PARANCSSOR-parancshivatkozás az OT hálózati érzékelőktől
Ez a cikk az IoT OT-hálózati érzékelőkhöz készült Defender parancssori felületi parancsait sorolja fel.
Figyelemfelhívás
Az ügyfélkonfiguráció csak dokumentált konfigurációs paramétereket támogat az OT hálózati érzékelőn és a helyszíni felügyeleti konzolon. Ne módosítsa a nem dokumentált konfigurációs paramétereket vagy rendszertulajdonságokat, mert a módosítások váratlan viselkedést és rendszerhibákat okozhatnak.
A csomagok Microsoft-jóváhagyás nélküli eltávolítása váratlan eredményeket okozhat az érzékelőből. Az érzékelőre telepített összes csomagra szükség van a megfelelő érzékelőfunkcióhoz.
Előfeltételek
A következő PARANCSSOR-parancsok futtatásához jogosultsággal rendelkező felhasználóként hozzá kell férnie az OT hálózati érzékelő parancssori felületéhez.
Bár ez a cikk felsorolja az egyes felhasználók parancsszintaxisát, javasoljuk, hogy használja a rendszergazda felhasználót az összes olyan parancssori felületi parancshoz, amelyben a rendszergazdai felhasználó támogatott.
Ha az érzékelőszoftver régebbi verzióját használja, előfordulhat, hogy hozzáfér az örökölt támogatási felhasználóhoz. Ilyen esetekben a rendszergazdai felhasználó által támogatottként felsorolt parancsok támogatottak az örökölt támogatási felhasználó számára.
További információ: Access the CLI and Privileged user access for OT monitoring.
Berendezés karbantartása
Az OT monitorozási szolgáltatások állapotának ellenőrzése
Az alábbi parancsokkal ellenőrizheti, hogy a Defender for IoT-alkalmazás megfelelően működik-e az OT-érzékelőn, beleértve a webkonzolt és a forgalomelemzési folyamatokat is.
Az állapot-ellenőrzések az OT-érzékelő konzoljáról is elérhetők. További információ: Az érzékelő hibaelhárítása.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | system sanity |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-sanity |
Nincsenek attribútumok |
Az alábbi példa a rendszergazda felhasználó parancsszintaxisát és válaszát mutatja be:
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Újraindítás és leállítás
Berendezés újraindítása
A következő parancsokkal indítsa újra az OT érzékelő berendezést.
Például a rendszergazda felhasználó számára:
root@xsense: system reboot
Berendezés leállítása
A következő parancsokkal állítsa le az OT érzékelő berendezést.
Például a rendszergazda felhasználó számára:
root@xsense: system shutdown
Szoftververziók
Telepített szoftververzió megjelenítése
Az alábbi parancsokkal listázhatja az OT-érzékelőre telepített Defender for IoT szoftververziót.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | system version |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-version |
Nincsenek attribútumok |
Például a rendszergazda felhasználó számára:
root@xsense: system version
Version: 22.2.5.9-r-2121448
Érzékelőszoftver frissítése a parancssori felületről
További információ: Érzékelők frissítése.
Dátum, idő és NTP
Aktuális rendszerdátum/idő megjelenítése
Az alábbi parancsokkal megjelenítheti az aktuális rendszerdátumot és időpontot az OT hálózati érzékelőn GMT formátumban.
Például a rendszergazda felhasználó számára:
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
Az NTP időszinkronizálásának bekapcsolása
Az alábbi parancsokkal bekapcsolhatja a készülékidő szinkronizálását egy NTP-kiszolgálóval.
Az alábbi parancsok használatához győződjön meg arról, hogy:
- Az NTP-kiszolgáló a berendezés felügyeleti portjáról érhető el
- Ugyanazzal az NTP-kiszolgálóval szinkronizálhatja az összes érzékelőberendezést és a helyszíni felügyeleti konzolt
Ezekben a parancsokban <IP address> egy érvényes IPv4 NTP-kiszolgáló IP-címe a 123-es portot használva.
Például a rendszergazda felhasználó számára:
root@xsense: ntp enable 129.6.15.28
root@xsense:
Az NTP időszinkronizálásának kikapcsolása
Az alábbi parancsokkal kikapcsolhatja a berendezésidő szinkronizálását egy NTP-kiszolgálóval.
Ezekben a parancsokban <IP address> egy érvényes IPv4 NTP-kiszolgáló IP-címe a 123-es portot használva.
Például a rendszergazda felhasználó számára:
root@xsense: ntp disable 129.6.15.28
root@xsense:
Biztonsági mentés és visszaállítás
Az alábbi szakaszok az OT hálózati érzékelő rendszerképének biztonsági mentéséhez és visszaállításához támogatott CLI-parancsokat ismertetik.
A biztonsági mentési fájlok tartalmazzák az érzékelő állapotának teljes pillanatképét, beleértve a konfigurációs beállításokat, az alapértékeket, a leltáradatokat és a naplókat.
Figyelemfelhívás
Ne szakítsa meg a rendszer biztonsági mentési vagy visszaállítási műveletét, mert ez a rendszer használhatatlanná válását okozhatja.
Aktuális biztonsági mentési fájlok listázása
Az alábbi parancsokkal listázhatja az ot hálózati érzékelőn jelenleg tárolt biztonsági mentési fájlokat.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | system backup-list |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-system-backup-list |
Nincsenek attribútumok |
Például a rendszergazda felhasználó számára:
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
Azonnali, nem ütemezett biztonsági mentés indítása
Az alábbi parancsokkal azonnali, nem ütemezett biztonsági mentést indíthat az ADATOKról az OT-érzékelőn. További információ: Biztonsági mentés és fájlok visszaállítása.
Figyelemfelhívás
Ügyeljen arra, hogy az adatok biztonsági mentésekor ne állítsa le vagy kapcsolja ki a berendezést.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | system backup |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-system-backup |
Nincsenek attribútumok |
Például a rendszergazda felhasználó számára:
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
Adatok visszaállítása a legutóbbi biztonsági mentésből
Az alábbi parancsokkal visszaállíthatja az adatokat az OT hálózati érzékelőn a legújabb biztonsági mentési fájl használatával. Amikor a rendszer kéri, ellenőrizze, hogy folytatja-e a műveletet.
Figyelemfelhívás
Ügyeljen arra, hogy az adatok visszaállítása közben ne állítsa le vagy kapcsolja ki a berendezést.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | system restore |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-system-restore |
-f <filename> |
Például a rendszergazda felhasználó számára:
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
Biztonsági mentési lemezterület lefoglalásának megjelenítése
Az alábbi parancs felsorolja a biztonsági mentési lemezterület aktuális lefoglalását, beleértve a következő részleteket:
- Biztonsági mentési mappa helye
- Biztonsági mentési mappa mérete
- Biztonsági mentési mappa korlátozásai
- Legutóbbi biztonsági mentési művelet ideje
- Szabad lemezterület a biztonsági mentésekhez
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-backup-memory-check |
Nincsenek attribútumok |
Például a cyberx-felhasználó számára:
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
TLS-/SSL-tanúsítványok
TLS/SSL-tanúsítványok importálása az OT-érzékelőbe
A következő paranccsal importálhat TLS-/SSL-tanúsítványokat az érzékelőbe a parancssori felületről.
A parancs használatához:
- Ellenőrizze, hogy az importálni kívánt tanúsítványfájl olvasható-e a berendezésen. Töltse fel a tanúsítványfájlokat a berendezésbe olyan eszközökkel, mint a WinSCP vagy a Wget.
- Győződjön meg arról az informatikai irodával, hogy a tanúsítványban megjelenő berendezés tartománya helyes-e a DNS-kiszolgálóhoz és a megfelelő IP-címhez.
További információ: CA által aláírt tanúsítványok előkészítése és SSL/TLS-tanúsítványok létrehozása AZ OT-berendezésekhez.
Ebben a parancsban:
-h: A teljes parancs súgószintaxisát jeleníti meg--crt: A feltölteni kívánt tanúsítványfájl elérési útja egy.crtkiterjesztéssel--key: A\*.keytanúsítványhoz használni kívánt fájl. A kulcs hosszának legalább 2048 bitnek kell lennie--chain: A tanúsítványláncfájl elérési útja. Opcionális.--pass: A tanúsítvány titkosításához használt jelszó. Opcionális.A következő karakterek támogatottak kulcs vagy tanúsítvány jelszóval történő létrehozásához:
- ASCII-karakterek, beleértve az a-z, A-Z, 0-9
- A következő speciális karakterek: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set: Nincs használatban, és alapértelmezés szerint False (Hamis) értékre van állítva. Állítsa True értékre az előző tanúsítványhoz megadott jelszó használatára. Opcionális.
Például a cyberx-felhasználó számára:
root@xsense:/# cyberx-xsense-certificate-import
Az alapértelmezett önaláírt tanúsítvány visszaállítása
Az alábbi paranccsal visszaállíthatja az alapértelmezett, önaláírt tanúsítványokat az érzékelőberendezésen. Javasoljuk, hogy ezt a tevékenységet csak hibaelhárításra használja, éles környezetekben nem.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-create-self-signed-certificate |
Nincsenek attribútumok |
Például a cyberx-felhasználó számára:
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
Helyi felhasználókezelés
Helyi felhasználói jelszavak módosítása
Az alábbi parancsokkal módosíthatja a helyi felhasználók jelszavát az OT-érzékelőn.
Ha módosítja a rendszergazda, a cyberx vagy cyberx_host felhasználó jelszavát, a jelszó SSH-ra és webes hozzáférésre is módosul.
Az alábbi példa azt mutatja be, hogy a cyberx-felhasználó visszaállítja a rendszergazdai felhasználó jelszavát a következőre jI8iD9kE6hB8qN0h:
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
Az alábbi példában az cyberx_host felhasználó módosítja a cyberx_host felhasználó jelszavát.
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
Felhasználói munkamenet időtúllépéseinek szabályozása
Adja meg azt az időt, amely után a rendszer automatikusan kijelentkezteti a felhasználókat az OT-érzékelőből. Definiálja ezt az értéket egy, az érzékelőn mentett tulajdonságfájlban. nem ez. További információ: Felhasználói munkamenet időtúllépéseinek szabályozása.
A sikertelen bejelentkezések maximális számának meghatározása
Adja meg a sikertelen bejelentkezések maximális számát, mielőtt egy OT-érzékelő megakadályozza, hogy a felhasználó újra bejelentkezzen ugyanabból az IP-címből. Definiálja ezt az értéket egy, az érzékelőn mentett tulajdonságfájlban.
További információ: A sikertelen bejelentkezések maximális számának meghatározása.
Hálózati konfiguráció
Hálózati beállítások
Hálózati konfiguráció módosítása vagy hálózati adapterszerepkörök újbóli hozzárendelése
A következő paranccsal futtassa újra az OT monitorozási szoftverkonfigurációs varázslót, amely segít meghatározni vagy újrakonfigurálni a következő OT-érzékelőbeállításokat:
- SPAN monitorozási felületek engedélyezése/letiltása
- A felügyeleti felület hálózati beállításainak konfigurálása (IP, alhálózat, alapértelmezett átjáró, DNS)
- Biztonsági mentési címtár hozzárendelése
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx_host vagy rendszergazda gyökérszintű hozzáféréssel | sudo dpkg-reconfigure iot-sensor |
Nincsenek attribútumok |
Például a cyberx_host felhasználóval:
root@xsense:/# sudo dpkg-reconfigure iot-sensor
A parancs futtatása után a konfigurációs varázsló automatikusan elindul. További információ: Ot monitorozási szoftver telepítése.
Hálózati adapter konfigurációjának ellenőrzése és megjelenítése
Az alábbi parancsokkal ellenőrizheti és megjelenítheti a hálózati adapter aktuális konfigurációját az OT-érzékelőn.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | network validate |
Nincsenek attribútumok |
Például a rendszergazda felhasználó számára:
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
Hálózati kapcsolat
Hálózati kapcsolat ellenőrzése az OT-érzékelőről
Az alábbi parancsokkal pingüzenetet küldhet az OT-érzékelőről.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | ping <IP address> |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | ping <IP address> |
Nincsenek attribútumok |
Ezekben a parancsokban <IP address> egy érvényes IPv4-hálózati gazdagép IP-címe érhető el az OT-érzékelő felügyeleti portjáról.
Hálózati adapter aktuális terhelésének ellenőrzése
A következő paranccsal megjelenítheti a hálózati forgalmat és a sávszélességet egy hat másodperces teszt használatával.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-nload |
Nincsenek attribútumok |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
Internetkapcsolat ellenőrzése
Az alábbi paranccsal ellenőrizze a berendezés internetkapcsolatát.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-internet-connectivity |
Nincsenek attribútumok |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
Sávszélességkorlát beállítása a felügyeleti hálózati adapterhez
Az alábbi paranccsal állíthatja be az OT-érzékelő felügyeleti felületéről az Azure Portalra vagy egy helyszíni felügyeleti konzolra történő feltöltések kimenő sávszélességkorlátját.
A kimenő sávszélesség korlátainak beállítása hasznos lehet a hálózati szolgáltatásminőség (QoS) fenntartásában. Ez a parancs csak sávszélesség-korlátozással rendelkező környezetekben támogatott, például műholdon vagy soros kapcsolaton keresztül.
Ebben a parancsban:
-hvagy--help: A parancs súgószintaxisát jeleníti meg--interface <INTERFACE VALUE>: Az a felület, amelyet korlátozni szeretne, példáuleth0--limit <LIMIT VALUE>: A beállítani kívánt korlát, például30kbit. Használja az alábbi egységek egyikét:kbps: Másodpercenkénti kilobájtmbps: Másodpercenként megabájtkbit: Kilobit másodpercenkéntmbit: Megabit másodpercenkéntbpsvagy csupasz szám: bájt/másodperc
--clear: Törli a megadott felület összes beállítását
Például a cyberx-felhasználó számára:
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
Fizikai interfészek
Fizikai port megkeresése villogó illesztőfények segítségével
Az alábbi paranccsal megkereshet egy adott fizikai felületet úgy, hogy az illesztő fényei villognak.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | network blink <INT> |
Nincsenek attribútumok |
Ebben a parancsban <INT> egy fizikai Ethernet-port található a berendezésen.
Az alábbi példa az eth0 felületet villogó rendszergazdai felhasználót mutatja be:
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
Csatlakoztatott fizikai adapterek listázása
Az alábbi parancsokkal listázhatja a csatlakoztatott fizikai adaptereket az OT-érzékelőn.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| Admin | network list |
Nincsenek attribútumok |
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | ifconfig |
Nincsenek attribútumok |
Például a rendszergazda felhasználó számára:
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
Forgalomrögzítési szűrők
A riasztások kifáradtságának csökkentése és a hálózati monitorozás magas prioritású forgalomra való összpontosítása érdekében dönthet úgy, hogy a forrásnál lévő Defender for IoT-be streamelt forgalmat szűri. A rögzítési szűrők lehetővé teszik a nagy sávszélességű forgalom letiltását a hardverrétegen, így optimalizálva a berendezés teljesítményét és az erőforrás-használatot is.
Használjon egy/vagy kizáró listát a rögzítési szűrők létrehozásához és konfigurálásához az OT-hálózati érzékelőkön, ügyelve arra, hogy ne tiltsa le a figyelni kívánt forgalmat.
A rögzítési szűrők alapszintű használati esete ugyanazt a szűrőt használja az összes Defender for IoT-összetevőhöz. Speciális használati esetek esetén azonban érdemes lehet külön szűrőket konfigurálni az alábbi Defender for IoT-összetevők mindegyikéhez:
horizon: Mély csomagvizsgálati (DPI)-adatokat rögzítcollector: PCAP-adatok rögzítésetraffic-monitor: Rögzíti a kommunikációs statisztikákat
Feljegyzés
A rögzítési szűrők nem vonatkoznak a Defender for IoT kártevőriasztásokra, amelyek minden észlelt hálózati forgalom esetén aktiválódnak.
A rögzítési szűrő parancs karakterhossz-korlátja a rögzítési szűrő definíciójának összetettségén és az elérhető hálózati adapterkártya-képességeken alapul. Ha a kért szűrő-összeírás sikertelen, próbálja meg az alhálózatokat nagyobb hatókörökbe csoportosítani, és használjon rövidebb rögzítési szűrőparancsot.
Alapszintű szűrő létrehozása az összes összetevőhöz
Az alapszintű rögzítési szűrő konfigurálásához használt módszer a parancsot végrehajtó felhasználótól függően eltérő:
- cyberx-felhasználó : A rögzített szűrő konfigurálásához futtassa a megadott parancsot adott attribútumokkal.
- rendszergazdai felhasználó: Futtassa a megadott parancsot, majd adja meg az értékeket a parancssori felület kérésének megfelelően, szerkessze a belefoglalási és kizárási listákat egy nanoszerkesztőben.
Az alábbi parancsokkal hozzon létre egy új rögzítési szűrőt:
A cyberx-felhasználó által támogatott attribútumok a következőképpen vannak definiálva:
| Attribútum | Leírás |
|---|---|
-h, --help |
Megjeleníti a súgóüzenetet és a kilépéseket. |
-i <INCLUDE>, --include <INCLUDE> |
A felvenni kívánt eszközöket és alhálózati maszkokat tartalmazó fájl elérési útja, ahol <INCLUDE> a fájl elérési útja található. Lásd például a Fájl belefoglalása vagy kizárása minta című témakört. |
-x EXCLUDE, --exclude EXCLUDE |
A kizárni kívánt eszközöket és alhálózati maszkokat tartalmazó fájl elérési útja, ahol <EXCLUDE> a fájl elérési útja található. Lásd például a Fájl belefoglalása vagy kizárása minta című témakört. |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Kizárja a TCP-forgalmat a megadott portokon, ahol a <EXCLUDE_TCP_PORT> kizárni kívánt portot vagy portokat határozza meg. Több port elválasztójele vesszővel, szóközök nélkül. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Kizárja az UDP-forgalmat a megadott portokon, ahol a <EXCLUDE_UDP_PORT> ki szeretné zárni a portot vagy portokat. Több port elválasztójele vesszővel, szóközök nélkül. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
A TCP-forgalmat minden megadott porton tartalmazza, ahol a <INCLUDE_TCP_PORT> megadott port vagy port határozza meg a felvenni kívánt portot. Több port elválasztójele vesszővel, szóközök nélkül. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Az UDP-forgalmat minden megadott porton tartalmazza, ahol az <INCLUDE_UDP_PORT> határozza meg a felvenni kívánt portot vagy portokat. Több port elválasztójele vesszővel, szóközök nélkül. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
A megadott VLAN-azonosítók szerinti VLAN-forgalmat tartalmazza, <INCLUDE_VLAN_IDS> meghatározza a felvenni kívánt VLAN-azonosítókat vagy azonosítókat. Több VLAN-azonosító vesszővel elválasztható, szóközök nélkül. |
-p <PROGRAM>, --program <PROGRAM> |
Meghatározza azt az összetevőt, amelyhez a rögzítési szűrőt konfigurálni szeretné. Az all alapszintű használati esetekhez használva egyetlen rögzítési szűrőt hozhat létre az összes összetevőhöz. Speciális használati esetek esetén hozzon létre külön rögzítési szűrőket az egyes összetevőkhöz. További információ: Speciális szűrő létrehozása adott összetevőkhöz. |
-m <MODE>, --mode <MODE> |
A belefoglalási lista mód definiálása, és csak a belefoglalási lista használata esetén releváns. Használja az alábbi értékek egyikét: - internal: Tartalmazza a megadott forrás és cél közötti összes kommunikációt - all-connected: A megadott végpontok és külső végpontok közötti összes kommunikációt tartalmazza. Ha például az A és a B végpontot használja, a belefoglalt forgalom csak az internal A és a B végpont közötti kommunikációt foglalja magában.Ha azonban a módot használja, a all-connected belefoglalt forgalom az A vagy B és más külső végpontok közötti kommunikációt is magában foglalja. |
Fájl belefoglalása vagy kizárása minta
Például egy .txt fájl belefoglalása vagy kizárása a következő bejegyzéseket tartalmazhatja:
192.168.50.10
172.20.248.1
Alapszintű rögzítési szűrő létrehozása a rendszergazdai felhasználóval
Ha rendszergazdai felhasználóként hoz létre alapszintű rögzítési szűrőt, az eredeti parancs nem ad át attribútumokat. Ehelyett egy sor üzenet jelenik meg, amelyek segítenek interaktívan létrehozni a rögzítési szűrőt.
Válaszoljon a megjelenő kérdésekre az alábbiak szerint:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Válassza ki
Yegy új belefoglalási fájl megnyitásához, ahol hozzáadhat egy eszközt, csatornát és/vagy alhálózatot, amelyet a figyelt forgalomba szeretne belefoglalni. A belefoglalt fájlban nem szereplő egyéb forgalom nem lesz betöltve az IoT-hez készült Defenderbe.A belefoglalási fájl meg van nyitva a Nano szövegszerkesztőben. A belefoglalási fájlban határozza meg az eszközöket, csatornákat és alhálózatokat az alábbiak szerint:
Típus Leírás Példa Eszköz Definiáljon egy eszközt az IP-címe alapján. 1.1.1.1az eszköz összes forgalmát tartalmazza.Csatorna Adjon meg egy csatornát a forrás- és céleszközök IP-címei alapján, vesszővel elválasztva. 1.1.1.1,2.2.2.2A csatorna összes forgalmát tartalmazza.Alhálózat Alhálózat meghatározása a hálózati cím alapján. 1.1.1az alhálózat összes forgalmát tartalmazza.Több argumentum listázása külön sorokban.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Itt
Ymegnyithat egy új kizáró fájlt, amelyben hozzáadhat egy eszközt, csatornát és/vagy alhálózatot, amelyet ki szeretne zárni a figyelt forgalomból. A kizárási fájlban nem szereplő egyéb forgalom a Defender for IoT-be kerül.A kizárási fájl megnyílik a Nano szövegszerkesztőben. A kizárási fájlban határozza meg az eszközöket, csatornákat és alhálózatokat az alábbiak szerint:
Típus Leírás Példa Eszköz Definiáljon egy eszközt az IP-címe alapján. 1.1.1.1Kizárja az eszköz összes forgalmát.Csatorna Adjon meg egy csatornát a forrás- és céleszközök IP-címei alapján, vesszővel elválasztva. 1.1.1.1,2.2.2.2kizárja az eszközök közötti összes forgalmat.Csatorna port szerint Adjon meg egy csatornát a forrás- és céleszközök IP-címei, valamint a forgalmi port alapján. 1.1.1.1,2.2.2.2,443kizárja az eszközök közötti összes forgalmat és a megadott portot.Alhálózat Alhálózat meghatározása a hálózati cím alapján. 1.1.1Kizárja az alhálózat összes forgalmát.Alhálózati csatorna Alhálózati csatorna hálózati címeinek meghatározása a forrás- és célalhálózatokhoz. 1.1.1,2.2.2kizárja az alhálózatok közötti összes forgalmat.Több argumentum listázása külön sorokban.
Válaszoljon a következő kérdésekre, és adja meg a belefoglalni vagy kizárni kívánt TCP- vagy UDP-portokat. Több portot vesszővel elválaszthat, és az ENTER billentyűt lenyomva kihagyhat egy adott kérdést.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Adjon meg például több portot az alábbiak szerint:
502,443In which component do you wish to apply this capture filter?Adjon meg
allegy alapszintű rögzítési szűrőt. Speciális használati esetek esetén külön hozzon létre rögzítési szűrőket az egyes Defender for IoT-összetevőkhöz.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Ez a kérés lehetővé teszi annak konfigurálását, hogy melyik forgalom van hatókörben. Megadhatja, hogy olyan forgalmat szeretne-e gyűjteni, amelyben mindkét végpont hatókörben van, vagy csak az egyik van a megadott alhálózatban. A támogatott értékek a következők:
internal: Tartalmazza a megadott forrás és cél közötti összes kommunikációtall-connected: A megadott végpontok és külső végpontok közötti összes kommunikációt tartalmazza.
Ha például az A és a B végpontot használja, a belefoglalt forgalom csak az
internalA és a B végpont közötti kommunikációt foglalja magában.
Ha azonban a módot használja, aall-connectedbelefoglalt forgalom az A vagy B és más külső végpontok közötti kommunikációt is magában foglalja.Az alapértelmezett mód a
internal. Aall-connectedmód használatához válassza aYparancssort, majd írja be a következőtall-connected:
Az alábbi példa egy olyan kéréssorozatot mutat be, amely létrehoz egy rögzítési szűrőt az alhálózat 192.168.x.x és a port kizárásához 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Speciális szűrő létrehozása adott összetevőkhöz
Ha speciális rögzítési szűrőket konfigurál bizonyos összetevőkhöz, használhatja a kezdeti belefoglalási és kizárási fájlokat alapként vagy sablonként, rögzítési szűrőként. Ezután szükség szerint konfiguráljon további szűrőket az egyes összetevőkhöz az alap tetején.
Ha minden összetevőhöz létre szeretne hozni egy rögzítési szűrőt, mindenképpen ismételje meg az egyes összetevők teljes folyamatát.
Feljegyzés
Ha különböző rögzítési szűrőket hozott létre a különböző összetevőkhöz, a rendszer az összes összetevőhöz használja a módválasztást. Az egyik összetevő internal rögzítési szűrőjének és egy másik összetevő rögzítési szűrőjének definiálása, ahogyan all-connected az nem támogatott.
A cyberx-felhasználó az alábbi extra attribútumokat használja az egyes összetevők rögzítési szűrőinek külön-külön történő létrehozásához:
| Attribútum | Leírás |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Meghatározza azt az összetevőt, amelyhez a rögzítési szűrőt konfigurálni szeretné, ahol <PROGRAM> a következő támogatott értékek találhatók: - traffic-monitor - collector - horizon - all: Egyetlen rögzítési szűrőt hoz létre az összes összetevőhöz. További információ: Alapszintű szűrő létrehozása az összes összetevőhöz. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Meghatározza az összetevő alaprögzítési szűrőjét horizon , ahol <BASE_HORIZON> a használni kívánt szűrő található. Alapértelmezett érték = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Meghatározza az összetevő alaprögzítési szűrőjét traffic-monitor . Alapértelmezett érték = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Meghatározza az összetevő alaprögzítési szűrőjét collector . Alapértelmezett érték = "" |
Más attribútumértékek leírása megegyezik a korábban ismertetett alapszintű használati eset leírásával.
Speciális rögzítési szűrő létrehozása a rendszergazdai felhasználóval
Ha minden összetevőhöz külön,rendszergazdai felhasználóként hoz létre rögzítési szűrőt, az eredeti parancs nem ad át attribútumokat. Ehelyett egy sor üzenet jelenik meg, amelyek segítenek interaktívan létrehozni a rögzítési szűrőt.
A legtöbb kérés azonos az alapszintű használati esetekkel. Válaszoljon a következő további kérdésekre az alábbiak szerint:
In which component do you wish to apply this capture filter?Adja meg az alábbi értékek egyikét a szűrni kívánt összetevőtől függően:
horizontraffic-monitorcollector
A rendszer kéri, hogy konfiguráljon egy egyéni alaprögzítési szűrőt a kiválasztott összetevőhöz. Ez a beállítás az előző lépésekben alapként vagy sablonként konfigurált rögzítési szűrőt használja, ahol további konfigurációkat adhat hozzá az alaphoz.
Ha például az előző lépésben kiválasztotta egy rögzítési szűrő konfigurálását az
collectorösszetevőhöz, a rendszer a következőt kéri:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Adja meg
Ya sablon testreszabását a megadott összetevőhöz, vagyNhasználja a korábban konfigurált rögzítési szűrőt.
Folytassa a többi kéréssel, mint az alapszintű használati esetben.
Adott összetevők aktuális rögzítési szűrőinek listázása
Az alábbi parancsokkal megjelenítheti az érzékelőhöz konfigurált aktuális rögzítési szűrők részleteit.
Ezek a parancsok a következő fájlokat nyitják meg, amelyek felsorolják az egyes összetevőkhöz konfigurált rögzítési szűrőket:
| Név | Fájl | Tulajdonság |
|---|---|---|
| horizont | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| gyűjtő | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Például a rendszergazda felhasználónál, a gyűjtő összetevőhöz definiált rögzítési szűrővel, amely kizárja a 192.168.x.x alhálózatot és a 9000-s portot:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Az összes rögzítési szűrő alaphelyzetbe állítása
Az alábbi paranccsal állítsa vissza az érzékelőt az alapértelmezett rögzítési konfigurációra a cyberx-felhasználóval, és távolítsa el az összes rögzítési szűrőt.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-capture-filter -p all -m all-connected |
Nincsenek attribútumok |
Ha módosítani szeretné a meglévő rögzítési szűrőket, futtassa újra a korábbi parancsot új attribútumértékekkel.
Ha az összes rögzítési szűrőt alaphelyzetbe szeretné állítani a rendszergazdai felhasználóval, futtassa újra a korábbi parancsot, és válaszoljon N az összes kérdésre az összes rögzítési szűrő alaphelyzetbe állításához.
Az alábbi példa a cyberx-felhasználó parancsszintaxisát és válaszát mutatja be:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
Riasztások
Tesztriasztás aktiválása
Az alábbi paranccsal tesztelheti az érzékelőről a felügyeleti konzolokra irányuló kapcsolat- és riasztástovábbítást, beleértve az Azure Portalt, a helyszíni IoT Defender felügyeleti konzolt vagy egy külső SIEM-t.
| User | Parancs | Teljes parancsszintaxis |
|---|---|---|
| cyberx vagy rendszergazda gyökérszintű hozzáféréssel | cyberx-xsense-trigger-test-alert |
Nincsenek attribútumok |
Az alábbi példa a cyberx-felhasználó parancsszintaxisát és válaszát mutatja be:
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
Riasztáskivételi szabályok egy OT-érzékelőből
Az alábbi parancsok támogatják az OT-érzékelő riasztáskivételi funkcióit, beleértve az aktuális kizárási szabályok megjelenítését, a szabályok hozzáadását és szerkesztését, valamint a szabályok törlését.
Feljegyzés
Az OT-érzékelőn definiált riasztáskizárási szabályok felülírhatók a helyszíni felügyeleti konzolon meghatározott riasztáskizárási szabályokkal.
Aktuális riasztáskizárási szabályok megjelenítése
Az alábbi paranccsal megjelenítheti az aktuálisan konfigurált kizárási szabályok listáját.
Az alábbi példa a rendszergazda felhasználó parancsszintaxisát és válaszát mutatja be:
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
Új riasztáskizárási szabály létrehozása
Az alábbi parancsokkal hozzon létre egy helyi riasztáskizárási szabályt az érzékelőn.
A támogatott attribútumok a következőképpen vannak definiálva:
| Attribútum | Leírás |
|---|---|
-h, --help |
Megjeleníti a súgóüzenetet és a kilépéseket. |
[-n <NAME>], [--name <NAME>] |
Adja meg a szabály nevét. |
[-ts <TIMES>] [--time_span <TIMES>] |
A szabály aktív időtartamát határozza meg az alábbi szintaxis használatával: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
A kizárandó cím iránya. Használja a következő értékek egyikét: both, , srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Kizárandó eszközcímek vagy címtípusok a következő szintaxissal: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Kizárandó riasztásnevek hexa érték szerint. Például: 0x00000, 0x000001 |
Az alábbi példa a rendszergazda felhasználó parancsszintaxisát és válaszát mutatja be:
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Riasztás kizárási szabályának módosítása
Az alábbi parancsokkal módosíthat egy meglévő helyi riasztáskizárási szabályt az érzékelőn.
A támogatott attribútumok a következőképpen vannak definiálva:
| Attribútum | Leírás |
|---|---|
-h, --help |
Megjeleníti a súgóüzenetet és a kilépéseket. |
[-n <NAME>], [--name <NAME>] |
A módosítani kívánt szabály neve. |
[-ts <TIMES>] [--time_span <TIMES>] |
A szabály aktív időtartamát határozza meg az alábbi szintaxis használatával: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
A kizárandó cím iránya. Használja a következő értékek egyikét: both, , srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Kizárandó eszközcímek vagy címtípusok a következő szintaxissal: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Kizárandó riasztásnevek hexa érték szerint. Például: 0x00000, 0x000001 |
Használja a következő parancs szintaxisát a rendszergazdai felhasználóval:
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Riasztás kizárási szabályának törlése
Az alábbi parancsokkal törölhet egy meglévő helyi riasztáskizárási szabályt az érzékelőn.
A támogatott attribútumok a következőképpen vannak definiálva:
| Attribútum | Leírás |
|---|---|
-h, --help |
Megjeleníti a súgóüzenetet és a kilépéseket. |
[-n <NAME>], [--name <NAME>] |
A törölni kívánt szabály neve. |
[-ts <TIMES>] [--time_span <TIMES>] |
A szabály aktív időtartamát határozza meg az alábbi szintaxis használatával: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
A kizárandó cím iránya. Használja a következő értékek egyikét: both, , srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Kizárandó eszközcímek vagy címtípusok a következő szintaxissal: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Kizárandó riasztásnevek hexa érték szerint. Például: 0x00000, 0x000001 |
Az alábbi példa a rendszergazda felhasználó parancsszintaxisát és válaszát mutatja be:
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: