この記事では、Defender for IoT OT ネットワーク センサーから使用できる CLI コマンドの一覧を示します。
注意事項
顧客の構成では、OT ネットワーク センサーの文書化された構成パラメーターのみがサポートされます。 変更によって予期しない動作やシステム エラーが発生する可能性があるため、文書化されていない構成パラメーターやシステム プロパティは変更しないでください。
Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が発生する可能性があります。 センサーにインストールされているすべてのパッケージは、正しいセンサー機能に必要です。
[前提条件]
次の CLI コマンドのいずれかを実行する前に、特権ユーザーとして OT ネットワーク センサーの CLI にアクセスする必要があります。
この記事では、各ユーザーのコマンド構文を一覧表示しますが、admin ユーザーがサポートされているすべての CLI コマンドで admin ユーザーを使用することをお勧めします。
詳細については、「 CLI へのアクセス 」および 「OT 監視のための特権ユーザー アクセス」を参照してください。
使用可能なコマンドのリスト
| カテゴリ | コマンド |
|---|---|
| 設定 | 設定 |
| システム | バックアップ 日付 ホスト名 ntp パスワード reboot サニティ shell shutdown syslog version |
| ネットワーク | blink capture-filter list ping reconfigure statistics validate |
カテゴリ内のコマンドを一覧表示する
カテゴリ内のコマンドを一覧表示するには、「 help」と入力します。 例えば次が挙げられます。
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
シェル・レベルおよびカテゴリー・レベルのコマンド
コマンドは、シェル・レベルまたはカテゴリー・レベルで入力できます。
シェル・レベルでは、 <category><command><parameter>と入力します。
または、 <category> を入力して Enter キーを押します。 シェルがカテゴリ名に変更され、「 <command><parameter>」と入力します。 例えば次が挙げられます。
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
アプライアンスのメンテナンス
OT 監視サービスの正常性を確認する
次のコマンドを使用して、OT センサー上の Defender for IoT アプリケーション (Web コンソールやトラフィック分析プロセスなど) が正しく動作していることを確認します。
ヘルスチェックは、OT センサーコンソールからも利用できます。 詳細については、「センサーのトラブルシューティングを行う」を参照してください。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system sanity |
属性なし |
| CyberX、またはルートアクセス権を持つ管理者 | cyberx-xsense-sanity |
属性なし |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
アプライアンスの再起動
次のコマンドを使用して、OT センサー アプライアンスを再起動します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system reboot |
属性なし |
| cyberx_host、またはrootアクセス権を持つ管理者 | sudo reboot |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system reboot
アプライアンスのシャットダウン
次のコマンドを使用して、OT センサー アプライアンスをシャットダウンします。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system shutdown |
属性なし |
| cyberx_host、またはrootアクセス権を持つ管理者 | sudo shutdown -r now |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system shutdown
インストールされているソフトウェアのバージョンを表示する
次のコマンドを使用して、OT センサーにインストールされている Defender for IoT ソフトウェアのバージョンを一覧表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system version |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | cyberx-xsense-version |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system version
Version: 22.2.5.9-r-2121448
現在のシステムの日付/時刻を表示する
次のコマンドを使用して、OTネットワークセンサーの現在のシステムの日付と時刻をGMT形式で表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system date |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | date |
属性なし |
| cyberx_host、またはrootアクセス権を持つ管理者 | date |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
NTP時刻同期をオンにする
次のコマンドを使用して、アプライアンス時刻と NTP サーバーとの同期をオンにします。
これらのコマンドを使用するには、次のことを確認してください。
- NTP サーバには、アプライアンス管理ポートからアクセスできます
- 同じ NTP サーバを使用して、すべてのセンサー アプライアンスを同期します
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system ntp enable <IP address> |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | cyberx-xsense-ntp-enable <IP address> |
属性なし |
これらのコマンドでは、ポート 123 を使用する有効な IPv4 NTP サーバの IP アドレスが <IP address> です。
たとえば、 admin ユーザーの場合は次のようになります。
shell> system ntp enable 129.6.15.28
NTP時刻同期をオフにする
次のコマンドを使用して、アプライアンス時刻の NTP サーバーとの同期をオフにします。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system ntp disable <IP address> |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | cyberx-xsense-ntp-disable <IP address> |
属性なし |
これらのコマンドでは、ポート 123 を使用する有効な IPv4 NTP サーバの IP アドレスが <IP address> です。
たとえば、 admin ユーザーの場合は次のようになります。
shell> system ntp disable 129.6.15.28
バックアップと復元
次のセクションでは、OT ネットワーク センサーのシステム スナップショットのバックアップと復元でサポートされている CLI コマンドについて説明します。
バックアップ ファイルには、構成設定、ベースライン値、インベントリ データ、ログなど、センサーの状態の完全なスナップショットが含まれます。
注意事項
システムのバックアップまたは復元操作を中断すると、システムが使用できなくなる可能性があるため、中断しないでください。
スケジュールされていない即時バックアップの開始
次のコマンドを使用して、OT センサー上のデータのスケジュールされていないバックアップを直ちに開始します。 詳細については、「バックアップおよび復元ファイル設定する」を参照してください。
注意事項
データのバックアップ中は、アプライアンスを停止したり、電源を切ったりしないように注意してください。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system backup create |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | cyberx-xsense-system-backup |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
現在のバックアップ ファイルを一覧表示する
次のコマンドを使用して、OTネットワークセンサーに現在保存されているバックアップファイルを一覧表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system backup list |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | cyberx-xsense-system-backup-list |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
最新のバックアップからデータを復元する
次のコマンドを使用して、最新のバックアップ ファイルを使用して OT ネットワーク センサー上のデータを復元します。 プロンプトが表示されたら、続行することを確認します。
注意事項
データの復元中にアプライアンスを停止したり、電源を切ったりしないようにしてください。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system restore |
属性なし |
| CyberX、またはルートアクセス権を持つ管理者 | cyberx-xsense-system-restore |
-f
<filename>
|
たとえば、 admin ユーザーの場合は次のようになります。
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
バックアップ・ディスク・スペースの割り当ての表示
次のコマンドは、現在のバックアップ ディスク領域の割り当てを、次の詳細を含むリストします。
- バックアップフォルダの場所
- バックアップフォルダのサイズ
- バックアップフォルダの制限
- 最後のバックアップ操作時刻
- バックアップに使用可能な空きディスク容量
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | cyberx-backup-memory-check |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
ローカル ユーザー管理
ローカル・ユーザー・パスワードの変更
次のコマンドを使用して、OTセンサーのローカルユーザーのパスワードを変更します。 新しいパスワードは8文字以上で、小文字と大文字、英字、数字、記号を含める必要があります。
管理者のパスワードを変更すると、SSH アクセスと Web アクセスの両方のパスワードが変更されます。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | system password |
<username> |
次の例は、 admin ユーザーがパスワードを変更する方法を示しています。 新しいパスワードを入力しても画面に表示されないため、書き込んでメモを取り、パスワードの再入力を求められたときに正しく入力されていることを確認してください。
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
ネットワーク構成
ネットワーク構成の変更またはネットワーク・インタフェースの役割の再割り当て
次のコマンドを使用して、OT 監視ソフトウェア構成ウィザードを再実行します。これにより、次の OT センサー設定を定義または再構成できます。
- SPAN モニタリング インターフェイスの有効化/無効化
- 管理インターフェイスのネットワーク設定(IP、サブネット、デフォルトゲートウェイ、DNS)を構成する
- バックアップディレクトリの割り当て
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network reconfigure |
属性なし |
| サイバーX | python3 -m cyberx.config.configure |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> network reconfigure
このコマンドを実行すると、構成ウィザードが自動的に開始されます。 詳細については、OT 監視ソフトウェアのインストールに関する記事を参照してください。
ネットワーク インターフェイスの構成を検証して表示する
次のコマンドを使用して、OT センサーの現在のネットワーク インターフェイス構成を検証して表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network validate |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
OTセンサーからネットワーク接続を確認します
次のコマンドを使用して、OT センサーから ping メッセージを送信します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | ping <IP address> |
属性なし |
| cyberx、またはrootアクセス権を持つ管理者 | ping <IP address> |
属性なし |
これらのコマンドでは、OT センサーの管理ポートからアクセス可能な有効な IPv4 ネットワーク ホストの IP アドレスが <IP address> されます。
インターフェイス ライトの点滅による物理ポートの位置特定
次のコマンドを使用して、インターフェイス ライトを点滅させることで、特定の物理インターフェイスを特定します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network blink <INT> |
属性なし |
このコマンドでは、 <INT> はアプライアンスの物理イーサネット ポートです。
次の例は、 admin ユーザーが eth0 インターフェースを点滅させているところを示しています。
shell> network blink eth0
Blinking interface for 20 seconds ...
接続されている物理インターフェイスを一覧表示する
次のコマンドを使用して、OT センサーに接続されている物理インターフェイスを一覧表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network list |
属性なし |
| CyberX、またはルートアクセス権を持つ管理者 | ifconfig |
属性なし |
たとえば、 admin ユーザーの場合は次のようになります。
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
トラフィック キャプチャ フィルタ
アラート疲れを軽減し、優先度の高いトラフィックにネットワーク監視を集中するには、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することができます。 キャプチャフィルターを使用すると、ハードウェアレイヤーで高帯域幅のトラフィックをブロックし、アプライアンスのパフォーマンスとリソース使用量の両方を最適化できます。
包含リスト/または除外リストを使用して、OTネットワークセンサーのキャプチャフィルターを作成および構成し、監視するトラフィックをブロックしないようにします。
キャプチャ フィルターの基本的なユース ケースでは、すべての Defender for IoT コンポーネントに同じフィルターを使用します。 ただし、高度なユース ケースでは、次の Defender for IoT コンポーネントごとに個別のフィルターを構成することができます。
-
horizon: ディープ パケット インスペクション (DPI) データをキャプチャします -
collector: PCAP データをキャプチャします。 -
traffic-monitor: 通信統計をキャプチャ
注
キャプチャ フィルターは、検出されたすべてのネットワーク トラフィックに対してトリガーされる Defender for IoT マルウェア アラートには適用されません。
キャプチャ フィルター コマンドには、キャプチャ フィルター定義の複雑さと使用可能なネットワーク インターフェイス カード機能に基づく文字長の制限があります。 リクエストしたフィルターコマンドが失敗した場合は、サブネットをより大きなスコープにグループ化し、より短いキャプチャフィルターコマンドを使用してみてください。
すべてのコンポーネントの基本フィルターを作成する
基本的なキャプチャ フィルタの設定方法の使用方法は、コマンドを実行するユーザによって異なります。
- cyberx ユーザー: 特定の属性を指定して指定したコマンドを実行し、キャプチャ フィルターを構成します。
- admin user: 指定したコマンドを実行し、 CLI の指示に従って値を入力し、nano エディターで含めるリストと除外リストを編集します。
次のコマンドを使用して、新しいキャプチャ フィルターを作成します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network capture-filter |
属性はありません。 |
| CyberX、またはルートアクセス権を持つ管理者 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
cyberx ユーザーでサポートされている属性は、次のように定義されます。
| 特性 | 説明 |
|---|---|
-h、--help |
ヘルプ メッセージを表示して終了します。 |
-i <INCLUDE>、--include <INCLUDE> |
含めるデバイスとサブネット・マスクを含むファイルへのパス。 <INCLUDE> はファイルへのパスです。 たとえば、 サンプルのインクルード ファイルまたは除外ファイルを参照してください。 |
-x EXCLUDE、--exclude EXCLUDE |
除外するデバイスとサブネット マスクを含むファイルへのパス ( <EXCLUDE> はファイルへのパス)。 たとえば、 サンプルのインクルード ファイルまたは除外ファイルを参照してください。 |
-
-etp <EXCLUDE_TCP_PORT>、--exclude-tcp-port <EXCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを除外します。この場合、除外するポートは <EXCLUDE_TCP_PORT> で定義されています。 複数のポートはカンマで区切り、スペースは使用しないでください。 |
-eup <EXCLUDE_UDP_PORT>、--exclude-udp-port <EXCLUDE_UDP_PORT> |
指定したポートの UDP トラフィックを除外します。この場合、 <EXCLUDE_UDP_PORT> で除外するポートが定義されています。 複数のポートはカンマで区切り、スペースは使用しないでください。 |
-itp <INCLUDE_TCP_PORT>、--include-tcp-port <INCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを含めます。この場合、含めるポートは <INCLUDE_TCP_PORT> で定義されています。 複数のポートはカンマで区切り、スペースは使用しないでください。 |
-iup <INCLUDE_UDP_PORT>、--include-udp-port <INCLUDE_UDP_PORT> |
指定したポートに UDP トラフィックを含めます。この場合、含めるポートは THE <INCLUDE_UDP_PORT> で定義されます。 複数のポートはカンマで区切り、スペースは使用しないでください。 |
-vlan <INCLUDE_VLAN_IDS>、--include-vlan-ids <INCLUDE_VLAN_IDS> |
指定した VLAN ID による VLAN トラフィックを含め <INCLUDE_VLAN_IDS> 、含める VLAN ID を定義します。 複数の VLAN ID はカンマで区切り、スペースは使用しないでください。 |
-p <PROGRAM>、--program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。 基本的なユースケースでは all を使用して、すべてのコンポーネントに対して 1 つのキャプチャフィルターを作成します。 高度なユースケースでは、コンポーネントごとに個別のキャプチャフィルターを作成します。 詳細については、「 特定のコンポーネントの高度なフィルターを作成する」を参照してください。 |
-m <MODE>、--mode <MODE> |
インクルード・リスト・モードを定義し、インクルード・リストが使用される場合にのみ関連します。 次のいずれかの値を使用します。 - internal: 指定した送信元と送信先の間のすべての通信が含まれます - all-connected: 指定したエンドポイントのいずれかと外部エンドポイントとの間のすべての通信が含まれます。 たとえば、エンドポイント A と B で internal モードを使用すると、含まれるトラフィックにはエンドポイント A と B 間の通信のみが含まれます。 ただし、 all-connected モードを使用する場合、含まれるトラフィックには、A または B と他の外部エンドポイントとの間のすべての通信が含まれます。 |
たとえば、インクルード ファイルまたは除外 .txt ファイルには、次のエントリが含まれる場合があります。
192.168.50.10
172.20.248.1
admin ユーザーを使用して基本的なキャプチャ フィルターを作成します
admin ユーザーとして基本的なキャプチャ フィルターを作成している場合、元のコマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話形式で作成するのに役立つ一連のプロンプトが表示されます。
表示されたプロンプトに対して、次のように返信します。
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:[
Y] を選択して新しいインクルード ファイルを開き、監視対象のトラフィックに含めるデバイス、チャネル、サブネットを追加できます。 インクルード ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれません。インクルードファイルは Nano テキストエディタで開きます。 インクルードファイルで、デバイス、チャネル、およびサブネットを次のように定義します。
タイプ 説明 例 デバイス デバイスを IP アドレスで定義します。 1.1.1.1このデバイスのすべてのトラフィックが含まれます。チャネル チャネルは、送信元デバイスと宛先デバイスの IP アドレスをカンマで区切って定義します。 1.1.1.1,2.2.2.2このチャネルのすべてのトラフィックが含まれます。サブネット サブネットをネットワークアドレスで定義します。 1.1.1このサブネットのすべてのトラフィックが含まれます。複数の引数を別々の行にリストします。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:[
Y] を選択すると、新しい除外ファイルが開き、監視対象のトラフィックから除外するデバイス、チャネル、サブネットを追加できます。 除外ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれます。除外ファイルは Nano テキストエディタで開きます。 除外ファイルで、デバイス、チャネル、およびサブネットを次のように定義します。
タイプ 説明 例 デバイス デバイスを IP アドレスで定義します。 1.1.1.1このデバイスのすべてのトラフィックを除外します。チャネル チャネルは、送信元デバイスと宛先デバイスの IP アドレスをカンマで区切って定義します。 1.1.1.1,2.2.2.2これらのデバイス間のすべてのトラフィックを除外します。ポートごとのチャネル チャネルは、送信元デバイスと宛先デバイスの IP アドレス、およびトラフィック ポートで定義します。 1.1.1.1,2.2.2.2,443これらのデバイス間および指定されたポートを使用するすべてのトラフィックを除外します。サブネット サブネットをネットワークアドレスで定義します。 1.1.1このサブネットのすべてのトラフィックを除外します。サブネット チャネル ソース・サブネットと宛先サブネットのサブネット・チャネル・ネットワーク・アドレスを定義します。 1.1.1,2.2.2これらのサブネット間のすべてのトラフィックを除外します。複数の引数を別々の行にリストします。
次のプロンプトに返信して、含めるまたは除外するTCPポートまたはUDPポートを定義します。 複数のポートをカンマで区切り、Enter キーを押して特定のプロンプトをスキップします。
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
たとえば、次のように複数のポートを入力します。
502,443In which component do you wish to apply this capture filter?基本的なキャプチャ フィルターに
allを入力します。 高度なユース ケースでは、Defender for IoT コンポーネントごとにキャプチャ フィルターを個別に作成します。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:このプロンプトでは、スコープ内のトラフィックを構成できます。 両方のエンドポイントがスコープ内にあるトラフィックを収集するか、指定したサブネット内に 1 つのエンドポイントのみがトラフィックのどちらを収集するかを定義します。 サポートされている値は次のとおりです。
-
internal: 指定した送信元と送信先の間のすべての通信が含まれます -
all-connected: 指定したエンドポイントのいずれかと外部エンドポイントとの間のすべての通信が含まれます。
たとえば、エンドポイント A と B で
internalモードを使用すると、含まれるトラフィックにはエンドポイント A と B 間の通信のみが含まれます。
ただし、all-connectedモードを使用する場合、含まれるトラフィックには、A または B と他の外部エンドポイントとの間のすべての通信が含まれます。既定のモードは
internalです。all-connectedモードを使用するには、プロンプトで「Y」を選択し、「all-connected」と入力します。-
次の例は、サブネット 192.168.x.x とポートを除外するキャプチャ フィルタを作成する一連のプロンプトを示しています 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
特定のコンポーネントに対する高度なフィルターの作成
特定のコンポーネントに対して高度なキャプチャ フィルタを設定する場合は、最初のインクルード ファイルと除外ファイルをベース (テンプレート) キャプチャ フィルタとして使用できます。 次に、必要に応じて、ベースの上にある各コンポーネントに追加のフィルターを構成します。
各コンポーネントのキャプチャ フィルターを作成するには、コンポーネントごとにプロセス全体を繰り返すようにしてください。
注
コンポーネントごとに異なるキャプチャ フィルターを作成した場合、モード選択はすべてのコンポーネントに使用されます。 1 つのコンポーネントのキャプチャ フィルターを internal として定義し、別のコンポーネントのキャプチャ フィルターを all-connected として定義することはサポートされていません。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | network capture-filter |
属性はありません。 |
| CyberX、またはルートアクセス権を持つ管理者 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
次の追加属性は、 cyberx ユーザーが各コンポーネントのキャプチャ フィルターを個別に作成するために使用されます。
| 特性 | 説明 |
|---|---|
-p <PROGRAM>、--program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。ここで、 <PROGRAM> には次のサポートされている値があります。 - traffic-monitor - collector - horizon - all: すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成します。 詳細については、「 すべてのコンポーネントの基本フィルターを作成する」を参照してください。 |
-o <BASE_HORIZON>、--base-horizon <BASE_HORIZON> |
horizon コンポーネントのベース キャプチャ フィルターを定義します。ここで、<BASE_HORIZON> は使用するフィルターです。 デフォルト値 = "" |
-s BASE_TRAFFIC_MONITOR、--base-traffic-monitor BASE_TRAFFIC_MONITOR |
traffic-monitorコンポーネントの基本キャプチャ フィルターを定義します。 デフォルト値 = "" |
-c BASE_COLLECTOR、--base-collector BASE_COLLECTOR |
collectorコンポーネントの基本キャプチャ フィルターを定義します。 デフォルト値 = "" |
その他の属性値の説明は、 前に説明した基本的なユースケースと同じです。
admin ユーザーを使用して高度なキャプチャ フィルターを作成する
admin ユーザーとして各コンポーネントのキャプチャ フィルターを個別に作成している場合、元のコマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話形式で作成するのに役立つ一連のプロンプトが表示されます。
ほとんどのプロンプトは 、基本的なユースケースと同じです。 次の追加のプロンプトに次のように返信します。
In which component do you wish to apply this capture filter?フィルタリングするコンポーネントに応じて、次のいずれかの値を入力します。
horizontraffic-monitorcollector
選択したコンポーネントのカスタムベースキャプチャフィルターを設定するように求められます。 このオプションでは、前の手順で構成したキャプチャ フィルターをベース (テンプレート) として使用し、ベースの上に追加の構成を追加できます。
たとえば、前の手順で
collectorコンポーネントのキャプチャ フィルターを構成することを選択した場合は、次のメッセージが表示されます。Would you like to supply a custom base capture filter for the collector component? [Y/N]:「
Y」と入力して指定したコンポーネントのテンプレートをカスタマイズするか、N前に設定したキャプチャフィルターをそのまま使用するかを入力します。
基本的なユースケースと同様に、残りのプロンプトを続行します。
特定のコンポーネントの現在のキャプチャ フィルターを一覧表示する
次のコマンドを使用して、センサーに構成されている現在のキャプチャ フィルターの詳細を表示します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| 管理者 | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - ホライゾン: edit-config horizon_parser/horizon.properties - トラフィックモニター: edit-config traffic_monitor/traffic-monitor - コレクター: edit-config dumpark.properties |
属性なし |
| CyberX、またはルートアクセス権を持つ管理者 | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - ホライゾン: nano /var/cyberx/properties/horizon_parser/horizon.properties - トラフィックモニター: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - コレクター: nano /var/cyberx/properties/dumpark.properties |
属性なし |
これらのコマンドは、各コンポーネントに設定されたキャプチャフィルターを一覧表示する次のファイルを開きます。
| 名前 | ファイル | プロパティ |
|---|---|---|
| 地平線 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| トラフィックモニター | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| 収集家 | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
たとえば、 admin ユーザーの場合、サブネット 192.168.x.x とポート 9000 を除外する コレクター コンポーネントに対してキャプチャ フィルターが定義されているとします。
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
すべてのキャプチャ フィルターをリセット
次のコマンドを使用して、 cyberx ユーザーを使用してセンサーをデフォルトのキャプチャ構成にリセットし、すべてのキャプチャフィルターを削除します。
| ユーザー | コマンド | 完全なコマンド構文 |
|---|---|---|
| CyberX、またはルートアクセス権を持つ管理者 | cyberx-xsense-capture-filter -p all -m all-connected |
属性なし |
既存のキャプチャ フィルターを変更する場合は、新しい属性値を使用して 、前の コマンドを再度実行します。
admin ユーザーを使用してすべてのキャプチャ フィルタをリセットするには、前のコマンドを再度実行し、すべてのプロンプトに N応答してすべてのキャプチャ フィルタをリセットします。
次の例は、 cyberx ユーザーのコマンド構文と応答を示しています。
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#