez la commande spécifiée avec des attributs spécifiques pour configurer votre filtre de capture.
- utilisateur administrateur : exécutez la commande spécifiée, puis entrez des valeurs comme invité par l’interface CLI, en modifiant vos listes d’inclusion et d’exclusion dans un éditeur nano.
Utilisez les commandes suivantes pour créer un filtre de capture :
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | network capture-filter |
Aucun attribut. |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Les attributs pris en charge pour l’utilisateur cyberx sont définis comme suit :
| Attribut | Description |
|---|---|
-h, --help |
Affiche le message d’aide et quitte. |
-i <INCLUDE>, --include <INCLUDE> |
Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez inclure, où <INCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion. |
-x EXCLUDE, --exclude EXCLUDE |
Chemin d’accès à un fichier qui contient les appareils et les masques de sous-réseau que vous souhaitez exclure, où <EXCLUDE> est le chemin d’accès au fichier. Par exemple, consultez Exemple de fichier d’inclusion ou d’exclusion. |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Exclut le trafic TCP sur tous les ports spécifiés, où définit <EXCLUDE_TCP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Exclut le trafic UDP sur tous les ports spécifiés, où définit <EXCLUDE_UDP_PORT> le ou les ports que vous souhaitez exclure. Délimitez plusieurs ports par des virgules, sans espace. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Inclut le trafic TCP sur tous les ports spécifiés, où définit <INCLUDE_TCP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Inclut le trafic UDP sur tous les ports spécifiés, où définit <INCLUDE_UDP_PORT> le ou les ports que vous souhaitez inclure. Délimitez plusieurs ports par des virgules, sans espace. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Inclut le trafic VLAN par des ID VLAN spécifiés, <INCLUDE_VLAN_IDS> définit le ou les ID VLAN que vous souhaitez inclure. Délimitez plusieurs ID VLAN par des virgules, sans espace. |
-p <PROGRAM>, --program <PROGRAM> |
Définit le composant pour lequel vous souhaitez configurer un filtre de capture. Utilisez all pour les cas d’usage de base, afin de créer un filtre de capture unique pour tous les composants. Pour les cas d’usage avancés, créez des filtres de capture distincts pour chaque composant. Pour plus d’informations, consultez Création d’un filtre avancé pour des composants spécifiques. |
-m <MODE>, --mode <MODE> |
Définit un mode de liste d’inclusion et ne s’applique que lorsqu’une liste d’inclusion est utilisée. Utilisez l’une des valeurs suivantes : - internal : inclut toutes les communications entre la source et la destination spécifiées - all-connected : inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes. Par exemple, pour les points de terminaison A et B, si vous utilisez le mode internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B. Toutefois, si vous utilisez le mode all-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes. |
Exemple de fichier d’inclusion ou d’exclusion
Par exemple, un fichier d’inclusion ou d’exclusion .txt peut inclure les entrées suivantes :
192.168.50.10
172.20.248.1
Créer un filtre de capture de base à l’aide de l’utilisateur administrateur
Si vous créez un filtre de capture de base en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.
Répondez aux invites affichées comme suit :
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Sélectionnez
Ypour ouvrir un nouveau fichier d’inclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez inclure dans le trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’inclusion, n’est pas ingéré dans Defender pour IoT.Le fichier d’inclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’inclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :
Type Description Exemple Appareil Définissez un appareil par son adresse IP. 1.1.1.1inclut tout le trafic pour cet appareil.Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2inclut tout le trafic pour ce canal.Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1inclut tout le trafic pour ce sous-réseau.Répertoriez plusieurs arguments dans des lignes distinctes.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Sélectionnez
Ypour ouvrir un nouveau fichier d’exclusion, où vous pouvez ajouter un appareil, un canal et/ou un sous-réseau que vous souhaitez exclure du trafic surveillé. Tout autre trafic, non répertorié dans votre fichier d’exclusion, est ingéré dans Defender pour IoT.Le fichier d’exclusion est ouvert dans l’éditeur de texte Nano. Dans le fichier d’exclusion, définissez les appareils, les canaux et les sous-réseaux comme suit :
Type Description Exemple Appareil Définissez un appareil par son adresse IP. 1.1.1.1exclut tout le trafic pour cet appareil.Channel Définissez un canal par les adresses IP de ses appareils source et de destination, séparées par une virgule. 1.1.1.1,2.2.2.2exclut tout le trafic entre ces appareils.Canal par port Définissez un canal par les adresses IP de ses appareils source et de destination, ainsi que le port de trafic. 1.1.1.1,2.2.2.2,443exclut tout le trafic entre ces appareils et l’utilisation du port spécifié.Sous-réseau Définissez un sous-réseau par son adresse réseau. 1.1.1exclut tout le trafic pour ce sous-réseau.Canal de sous-réseau Définissez les adresses réseau du canal de sous-réseau pour les sous-réseaux source et de destination. 1.1.1,2.2.2exclut tout le trafic entre ces sous-réseaux.Répertoriez plusieurs arguments dans des lignes distinctes.
Répondez aux invites suivantes pour définir les ports TCP ou UDP à inclure ou à exclure. Séparez plusieurs ports par une virgule, puis appuyez sur ENTRÉE pour ignorer toute invite spécifique.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Par exemple, entrez plusieurs ports comme suit :
502,443In which component do you wish to apply this capture filter?Entrez
allpour un filtre de capture de base. Pour les cas d’usage avancés, créez séparément des filtres de capture pour chaque composant Defender pour IoT.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Cette invite vous permet de configurer le trafic dans l’étendue. Indiquez si vous souhaitez collecter le trafic dans lequel les deux points de terminaison figurent dans l’étendue, ou si un seul d’entre eux se trouve dans le sous-réseau spécifié. Les valeurs prises en charge sont :
internal: inclut toutes les communications entre la source et la destination spécifiéesall-connected: inclut toutes les communications entre l’un des points de terminaison spécifiés et les points de terminaison externes.
Par exemple, pour les points de terminaison A et B, si vous utilisez le mode
internal, le trafic inclus contiendra uniquement les communications entre les points de terminaison A et B.
Toutefois, si vous utilisez le modeall-connected, le trafic inclus comprend toutes les communications entre A ou B et d’autres points de terminaison externes.Le mode par défaut est
internal. Pour utiliser le modeall-connected, sélectionnezYà l’invite, puis entrezall-connected.
L’exemple suivant montre une série d’invites qui crée un filtre de capture pour exclure le sous-réseau 192.168.x.x et le port 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Création d’un filtre avancé pour des composants spécifiques
Lorsque vous configurez des filtres de capture avancés pour des composants spécifiques, vous pouvez utiliser vos fichiers d’inclusion et d’exclusion initiaux comme filtre de capture de base ou modèle. Configurez ensuite des filtres supplémentaires pour chaque composant au-dessus de la base selon vos besoins.
Pour créer un filtre de capture pour chaque composant, veillez à répéter l’ensemble du processus pour chaque composant.
Notes
Si vous avez créé différents filtres de capture pour divers composants, la sélection du mode est utilisée pour tous les composants. La définition du filtre de capture pour un composant comme internal et le filtre de capture pour un autre composant comme all-connected n’est pas prise en charge.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | network capture-filter |
Aucun attribut. |
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Les attributs supplémentaires suivants sont utilisés pour que l’utilisateur cyberx crée séparément des filtres de capture pour chaque composant :
| Attribut | Description |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Définit le composant pour lequel vous souhaitez configurer un filtre de capture, où <PROGRAM> a les valeurs prises en charge suivantes : - traffic-monitor - collector - horizon - all : crée un filtre de capture unique pour tous les composants. Pour plus d’informations, consultez Création d’un filtre de base pour tous les composants. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Définit un filtre de capture de base pour le composant horizon, où <BASE_HORIZON> est le filtre que vous souhaitez utiliser. Valeur par défaut = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Définit un filtre de capture de base pour le composant traffic-monitor. Valeur par défaut = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Définit un filtre de capture de base pour le composant collector. Valeur par défaut = "" |
Les autres valeurs d’attribut ont les mêmes descriptions que dans le cas d’usage de base, décrit précédemment.
Créer un filtre de capture avancé à l’aide de l’utilisateur administrateur
Si vous créez un filtre de capture pour chaque composant séparément en tant qu’utilisateur administrateur , aucun attribut n’est passé dans la commande d’origine. Au lieu de cela, une série d’invites s’affiche pour vous aider à créer le filtre de capture de manière interactive.
La plupart des invites sont identiques au cas d’usage de base. Répondez aux invites supplémentaires comme suit :
In which component do you wish to apply this capture filter?Entrez l’une des valeurs suivantes, en fonction du composant à filtrer :
horizontraffic-monitorcollector
Vous êtes invité à configurer un filtre de capture de base personnalisé pour le composant sélectionné. Cette option utilise le filtre de capture que vous avez configuré aux étapes précédentes en tant que base ou modèle, où vous pouvez ajouter des configurations supplémentaires par-dessus la base.
Par exemple, si vous avez choisi de configurer un filtre de capture pour le composant
collectorà l’étape précédente, répondez aux invites de la façon suivante :Would you like to supply a custom base capture filter for the collector component? [Y/N]:Entrez
Yafin de personnaliser le modèle pour le composant spécifié, ouNpour utiliser le filtre de capture que vous avez configuré tel quel.
Continuez avec les invites restantes comme dans le cas d’usage de base.
Liste des filtres de capture actuels pour des composants spécifiques
Utilisez les commandes suivantes pour afficher des détails sur les filtres de capture actuels configurés pour votre capteur.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| admin | Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant : - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
Aucun attribut |
| cyberx ou administrateur disposant d’un accès racine | Utilisez les commandes suivantes pour afficher les filtres de capture pour chaque composant : -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
Aucun attribut |
Ces commandes ouvrent les fichiers suivants, qui répertorient les filtres de capture configurés pour chaque composant :
| Nom | Fichier | Propriété |
|---|---|---|
| horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| collecteur | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Par exemple, avec l’utilisateur administrateur , avec un filtre de capture défini pour le composant collecteur qui exclut le sous-réseau 192.168.x.x et le port 9000 :
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Réinitialisation de tous les filtres de capture
Utilisez la commande suivante pour réinitialiser votre capteur à la configuration de capture par défaut avec l’utilisateur cyberx, en supprimant tous les filtres de capture.
| Utilisateur | Commande | Syntaxe de la commande complète |
|---|---|---|
| cyberx ou administrateur disposant d’un accès racine | cyberx-xsense-capture-filter -p all -m all-connected |
Aucun attribut |
Si vous souhaitez modifier les filtres de capture existants, réexécutez la commande précédente, avec de nouvelles valeurs d’attribut.
Pour réinitialiser tous les filtres de capture à l’aide de l’utilisateur administrateur , réexécutez la commande précédente et répondez N à toutes les invites pour réinitialiser tous les filtres de capture.
L’exemple suivant montre la syntaxe de commande et la réponse de l’utilisateur cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#