Informazioni di riferimento sul comando dell'interfaccia della riga di comando dai sensori di rete OT

  • Articolo

Questo articolo elenca i comandi dell'interfaccia della riga di comando disponibili dai sensori di rete di Defender per IoT OT.

Attenzione

Per la configurazione dei clienti sono supportati solo i parametri di configurazione documentati nel sensore di rete OT e nella console di gestione locale. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare errori imprevisti e comportamenti di sistema.

La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.

Prerequisiti

Prima di poter eseguire uno dei comandi dell'interfaccia della riga di comando seguenti, è necessario accedere all'interfaccia della riga di comando nel sensore di rete OT come utente con privilegi.

Anche se questo articolo elenca la sintassi dei comandi per ogni utente, è consigliabile usare l'utente amministratore per tutti i comandi dell'interfaccia della riga di comando in cui è supportato l'utente amministratore .

Se si usa una versione precedente del software del sensore, è possibile avere accesso all'utente del supporto legacy. In questi casi, tutti i comandi elencati come supportati per l'utente amministratore sono supportati per l'utente di supporto legacy.

Per altre informazioni, vedere Accedere all'interfaccia della riga di comando e all'accesso utente con privilegi per il monitoraggio OT.

Manutenzione dell'appliance

Controllare l'integrità dei servizi di monitoraggio OT

Usare i comandi seguenti per verificare che l'applicazione Defender per IoT nel sensore OT funzioni correttamente, inclusi i processi di analisi del traffico e della console Web.

I controlli di integrità sono disponibili anche dalla console del sensore OT. Per altre informazioni, vedere Risolvere i problemi del sensore.

User Comando Sintassi completa dei comandi
admin system sanity Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-sanity Nessun attributo

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Riavviare e arrestare

Riavviare un'appliance

Usare i comandi seguenti per riavviare l'appliance del sensore OT.

User Comando Sintassi completa dei comandi
admin system reboot Nessun attributo
cyberx o amministratore con accesso radice sudo reboot Nessun attributo
cyberx_host o amministratore con accesso radice sudo reboot Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: system reboot

Arrestare un'appliance

Usare i comandi seguenti per arrestare l'appliance del sensore OT.

User Comando Sintassi completa dei comandi
admin system shutdown Nessun attributo
cyberx o amministratore con accesso radice sudo shutdown -r now Nessun attributo
cyberx_host o amministratore con accesso radice sudo shutdown -r now Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: system shutdown

Versioni software

Visualizzare la versione del software installata

Usare i comandi seguenti per elencare la versione del software Defender per IoT installata nel sensore OT.

User Comando Sintassi completa dei comandi
admin system version Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-version Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Aggiornare il software del sensore dall'interfaccia della riga di comando

Per altre informazioni, vedere Aggiornare i sensori.

Data, ora e NTP

Mostra data/ora di sistema corrente

Usare i comandi seguenti per visualizzare la data e l'ora di sistema correnti nel sensore di rete OT, in formato GMT.

User Comando Sintassi completa dei comandi
admin date Nessun attributo
cyberx o amministratore con accesso radice date Nessun attributo
cyberx_host o amministratore con accesso radice date Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Attivare la sincronizzazione dell'ora NTP

Usare i comandi seguenti per attivare la sincronizzazione per l'ora dell'appliance con un server NTP.

Per usare questi comandi, assicurarsi che:

  • Il server NTP può essere raggiunto dalla porta di gestione dell'appliance
  • Si usa lo stesso server NTP per sincronizzare tutte le appliance del sensore e la console di gestione locale
User Comando Sintassi completa dei comandi
admin ntp enable <IP address> Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-ntp-enable <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.

Ad esempio, per l'utente amministratore :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Disattivare la sincronizzazione dell'ora NTP

Usare i comandi seguenti per disattivare la sincronizzazione per l'ora dell'appliance con un server NTP.

User Comando Sintassi completa dei comandi
admin ntp disable <IP address> Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-ntp-disable <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un server NTP IPv4 valido che usa la porta 123.

Ad esempio, per l'utente amministratore :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Backup e ripristino

Le sezioni seguenti descrivono i comandi dell'interfaccia della riga di comando supportati per il backup e il ripristino di uno snapshot di sistema del sensore di rete OT.

I file di backup includono uno snapshot completo dello stato del sensore, incluse le impostazioni di configurazione, i valori di base, i dati di inventario e i log.

Attenzione

Non interrompere un'operazione di backup o ripristino del sistema perché ciò potrebbe causare l'inutilizzabilità del sistema.

Elencare i file di backup correnti

Usare i comandi seguenti per elencare i file di backup attualmente archiviati nel sensore di rete OT.

User Comando Sintassi completa dei comandi
admin system backup-list Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-backup-list Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Avviare un backup immediato e non pianificato

Usare i comandi seguenti per avviare un backup immediato e non pianificato dei dati nel sensore OT. Per altre informazioni, vedere Configurare i file di backup e ripristino.

Attenzione

Assicurarsi di non arrestare o spegnere l'appliance durante il backup dei dati.

User Comando Sintassi completa dei comandi
admin system backup Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-backup Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Ripristinare i dati dal backup più recente

Usare i comandi seguenti per ripristinare i dati nel sensore di rete OT usando il file di backup più recente. Quando richiesto, confermare che si vuole continuare.

Attenzione

Assicurarsi di non arrestare o spegnere l'appliance durante il ripristino dei dati.

User Comando Sintassi completa dei comandi
admin system restore Nessun attributo
cyberx o amministratore con accesso radice cyberx-xsense-system-restore -f <filename>

Ad esempio, per l'utente amministratore :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Visualizzare l'allocazione dello spazio su disco di backup

Il comando seguente elenca l'allocazione dello spazio su disco di backup corrente, inclusi i dettagli seguenti:

  • Percorso della cartella di backup
  • Dimensioni della cartella di backup
  • Limitazioni delle cartelle di backup
  • Ora ultima operazione di backup
  • Spazio libero su disco disponibile per i backup
User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-backup-memory-check Nessun attributo

Ad esempio, per l'utente cyberx :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certificati TLS/SSL

Importare certificati TLS/SSL nel sensore OT

Usare il comando seguente per importare certificati TLS/SSL nel sensore dall'interfaccia della riga di comando.

Per usare questo comando:

  • Verificare che il file di certificato da importare sia leggibile nell'appliance. Caricare i file di certificato nell'appliance usando strumenti come WinSCP o Wget.
  • Verificare con l'ufficio IT che il dominio dell'appliance visualizzato nel certificato sia corretto per il server DNS e l'indirizzo IP corrispondente.

Per altre informazioni, vedere Preparare i certificati firmati dalla CA e Creare certificati SSL/TLS per appliance OT.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--passPHRA <edizione Standard>] [--passphrase-set <VALUE>]'

In questo comando:

  • -h: mostra la sintassi della Guida completa dei comandi

  • --crt: percorso del file di certificato da caricare, con un'estensione .crt

  • --key\*.key: file da usare per il certificato. La lunghezza della chiave deve essere di almeno 2.048 bit

  • --chain: percorso di un file della catena di certificati. Facoltativo.

  • --pass: passphrase usata per crittografare il certificato. Facoltativo.

    I caratteri seguenti sono supportati per la creazione di una chiave o di un certificato con una passphrase:

    • Caratteri ASCII, tra cui a-z, A-Z, 0-9
    • I caratteri speciali seguenti: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: non usato e impostato su False per impostazione predefinita. Impostare su True per usare la passphrase fornita con il certificato precedente. Facoltativo.

Ad esempio, per l'utente cyberx :

root@xsense:/# cyberx-xsense-certificate-import

Ripristinare il certificato autofirmato predefinito

Usare il comando seguente per ripristinare i certificati autofirmato predefiniti nell'appliance del sensore. È consigliabile usare questa attività solo per la risoluzione dei problemi e non in ambienti di produzione.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-create-self-signed-certificate Nessun attributo

Ad esempio, per l'utente cyberx :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Gestione utenti locali

Modificare le password utente locali

Usare i comandi seguenti per modificare le password per gli utenti locali nel sensore OT.

Quando si modifica la password per l'amministratore, cyberx o cyberx_host utente, la password viene modificata sia per SSH che per l'accesso Web.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host o amministratore con accesso radice passwd Nessun attributo

L'esempio seguente mostra l'utente cyberx che reimposta la password dell'utente amministratore su jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

Nell'esempio seguente viene illustrato il cyberx_host utente che modifica la password dell'utente cyberx_host .

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Controllare i timeout della sessione utente

Definire l'ora dopo la quale gli utenti vengono disconnessi automaticamente dal sensore OT. Definire questo valore in un file di proprietà salvato nel sensore. non che per altre informazioni, vedere Controllare i timeout della sessione utente.

Definire il numero massimo di accessi non riusciti

Definire il numero massimo di accessi non riusciti prima che un sensore OT impedisca all'utente di accedere di nuovo dallo stesso indirizzo IP. Definire questo valore in un file di proprietà salvato nel sensore.

Per altre informazioni, vedere Definire il numero massimo di accessi non riusciti.

Configurazione di rete

Impostazioni di rete

Modificare la configurazione di rete o riassegnare i ruoli dell'interfaccia di rete

Usare il comando seguente per eseguire di nuovo la configurazione guidata del software di monitoraggio OT, che consente di definire o riconfigurare le impostazioni del sensore OT seguenti:

  • Abilitare/disabilitare le interfacce di monitoraggio SPAN
  • Configurare le impostazioni di rete per l'interfaccia di gestione (IP, subnet, gateway predefinito, DNS)
  • Assegnazione di una directory di backup
User Comando Sintassi completa dei comandi
cyberx_host o amministratore con accesso radice sudo dpkg-reconfigure iot-sensor Nessun attributo

Ad esempio, con l'utente cyberx_host :

root@xsense:/# sudo dpkg-reconfigure iot-sensor

La configurazione guidata viene avviata automaticamente dopo l'esecuzione di questo comando. Per altre informazioni, vedere Installare il software di monitoraggio OT.

Convalidare e visualizzare la configurazione dell'interfaccia di rete

Usare i comandi seguenti per convalidare e visualizzare la configurazione dell'interfaccia di rete corrente nel sensore OT.

User Comando Sintassi completa dei comandi
admin network validate Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Connettività di rete

Controllare la connettività di rete dal sensore OT

Usare i comandi seguenti per inviare un messaggio ping dal sensore OT.

User Comando Sintassi completa dei comandi
admin ping <IP address> Nessun attributo
cyberx o amministratore con accesso radice ping <IP address> Nessun attributo

In questi comandi è <IP address> l'indirizzo IP di un host di rete IPv4 valido accessibile dalla porta di gestione sul sensore OT.

Controllare il carico corrente dell'interfaccia di rete

Usare il comando seguente per visualizzare il traffico di rete e la larghezza di banda usando un test di sei secondi.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-nload Nessun attributo 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Controllare la connessione Internet

Usare il comando seguente per controllare la connettività Internet nell'appliance.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-internet-connectivity Nessun attributo 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Impostare il limite di larghezza di banda per l'interfaccia di rete di gestione

Usare il comando seguente per impostare il limite di larghezza di banda in uscita per i caricamenti dall'interfaccia di gestione del sensore OT alla portale di Azure o a una console di gestione locale.

L'impostazione dei limiti di larghezza di banda in uscita può essere utile per mantenere la qualità del servizio (QoS) di rete. Questo comando è supportato solo in ambienti con vincoli di larghezza di banda, ad esempio tramite un collegamento satellite o seriale.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

In questo comando:

  • -h o --help: mostra la sintassi della Guida del comando

  • --interface <INTERFACE VALUE>: interfaccia che si vuole limitare, ad esempio eth0

  • --limit <LIMIT VALUE>: limite da impostare, ad esempio 30kbit. Usare una delle unità seguenti:

    • kbps: Kilobyte al secondo
    • mbps: megabyte al secondo
    • kbit: Kilobit al secondo
    • mbit: Megabit al secondo
    • bps o un numero bare: byte al secondo

  • --clear: cancella tutte le impostazioni per l'interfaccia specificata

Ad esempio, per l'utente cyberx :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Interfacce fisiche

Individuare una porta fisica lampeggiando le luci dell'interfaccia

Usare il comando seguente per individuare un'interfaccia fisica specifica causando il lampeggiare delle luci dell'interfaccia.

User Comando Sintassi completa dei comandi
admin network blink <INT> Nessun attributo

In questo comando è <INT> una porta Ethernet fisica nell'appliance.

L'esempio seguente mostra l'utente amministratore che lampeggia l'interfaccia eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Elencare le interfacce fisiche connesse

Usare i comandi seguenti per elencare le interfacce fisiche connesse nel sensore OT.

User Comando Sintassi completa dei comandi
admin network list Nessun attributo
cyberx o amministratore con accesso radice ifconfig Nessun attributo

Ad esempio, per l'utente amministratore :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtri di acquisizione del traffico

Per ridurre l'affaticamento degli avvisi e concentrare il monitoraggio della rete sul traffico ad alta priorità, è possibile decidere di filtrare il traffico che trasmette in Defender per IoT all'origine. I filtri di acquisizione consentono di bloccare il traffico a larghezza di banda elevata a livello hardware, ottimizzando le prestazioni dell'appliance e l'utilizzo delle risorse.

Usa elenchi di inclusione/esclusione per creare e configurare filtri di acquisizione nei sensori di rete OT, assicurandoti di non bloccare il traffico che vuoi monitorare.

Il caso d'uso di base per i filtri di acquisizione usa lo stesso filtro per tutti i componenti di Defender per IoT. Tuttavia, per i casi d'uso avanzati, è possibile configurare filtri separati per ognuno dei componenti di Defender per IoT seguenti:

  • horizon: acquisisce i dati di ispezione approfondita dei pacchetti (DPI)
  • collector: acquisisce i dati PCAP
  • traffic-monitor: acquisisce le statistiche di comunicazione

Nota

  • I filtri di acquisizione non si applicano agli avvisi malware di Defender per IoT, che vengono attivati in tutto il traffico di rete rilevato.

  • Il comando di filtro di acquisizione ha un limite di lunghezza dei caratteri basato sulla complessità della definizione del filtro di acquisizione e sulle funzionalità disponibili della scheda di interfaccia di rete. Se il filtro richiesto ha esito negativo, provare a raggruppare le subnet in ambiti più grandi e a usare un comando di filtro di acquisizione più breve.

Creare un filtro di base per tutti i componenti

Il metodo usato per configurare un filtro di acquisizione di base varia a seconda dell'utente che esegue il comando:

  • utente cyberx : eseguire il comando specificato con attributi specifici per configurare il filtro di acquisizione.
  • utente amministratore : eseguire il comando specificato e quindi immettere i valori richiesti dall'interfaccia della riga di comando, modificando gli elenchi di inclusione ed esclusione in un nano editor.

Usare i comandi seguenti per creare un nuovo filtro di acquisizione:

User Comando Sintassi completa dei comandi
admin network capture-filter Nessun attributo.
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Gli attributi supportati per l'utente cyberx sono definiti come segue:

Attributo Descrizione
-h, --help Visualizza il messaggio della Guida ed esce.
-i <INCLUDE>, --include <INCLUDE> Percorso di un file che contiene i dispositivi e le subnet mask da includere, dove <INCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file.
-x EXCLUDE, --exclude EXCLUDE Percorso di un file che contiene i dispositivi e le subnet mask da escludere, dove <EXCLUDE> è il percorso del file. Ad esempio, vedere Esempio di inclusione o esclusione di file.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Esclude il traffico TCP su qualsiasi porta specificata, in cui <EXCLUDE_TCP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Esclude il traffico UDP su qualsiasi porta specificata, in cui <EXCLUDE_UDP_PORT> definisce la porta o le porte da escludere. Delimitare più porte in base a virgole, senza spazi.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Include il traffico TCP su qualsiasi porta specificata, in cui <INCLUDE_TCP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Include il traffico UDP su qualsiasi porta specificata, in cui <INCLUDE_UDP_PORT> definisce la porta o le porte da includere. Delimitare più porte in base a virgole, senza spazi.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Include il traffico VLAN in base agli ID VLAN specificati, <INCLUDE_VLAN_IDS> definisce l'ID VLAN o gli ID da includere. Delimitare più ID VLAN in base a virgole, senza spazi.
-p <PROGRAM>, --program <PROGRAM> Definisce il componente per il quale si vuole configurare un filtro di acquisizione. Usare all per i casi d'uso di base per creare un singolo filtro di acquisizione per tutti i componenti.

Per i casi d'uso avanzati, creare filtri di acquisizione separati per ogni componente. Per altre informazioni, vedere Creare un filtro avanzato per componenti specifici.
-m <MODE>, --mode <MODE> Definisce una modalità elenco di inclusione ed è rilevante solo quando viene usato un elenco di inclusione. Usare uno dei valori seguenti:

- internal: include tutte le comunicazioni tra l'origine e la destinazione specificate
- all-connected: include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni.

Ad esempio, per gli endpoint A e B, se si usa la internal modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B.
Tuttavia, se si usa la all-connected modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni.

Esempio di inclusione o esclusione di file

Ad esempio, un file con estensione txt di inclusione o esclusione può includere le voci seguenti:

192.168.50.10
172.20.248.1

Creare un filtro di acquisizione di base usando l'utente amministratore

Se si sta creando un filtro di acquisizione di base come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.

Rispondere alle richieste visualizzate nel modo seguente:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Selezionare questa opzione Y per aprire un nuovo file di inclusione, in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da includere nel traffico monitorato. Qualsiasi altro traffico, non elencato nel file di inclusione, non viene inserito in Defender per IoT.

    Il file di inclusione viene aperto nell'editor di testo Nano . Nel file di inclusione definire dispositivi, canali e subnet come indicato di seguito:

    Tipo Descrizione Esempio
    Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1 include tutto il traffico per questo dispositivo.
    Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2 include tutto il traffico per questo canale.
    Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1 include tutto il traffico per questa subnet.
    Canale subnet Definire gli indirizzi di rete del canale subnet per le subnet di origine e di destinazione. 1.1.1,2.2.2 include tutto il traffico tra queste subnet.

    Elencare più argomenti in righe separate.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Selezionare questa opzione Y per aprire un nuovo file di esclusione in cui è possibile aggiungere un dispositivo, un canale e/o una subnet da escludere dal traffico monitorato. Qualsiasi altro traffico, non elencato nel file di esclusione, viene inserito in Defender per IoT.

    Il file di esclusione viene aperto nell'editor di testo Nano . Nel file di esclusione definire dispositivi, canali e subnet come indicato di seguito:

    Tipo Descrizione Esempio
    Dispositivo Definire un dispositivo in base al relativo indirizzo IP. 1.1.1.1 esclude tutto il traffico per questo dispositivo.
    Canale Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione, separati da una virgola. 1.1.1.1,2.2.2.2 esclude tutto il traffico tra questi dispositivi.
    Canale per porta Definire un canale in base agli indirizzi IP dei dispositivi di origine e di destinazione e alla porta del traffico. 1.1.1.1,2.2.2.2,443 esclude tutto il traffico tra questi dispositivi e la porta specificata.
    Subnet Definire una subnet in base al relativo indirizzo di rete. 1.1.1 esclude tutto il traffico per questa subnet.
    Canale subnet Definire gli indirizzi di rete del canale subnet per le subnet di origine e di destinazione. 1.1.1,2.2.2 esclude tutto il traffico tra queste subnet.

    Elencare più argomenti in righe separate.

  3. Rispondere alle richieste seguenti per definire qualsiasi porta TCP o UDP da includere o escludere. Separare più porte in base alla virgola e premere INVIO per ignorare qualsiasi richiesta specifica.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Ad esempio, immettere più porte come indicato di seguito: 502,443

  4. In which component do you wish to apply this capture filter?

    Immettere all per un filtro di acquisizione di base. Per i casi d'uso avanzati, creare filtri di acquisizione per ogni componente Defender per IoT separatamente.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Questa richiesta consente di configurare il traffico nell'ambito. Definire se si vuole raccogliere il traffico in cui entrambi gli endpoint si trovano nell'ambito o solo uno di essi si trova nella subnet specificata. I valori supportati includono:

    • internal: include tutte le comunicazioni tra l'origine e la destinazione specificate
    • all-connected: include tutte le comunicazioni tra uno degli endpoint specificati e gli endpoint esterni.

    Ad esempio, per gli endpoint A e B, se si usa la internal modalità , il traffico incluso includerà solo le comunicazioni tra endpoint A e B.
    Tuttavia, se si usa la all-connected modalità , il traffico incluso includerà tutte le comunicazioni tra A o B e altri endpoint esterni.

    La modalità predefinita è internal. Per usare la all-connected modalità, selezionare Y al prompt e quindi immettere all-connected.

L'esempio seguente illustra una serie di richieste che creano un filtro di acquisizione per escludere subnet 192.168.x.x e porta 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Creare un filtro avanzato per componenti specifici

Quando si configurano filtri di acquisizione avanzati per componenti specifici, è possibile usare l'inclusione iniziale ed escludere i file come base o modello, il filtro di acquisizione. Configurare quindi filtri aggiuntivi per ogni componente sulla base in base in base.

Per creare un filtro di acquisizione per ogni componente, assicurarsi di ripetere l'intero processo per ogni componente.

Nota

Se sono stati creati filtri di acquisizione diversi per componenti diversi, la selezione della modalità viene usata per tutti i componenti. Definizione del filtro di acquisizione per un componente come internal e filtro di acquisizione per un altro componente all-connected non supportato.

User Comando Sintassi completa dei comandi
admin network capture-filter Nessun attributo.
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Gli attributi aggiuntivi seguenti vengono usati per l'utente cyberx per creare filtri di acquisizione per ogni componente separatamente:

Attributo Descrizione
-p <PROGRAM>, --program <PROGRAM> Definisce il componente per il quale si vuole configurare un filtro di acquisizione, in cui <PROGRAM> sono supportati i valori seguenti:
- traffic-monitor
- collector
- horizon
- all: crea un singolo filtro di acquisizione per tutti i componenti. Per altre informazioni, vedere Creare un filtro di base per tutti i componenti.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definisce un filtro di acquisizione di base per il horizon componente, dove <BASE_HORIZON> è il filtro da usare.
Valore predefinito = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definisce un filtro di acquisizione di base per il traffic-monitor componente.
Valore predefinito = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definisce un filtro di acquisizione di base per il collector componente.
Valore predefinito = ""

Altri valori di attributo hanno le stesse descrizioni del caso d'uso di base, descritto in precedenza.

Creare un filtro di acquisizione avanzata usando l'utente amministratore

Se si sta creando un filtro di acquisizione per ogni componente separatamente come utente amministratore , non vengono passati attributi nel comando originale. Viene invece visualizzata una serie di richieste che consentono di creare il filtro di acquisizione in modo interattivo.

La maggior parte delle richieste è identica al caso d'uso di base. Rispondere alle seguenti richieste aggiuntive come indicato di seguito:

  1. In which component do you wish to apply this capture filter?

    Immettere uno dei valori seguenti, a seconda del componente da filtrare:

    • horizon
    • traffic-monitor
    • collector

  2. Viene richiesto di configurare un filtro di acquisizione di base personalizzato per il componente selezionato. Questa opzione usa il filtro di acquisizione configurato nei passaggi precedenti come base o modello, in cui è possibile aggiungere configurazioni aggiuntive sopra la base.

    Ad esempio, se si è scelto di configurare un filtro di acquisizione per il collector componente nel passaggio precedente, viene richiesto di: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Immettere Y per personalizzare il modello per il componente specificato o N per usare il filtro di acquisizione configurato in precedenza così come è.

Continuare con le richieste rimanenti, come nel caso d'uso di base.

Elencare i filtri di acquisizione correnti per componenti specifici

Usare i comandi seguenti per visualizzare i dettagli sui filtri di acquisizione correnti configurati per il sensore.

User Comando Sintassi completa dei comandi
admin Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente:

- orizzonte: edit-config horizon_parser/horizon.properties
- monitoraggio del traffico: edit-config traffic_monitor/traffic-monitor
- agente di raccolta: edit-config dumpark.properties		 Nessun attributo
cyberx o amministratore con accesso radice Usare i comandi seguenti per visualizzare i filtri di acquisizione per ogni componente:

-orizzonte: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitoraggio del traffico: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- agente di raccolta: nano /var/cyberx/properties/dumpark.properties		 Nessun attributo

Questi comandi aprono i file seguenti, che elencano i filtri di acquisizione configurati per ogni componente:

Nome file Proprietà
Orizzonte /var/cyberx/properties/horizon.properties horizon.processor.filter
monitoraggio del traffico /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Collettore /var/cyberx/properties/dumpark.properties dumpark.network.filter

Ad esempio, con l'utente amministratore, con un filtro di acquisizione definito per il componente dell'agente di raccolta che esclude la subnet 192.168.x.x e la porta 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Reimpostare tutti i filtri di acquisizione

Usare il comando seguente per reimpostare il sensore alla configurazione di acquisizione predefinita con l'utente cyberx , rimuovendo tutti i filtri di acquisizione.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-capture-filter -p all -m all-connected Nessun attributo

Se si desidera modificare i filtri di acquisizione esistenti, eseguire di nuovo il comando precedente , con nuovi valori di attributo.

Per reimpostare tutti i filtri di acquisizione usando l'utente amministratore, eseguire di nuovo il comando precedente e rispondere N a tutti i prompt per reimpostare tutti i filtri di acquisizione.

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Avvisi

Attivare un avviso di test

Usare il comando seguente per testare la connettività e l'inoltro di avvisi dal sensore alle console di gestione, tra cui il portale di Azure, una console di gestione locale di Defender per IoT o una soluzione SIEM di terze parti.

User Comando Sintassi completa dei comandi
cyberx o amministratore con accesso radice cyberx-xsense-trigger-test-alert Nessun attributo

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente cyberx :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Regole di esclusione degli avvisi da un sensore OT

I comandi seguenti supportano le funzionalità di esclusione degli avvisi nel sensore OT, tra cui la visualizzazione delle regole di esclusione correnti, l'aggiunta e la modifica di regole e l'eliminazione di regole.

Nota

Le regole di esclusione degli avvisi definite in un sensore OT possono essere sovrascritte dalle regole di esclusione degli avvisi definite nella console di gestione locale.

Mostra le regole di esclusione degli avvisi correnti

Usare il comando seguente per visualizzare un elenco delle regole di esclusione attualmente configurate.

User Comando Sintassi completa dei comandi
admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o amministratore con accesso radice alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Creare una nuova regola di esclusione degli avvisi

Usare i comandi seguenti per creare una regola di esclusione degli avvisi locale nel sensore.

User Comando Sintassi completa dei comandi
admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o amministratore con accesso radice cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Gli attributi supportati sono definiti come segue:

Attributo Descrizione
-h, --help Visualizza il messaggio della Guida ed esce.
[-n <NAME>], [--name <NAME>] Definire il nome della regola.
[-ts <TIMES>] [--time_span <TIMES>] Definisce l'intervallo di tempo per il quale la regola è attiva, usando la sintassi seguente: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direzione dell'indirizzo da escludere. Usare uno dei valori seguenti: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Indirizzi del dispositivo o tipi di indirizzi da escludere usando la sintassi seguente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomi di avviso da escludere, in base al valore esadecimale. Ad esempio: 0x00000, 0x000001

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Modificare una regola di esclusione degli avvisi

Usare i comandi seguenti per modificare una regola di esclusione degli avvisi locali esistente nel sensore.

User Comando Sintassi completa dei comandi
admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o amministratore con accesso radice exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Gli attributi supportati sono definiti come segue:

Attributo Descrizione
-h, --help Visualizza il messaggio della Guida ed esce.
[-n <NAME>], [--name <NAME>] Nome della regola da modificare.
[-ts <TIMES>] [--time_span <TIMES>] Definisce l'intervallo di tempo per il quale la regola è attiva, usando la sintassi seguente: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direzione dell'indirizzo da escludere. Usare uno dei valori seguenti: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Indirizzi del dispositivo o tipi di indirizzi da escludere usando la sintassi seguente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomi di avviso da escludere, in base al valore esadecimale. Ad esempio: 0x00000, 0x000001

Usare la sintassi di comando seguente con l'utente amministratore :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Eliminare una regola di esclusione degli avvisi

Usare i comandi seguenti per eliminare una regola di esclusione degli avvisi locali esistente nel sensore.

User Comando Sintassi completa dei comandi
admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx o amministratore con accesso radice exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Gli attributi supportati sono definiti come segue:

Attributo Descrizione
-h, --help Visualizza il messaggio della Guida ed esce.
[-n <NAME>], [--name <NAME>] Nome della regola da eliminare.
[-ts <TIMES>] [--time_span <TIMES>] Definisce l'intervallo di tempo per il quale la regola è attiva, usando la sintassi seguente: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direzione dell'indirizzo da escludere. Usare uno dei valori seguenti: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Indirizzi del dispositivo o tipi di indirizzi da escludere usando la sintassi seguente: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomi di avviso da escludere, in base al valore esadecimale. Ad esempio: 0x00000, 0x000001

L'esempio seguente illustra la sintassi e la risposta del comando per l'utente amministratore :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Passaggi successivi

Altre informazioni sui comandi dell'interfaccia della riga di comando di Defender per IoT