Share via

OT 네트워크 센서의 CLI 명령 참조

  • 아티클

이 문서에서는 Defender for IoT OT 네트워크 센서에서 사용할 수 있는 CLI 명령을 나열합니다.

주의

OT 네트워크 센서 및 온-프레미스 관리 콘솔에 문서화된 구성 매개 변수만 고객 구성을 지원합니다. 문서화되지 않은 구성 매개 변수 또는 시스템 속성을 변경하지 마세요. 변경하면 예기치 않은 동작 및 시스템 오류가 발생할 수 있습니다.

Microsoft 승인 없이 센서에서 패키지를 제거하면 예기치 않은 결과가 발생할 수 있습니다. 올바른 센서 기능을 위해서는 센서에 설치된 모든 패키지가 필요합니다.

필수 조건

다음 CLI 명령을 실행하려면 OT 네트워크 센서의 CLI에 권한 있는 사용자로 액세스해야 합니다.

이 문서에서는 각 사용자에 대한 명령 구문을 나열하지만 관리자 사용자가 지원되는 모든 CLI 명령에 대해 관리자 사용자를 사용하는 것이 좋습니다.

이전 버전의 센서 소프트웨어를 사용하는 경우 레거시 지원 사용자에 액세스할 수 있습니다. 이러한 경우 관리 사용자에 대해 지원되는 것으로 나열된 명령은 레거시 지원 사용자에 대해 지원됩니다.

자세한 내용은 OT 모니터링에 대한 CLI권한 있는 사용자 액세스 액세스를 참조하세요.

어플라이언스 기본 테넌트

OT 모니터링 서비스 상태 확인

다음 명령을 사용하여 웹 콘솔 및 트래픽 분석 프로세스를 포함하여 OT 센서의 Defender for IoT 애플리케이션이 제대로 작동하는지 확인합니다.

상태 검사 OT 센서 콘솔에서도 사용할 수 있습니다. 자세한 내용은 센서 문제 해결을 참조하세요.

사용자 명령 전체 명령 구문
admin system sanity 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-sanity 특성 없음

다음 예제에서는 관리 사용자에 대한 명령 구문 및 응답을 보여 있습니다.

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

다시 시작 및 종료

어플라이언스 다시 시작

다음 명령을 사용하여 OT 센서 어플라이언스 다시 시작합니다.

사용자 명령 전체 명령 구문
admin system reboot 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 sudo reboot 특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자 sudo reboot 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: system reboot

어플라이언스 종료

다음 명령을 사용하여 OT 센서 어플라이언스 종료합니다.

사용자 명령 전체 명령 구문
admin system shutdown 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 sudo shutdown -r now 특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자 sudo shutdown -r now 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: system shutdown

소프트웨어 버전

설치된 소프트웨어 버전 표시

다음 명령을 사용하여 OT 센서에 설치된 Defender for IoT 소프트웨어 버전을 나열합니다.

사용자 명령 전체 명령 구문
admin system version 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-version 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: system version
Version: 22.2.5.9-r-2121448

CLI에서 센서 소프트웨어 업데이트

자세한 내용은 센서 업데이트를 참조 하세요.

날짜, 시간 및 NTP

현재 시스템 날짜/시간 표시

다음 명령을 사용하여 OT 네트워크 센서의 현재 시스템 날짜 및 시간을 GMT 형식으로 표시합니다.

사용자 명령 전체 명령 구문
admin date 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 date 특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자 date 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

NTP 시간 동기화 켜기

다음 명령을 사용하여 NTP 서버와 어플라이언스 시간 동안 동기화를 켭니다.

이러한 명령을 사용하려면 다음을 확인합니다.

  • 어플라이언스 관리 포트에서 NTP 서버에 연결할 수 있습니다.
  • 동일한 NTP 서버를 사용하여 모든 센서 어플라이언스 및 온-프레미스 관리 콘솔 동기화합니다.
사용자 명령 전체 명령 구문
admin ntp enable <IP address> 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-ntp-enable <IP address> 특성 없음

이러한 명령 <IP address> 에서 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.

예를 들어 관리 사용자의 경우:

root@xsense: ntp enable 129.6.15.28
root@xsense:

NTP 시간 동기화 끄기

다음 명령을 사용하여 NTP 서버와의 어플라이언스 시간 동안 동기화를 해제합니다.

사용자 명령 전체 명령 구문
admin ntp disable <IP address> 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-ntp-disable <IP address> 특성 없음

이러한 명령 <IP address> 에서 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.

예를 들어 관리 사용자의 경우:

root@xsense: ntp disable 129.6.15.28
root@xsense:

백업 및 복원

다음 섹션에서는 OT 네트워크 센서의 시스템 스냅샷 백업 및 복원하는 데 지원되는 CLI 명령에 대해 설명합니다.

백업 파일에는 구성 설정, 기준 값, 인벤토리 데이터 및 로그를 포함하여 센서 상태의 전체 스냅샷 포함됩니다.

주의

시스템 백업 또는 복원 작업을 중단하지 마세요. 이로 인해 시스템을 사용할 수 없게 될 수 있습니다.

현재 백업 파일 나열

다음 명령을 사용하여 현재 OT 네트워크 센서에 저장된 백업 파일을 나열합니다.

사용자 명령 전체 명령 구문
admin system backup-list 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-system-backup-list 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

예정되지 않은 백업 즉시 시작

다음 명령을 사용하여 OT 센서에서 예약되지 않은 즉시 데이터 백업을 시작합니다. 자세한 내용은 백업 및 복원 파일 설정을 참조하세요.

주의

데이터를 백업하는 동안 어플라이언스 중지하거나 전원을 끄지 않도록 합니다.

사용자 명령 전체 명령 구문
admin system backup 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-system-backup 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

가장 최근의 백업에서 복원

다음 명령을 사용하여 최신 백업 파일을 사용하여 OT 네트워크 센서의 데이터를 복원합니다. 메시지가 표시되면 계속 진행할지 확인합니다.

주의

데이터를 복원하는 동안 어플라이언스 중지하거나 전원을 끄지 않도록 합니다.

사용자 명령 전체 명령 구문
admin system restore 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-system-restore -f <filename>

예를 들어 관리 사용자의 경우:

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

백업 디스크 공간 할당 표시

다음 명령은 다음 세부 정보를 포함하여 현재 백업 디스크 공간 할당을 나열합니다.

  • 백업 폴더 위치
  • 백업 폴더 크기
  • 백업 폴더 제한 사항
  • 마지막 백업 작업 시간
  • 백업에 사용할 수 있는 사용 가능한 디스크 공간
사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-backup-memory-check 특성 없음

예를 들어 cyberx 사용자의 경우:

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

TLS/SSL 인증서

TLS/SSL 인증서를 OT 센서로 가져오기

다음 명령을 사용하여 CLI에서 센서로 TLS/SSL 인증서를 가져옵니다.

이 명령을 사용하려면 다음을 수행합니다.

  • 가져올 인증서 파일을 어플라이언스 읽을 수 있는지 확인합니다. WinSCP 또는 Wget과 같은 도구를 사용하여 어플라이언스 인증서 파일을 업로드합니다.
  • 인증서에 표시되는 어플라이언스 기본 DNS 서버 및 해당 IP 주소에 대해 올바른지 IT 사무실에 확인합니다.

자세한 내용은 CA 서명 인증서 준비 및 OT 어플라이언스 SSL/TLS 인증서 만들기를 참조하세요.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]'

이 명령에서 다음이 적용됩니다.

  • -h: 전체 명령 도움말 구문을 표시합니다.

  • --crt: 확장명 사용으로 업로드할 인증서 파일의 경로입니다 .crt .

  • --key\*.key: 인증서에 사용할 파일입니다. 키 길이는 최소 2,048비트여야 합니다.

  • --chain: 인증서 체인 파일의 경로입니다. 선택 사항.

  • --pass: 인증서를 암호화하는 데 사용되는 암호입니다. 선택 사항.

    다음 문자는 암호를 사용하여 키 또는 인증서를 만드는 데 지원됩니다.

    • A-z, A-Z, 0-9를 포함한 ASCII 문자
    • 다음 특수 문자: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: 사용되지 않고 기본적으로 False설정합니다. 이전 인증서와 함께 제공된 암호를 사용하려면 True 로 설정합니다. 선택 사항.

예를 들어 cyberx 사용자의 경우:

root@xsense:/# cyberx-xsense-certificate-import

기본 자체 서명된 인증서 복원

다음 명령을 사용하여 센서 어플라이언스 기본 자체 서명된 인증서를 복원합니다. 이 작업은 프로덕션 환경이 아닌 문제 해결에만 사용하는 것이 좋습니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-create-self-signed-certificate 특성 없음

예를 들어 cyberx 사용자의 경우:

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

로컬 사용자 관리

로컬 사용자 암호 변경

다음 명령을 사용하여 OT 센서에서 로컬 사용자의 암호를 변경합니다.

관리자, cyberx 또는 cyberx_host 사용자의 암호를 변경하면 SSH 및 웹 액세스 모두에 대해 암호가 변경됩니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host 또는 루트 액세스 권한이 있는 관리자 passwd 특성 없음

다음 예제에서는 관리자 사용자의 암호를 다음으로 재설정하는 cyberx 사용자를 보여 드립니다jI8iD9kE6hB8qN0h.

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

다음 예제에서는 cyberx_host 사용자의 암호를 변경하는 cyberx_host 사용자를 보여줍니다.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

사용자 세션 시간 제한 제어

사용자가 OT 센서에서 자동으로 로그아웃된 시간을 정의합니다. 센서에 저장된 속성 파일에서 이 값을 정의합니다. 자세한 내용은 사용자 세션 시간 제한 제어를 참조 하세요.

실패한 최대 로그인 수 정의

OT 센서가 사용자가 동일한 IP 주소에서 다시 로그인하지 못하도록 하기 전에 실패한 최대 로그인 수를 정의합니다. 센서에 저장된 속성 파일에서 이 값을 정의합니다.

자세한 내용은 실패한 최대 로그인 수 정의를 참조 하세요.

네트워크 구성

네트워크 설정

네트워킹 구성 변경 또는 네트워크 인터페이스 역할 다시 할당

다음 명령을 사용하여 다음 OT 센서 설정을 정의하거나 다시 구성하는 데 도움이 되는 OT 모니터링 소프트웨어 구성 마법사를 다시 실행합니다.

  • SPAN 모니터링 인터페이스 사용/사용 안 함
  • 관리 인터페이스에 대한 네트워크 설정 구성(IP, 서브넷, 기본 게이트웨이, DNS)
  • 백업 디렉터리 할당
사용자 명령 전체 명령 구문
cyberx_host 또는 루트 액세스 권한이 있는 관리자 sudo dpkg-reconfigure iot-sensor 특성 없음

예를 들어 cyberx_host 사용자:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

이 명령을 실행하면 구성 마법사가 자동으로 시작됩니다. 자세한 내용은 OT 모니터링 소프트웨어 설치를 참조하세요.

네트워크 인터페이스 구성 유효성 검사 및 표시

다음 명령을 사용하여 OT 센서에서 현재 네트워크 인터페이스 구성의 유효성을 검사하고 표시합니다.

사용자 명령 전체 명령 구문
admin network validate 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

네트워크 연결

OT 센서에서 네트워크 연결 확인

다음 명령을 사용하여 OT 센서에서 ping 메시지를 보냅니다.

사용자 명령 전체 명령 구문
admin ping <IP address> 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 ping <IP address> 특성 없음

이러한 명령 <IP address> 에서는 OT 센서의 관리 포트에서 액세스할 수 있는 유효한 IPv4 네트워크 호스트의 IP 주소입니다.

네트워크 인터페이스 현재 부하 확인

다음 명령을 사용하여 6초 테스트를 사용하여 네트워크 트래픽 및 대역폭을 표시합니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-nload 특성 없음 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

인터넷 연결 확인:

다음 명령을 사용하여 어플라이언스 인터넷 연결을 검사.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-internet-connectivity 특성 없음 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

관리 네트워크 인터페이스에 대한 대역폭 제한 설정

다음 명령을 사용하여 OT 센서의 관리 인터페이스에서 Azure Portal 또는 온-프레미스 관리 콘솔 업로드에 대한 아웃바운드 대역폭 제한을 설정합니다.

아웃바운드 대역폭 제한을 설정하는 것은 기본 네트워킹 서비스 품질(QoS)을 달성하는 데 유용할 수 있습니다. 이 명령은 위성 또는 직렬 링크와 같이 대역폭이 제한된 환경에서만 지원됩니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

이 명령에서 다음이 적용됩니다.

  • -h 또는 --help: 명령 도움말 구문을 표시합니다.

  • --interface <INTERFACE VALUE>: 제한하려는 인터페이스(예: eth0

  • --limit <LIMIT VALUE>: 설정할 제한입니다(예: 30kbit.). 다음 단위 중 하나를 사용합니다.

    • kbps: 초당 킬로바이트
    • mbps: 초당 메가바이트
    • kbit: 초당 킬로비트 수
    • mbit: 초당 메가비트
    • bps 또는 맨손 숫자: 초당 바이트 수

  • --clear: 지정된 인터페이스에 대한 모든 설정을 지웁니다.

예를 들어 cyberx 사용자의 경우:

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

물리적 인터페이스

인터페이스 조명을 깜박임으로써 물리적 포트 찾기

다음 명령을 사용하여 인터페이스 표시등이 깜박이도록 하여 특정 물리적 인터페이스를 찾습니다.

사용자 명령 전체 명령 구문
admin network blink <INT> 특성 없음

이 명령 <INT> 에서 어플라이언스 실제 이더넷 포트입니다.

다음 예제에서는 관리자가 eth0 인터페이스를 깜박이는 것을 보여줍니다.

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

연결된 물리적 인터페이스 나열

다음 명령을 사용하여 OT 센서에 연결된 물리적 인터페이스를 나열합니다.

사용자 명령 전체 명령 구문
admin network list 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 ifconfig 특성 없음

예를 들어 관리 사용자의 경우:

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

트래픽 캡처 필터

경고 피로를 줄이고 우선 순위가 높은 트래픽에 대한 네트워크 모니터링에 집중하기 위해 원본에서 Defender for IoT로 스트리밍되는 트래픽을 필터링하도록 결정할 수 있습니다. 캡처 필터를 사용하면 하드웨어 계층에서 대역폭이 높은 트래픽을 차단하여 어플라이언스 성능과 리소스 사용량을 모두 최적화할 수 있습니다.

포함 목록 또는 제외 목록을 사용하여 OT 네트워크 센서에서 캡처 필터를 만들고 구성하여 모니터링하려는 트래픽을 차단하지 않도록 합니다.

캡처 필터에 대한 기본 사용 사례는 모든 Defender for IoT 구성 요소에 대해 동일한 필터를 사용합니다. 그러나 고급 사용 사례의 경우 다음 Defender for IoT 구성 요소 각각에 대해 별도의 필터를 구성할 수 있습니다.

  • horizon: DPI(심층 패킷 검사) 데이터 캡처
  • collector: PCAP 데이터 캡처
  • traffic-monitor: 통신 통계 캡처

참고 항목

  • 캡처 필터는 검색된 모든 네트워크 트래픽에서 트리거되는 Defender for IoT 맬웨어 경고에는 적용되지 않습니다.

  • 캡처 필터 명령에는 캡처 필터 정의의 복잡성과 사용 가능한 네트워크 인터페이스 카드 기능에 따라 문자 길이 제한이 있습니다. 요청된 필터 커맨드에 실패하는 경우 서브넷을 더 큰 범위로 그룹화하고 더 짧은 캡처 필터 명령을 사용해 보세요.

모든 구성 요소에 대한 기본 필터 만들기

기본 캡처 필터를 구성하는 데 사용되는 메서드는 명령을 수행하는 사용자에 따라 다릅니다.

  • cyberx 사용자: 특정 특성으로 지정된 명령을 실행하여 캡처 필터를 구성합니다.
  • 관리자 사용자: 지정된 명령을 실행한 다음 CLI에서 프롬프트에 따라 값을 입력하여 nano 편집기에서 포함 및 제외 목록을 편집합니다.

다음 명령을 사용하여 새 캡처 필터를 만듭니다.

사용자 명령 전체 명령 구문
admin network capture-filter 특성이 없습니다.
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

cyberx 사용자에 대해 지원되는 특성은 다음과 같이 정의됩니다.

특성 설명
-h, --help 도움말 메시지를 표시하고 종료합니다.
-i <INCLUDE>, --include <INCLUDE> 포함하려는 디바이스 및 서브넷 마스크가 포함된 파일의 경로이며, 파일 경로는 어디에 있습니다 <INCLUDE> . 예를 들어 샘플 포함 또는 제외 파일을 참조 하세요.
-x EXCLUDE, --exclude EXCLUDE 제외하려는 디바이스 및 서브넷 마스크가 포함된 파일의 경로이며, 파일 경로는 어디에 있습니다 <EXCLUDE> . 예를 들어 샘플 포함 또는 제외 파일을 참조 하세요.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> 지정된 포트에서 TCP 트래픽을 제외합니다. 여기서 <EXCLUDE_TCP_PORT> 제외하려는 포트 또는 포트를 정의합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> 지정된 포트에서 UDP 트래픽을 제외합니다. 여기서 <EXCLUDE_UDP_PORT> 제외하려는 포트 또는 포트를 정의합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> 포함하려는 포트 또는 포트를 정의하는 지정된 포트 <INCLUDE_TCP_PORT> 에 TCP 트래픽을 포함합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> 포함하려는 포트 또는 포트를 정의하는 지정된 포트 <INCLUDE_UDP_PORT> 에 UDP 트래픽을 포함합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> 지정된 VLAN ID별 VLAN 트래픽을 <INCLUDE_VLAN_IDS> 포함하고 포함하려는 VLAN ID 또는 ID를 정의합니다. 공백 없이 여러 VLAN ID를 쉼표로 구분합니다.
-p <PROGRAM>, --program <PROGRAM> 캡처 필터를 구성할 구성 요소를 정의합니다. 모든 구성 요소에 대한 단일 캡처 필터를 만들려면 기본 사용 사례에 사용합니다 all .

고급 사용 사례의 경우 각 구성 요소에 대해 별도의 캡처 필터를 만듭니다. 자세한 내용은 특정 구성 요소에 대한 고급 필터 만들기를 참조 하세요.
-m <MODE>, --mode <MODE> 포함 목록 모드를 정의하며 포함 목록을 사용하는 경우에만 관련이 있습니다. 다음 값 중 하나를 사용합니다.

- internal: 지정된 원본과 대상 간의 모든 통신을 포함합니다.
- all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다.

예를 들어 엔드포인트 A와 B의 경우 모드를 internal 사용하는 경우 포함된 트래픽에는 엔드포인트 AB 간의 통신만 포함됩니다.
그러나 모드를 all-connected 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다.

샘플 포함 또는 제외 파일

예를 들어 포함 또는 제외 .txt 파일에는 다음 항목이 포함될 수 있습니다.

192.168.50.10
172.20.248.1

관리 사용자를 사용하여 기본 캡처 필터 만들기

관리 사용자로 기본 캡처 필터를 만드는 경우 원래 명령에 특성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.

다음과 같이 표시되는 프롬프트에 회신합니다.

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    모니터링되는 트래픽에 포함하려는 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 포함 파일을 열려면 선택합니다 Y . 포함 파일에 나열되지 않은 다른 트래픽은 Defender for IoT에 수집되지 않습니다.

    Include 파일은 Nano 텍스트 편집기에서 열립니다. 포함 파일에서 다음과 같이 디바이스, 채널 및 서브넷을 정의합니다.

    Type Description 예시
    디바이스 IP 주소로 디바이스를 정의합니다. 1.1.1.1 에는 이 디바이스에 대한 모든 트래픽이 포함됩니다.
    채널 원본 및 대상 디바이스의 IP 주소로 채널을 정의하고 쉼표로 구분합니다. 1.1.1.1,2.2.2.2 에는 이 채널의 모든 트래픽이 포함됩니다.
    서브넷 네트워크 주소로 서브넷을 정의합니다. 1.1.1 에는 이 서브넷에 대한 모든 트래픽이 포함됩니다.

    여러 인수를 별도의 행에 나열합니다.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    모니터링되는 트래픽에서 제외하려는 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 제외 파일을 열려면 선택합니다 Y . 제외 파일에 나열되지 않은 다른 트래픽은 Defender for IoT로 수집됩니다.

    Nano 텍스트 편집기에서 제외 파일이 열립니다. 제외 파일에서 다음과 같이 디바이스, 채널 및 서브넷을 정의합니다.

    Type Description 예시
    디바이스 IP 주소로 디바이스를 정의합니다. 1.1.1.1 는 이 디바이스에 대한 모든 트래픽을 제외합니다.
    채널 원본 및 대상 디바이스의 IP 주소로 채널을 정의하고 쉼표로 구분합니다. 1.1.1.1,2.2.2.2 는 이러한 디바이스 간의 모든 트래픽을 제외합니다.
    포트별 채널 원본 및 대상 디바이스의 IP 주소와 트래픽 포트를 통해 채널을 정의합니다. 1.1.1.1,2.2.2.2,443 는 이러한 디바이스와 지정된 포트를 사용하는 모든 트래픽을 제외합니다.
    서브넷 네트워크 주소로 서브넷을 정의합니다. 1.1.1 는 이 서브넷에 대한 모든 트래픽을 제외합니다.
    서브넷 채널 원본 및 대상 서브넷에 대한 서브넷 채널 네트워크 주소를 정의합니다. 1.1.1,2.2.2 는 이러한 서브넷 간의 모든 트래픽을 제외합니다.

    여러 인수를 별도의 행에 나열합니다.

  3. 포함하거나 제외할 TCP 또는 UDP 포트를 정의하려면 다음 프롬프트에 회신합니다. 여러 포트를 쉼표로 구분하고 Enter 키를 눌러 특정 프롬프트를 건너뜁니다.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    예를 들어 다음과 같이 여러 포트를 입력합니다. 502,443

  4. In which component do you wish to apply this capture filter?

    기본 캡처 필터를 입력 all 합니다. 고급 사용 사례의 경우 각 Defender for IoT 구성 요소에 대한 캡처 필터를 별도로 만듭니다.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    이 프롬프트를 사용하면 범위에 있는 트래픽을 구성할 수 있습니다. 두 엔드포인트가 모두 범위에 있는 트래픽을 수집할지 또는 지정된 서브넷에 하나만 있는 트래픽을 수집할지를 정의합니다. 지원되는 값은 다음과 같습니다.

    • internal: 지정된 원본과 대상 간의 모든 통신을 포함합니다.
    • all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다.

    예를 들어 엔드포인트 A와 B의 경우 모드를 internal 사용하는 경우 포함된 트래픽에는 엔드포인트 AB 간의 통신만 포함됩니다.
    그러나 모드를 all-connected 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다.

    기본 모드는 internal입니다. 모드를 all-connected 사용하려면 프롬프트에서 선택하고 Y 다음을 입력합니다 all-connected.

다음 예제에서는 서브넷 192.168.x.x 및 포트를 제외하는 캡처 필터를 만드는 일련의 프롬프트를 보여 줍니다. 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

특정 구성 요소에 대한 고급 필터 만들기

특정 구성 요소에 대한 고급 캡처 필터를 구성할 때 초기 포함 및 제외 파일을 기본 또는 템플릿, 캡처 필터로 사용할 수 있습니다. 그런 다음 필요에 따라 기본 위에 있는 각 구성 요소에 대한 추가 필터를 구성합니다.

각 구성 요소에 대한 캡처 필터를 만들려면 각 구성 요소에 대해 전체 프로세스를 반복해야 합니다.

참고 항목

다른 구성 요소에 대해 다른 캡처 필터를 만든 경우 모드 선택은 모든 구성 요소에 사용됩니다. 한 구성 요소에 대한 캡처 필터 정의 및 다른 구성 요소 internalall-connected 에 대한 캡처 필터는 지원되지 않습니다.

사용자 명령 전체 명령 구문
admin network capture-filter 특성이 없습니다.
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

cyberx 사용자가 각 구성 요소에 대한 캡처 필터를 별도로 만드는 데 사용되는 추가 특성은 다음과 같습니다.

특성 설명
-p <PROGRAM>, --program <PROGRAM> 다음과 같은 지원되는 값이 있는 <PROGRAM> 캡처 필터를 구성할 구성 요소를 정의합니다.
- traffic-monitor
- collector
- horizon
- all: 모든 구성 요소에 대한 단일 캡처 필터를 만듭니다. 자세한 내용은 모든 구성 요소에 대한 기본 필터 만들기를 참조 하세요.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> 사용하려는 필터가 있는 <BASE_HORIZON> 구성 요소에 horizon 대한 기본 캡처 필터를 정의합니다.
기본값 = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR 구성 요소에 대한 기본 캡처 필터를 정의합니다 traffic-monitor .
기본값 = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR 구성 요소에 대한 기본 캡처 필터를 정의합니다 collector .
기본값 = ""

다른 특성 값에는 앞에서 설명한 기본 사용 사례와 동일한 설명이 있습니다.

관리 사용자를 사용하여 고급 캡처 필터 만들기

각 구성 요소에 대해 관리 사용자로 별도로 캡처 필터를 만드는 경우 원래 명령에는 특성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.

대부분의 프롬프트는 기본 사용 사례동일합니다. 다음과 같은 추가 프롬프트에 회신합니다.

  1. In which component do you wish to apply this capture filter?

    필터링하려는 구성 요소에 따라 다음 값 중 하나를 입력합니다.

    • horizon
    • traffic-monitor
    • collector

  2. 선택한 구성 요소에 대한 사용자 지정 기본 캡처 필터를 구성하라는 메시지가 표시됩니다. 이 옵션은 이전 단계에서 구성한 캡처 필터를 기본 또는 템플릿으로 사용하여 기본 위에 추가 구성을 추가할 수 있습니다.

    예를 들어 이전 단계에서 구성 요소에 대한 캡처 필터를 collector 구성하도록 선택한 경우 다음 메시지가 표시됩니다. Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    지정된 구성 요소에 대한 템플릿을 사용자 지정하거나 N 이전에 구성한 캡처 필터를 그대로 사용하려면 입력 Y 합니다.

기본 사용 사례에서와 같이 다시 기본 프롬프트를 계속 진행합니다.

특정 구성 요소에 대한 현재 캡처 필터 나열

다음 명령을 사용하여 센서에 대해 구성된 현재 캡처 필터에 대한 세부 정보를 표시합니다.

사용자 명령 전체 명령 구문
admin 다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 봅니다.

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- 수집기: edit-config dumpark.properties		 특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자 다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 봅니다.

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- 수집기: nano /var/cyberx/properties/dumpark.properties		 특성 없음

이러한 명령은 각 구성 요소에 대해 구성된 캡처 필터를 나열하는 다음 파일을 엽니다.

속성 파일 속성
수평선 /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
수집기 /var/cyberx/properties/dumpark.properties dumpark.network.filter

예를 들어 관리 사용자와 함께 서브넷 192.168.x.x 및 포트 9000을 제외하는 수집기 구성 요소에 대해 캡처 필터가 정의되어 있습니다.


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

모든 캡처 필터 다시 설정

다음 명령을 사용하여 cyberx 사용자를 사용하여 센서를 기본 캡처 구성으로 다시 설정하여 모든 캡처 필터를 제거합니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-capture-filter -p all -m all-connected 특성 없음

기존 캡처 필터를 수정하려면 새 특성 값을 사용하여 이전 명령을 다시 실행합니다.

관리 사용자를 사용하여 모든 캡처 필터를 다시 설정하려면 이전 명령을 다시 실행하고 모든 프롬프트에 응답 N 하여 모든 캡처 필터를 다시 설정합니다.

다음 예제에서는 cyberx 사용자에 대한 명령 구문 및 응답을 보여줍니다.

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

경고

테스트 경고 트리거

다음 명령을 사용하여 Azure Portal, Defender for IoT 온-프레미스 관리 콘솔 또는 타사 SIEM을 포함하여 센서에서 관리 콘솔 연결 및 경고 전달을 테스트합니다.

사용자 명령 전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-trigger-test-alert 특성 없음

다음 예제에서는 cyberx 사용자에 대한 명령 구문 및 응답을 보여줍니다.

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

OT 센서의 경고 제외 규칙

다음 명령은 현재 제외 규칙 표시, 규칙 추가 및 편집, 규칙 삭제를 포함하여 OT 센서에서 경고 제외 기능을 지원합니다.

참고 항목

OT 센서에 정의된 경고 제외 규칙은 온-프레미스 관리 콘솔 정의된 경고 제외 규칙에 의해 덮어쓸 수 있습니다.

현재 경고 제외 규칙 표시

다음 명령을 사용하여 현재 구성된 제외 규칙 목록을 표시합니다.

사용자 명령 전체 명령 구문
admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx 또는 루트 액세스 권한이 있는 관리자 alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

다음 예제에서는 관리 사용자에 대한 명령 구문 및 응답을 보여 있습니다.

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

새 경고 제외 규칙 만들기

다음 명령을 사용하여 센서에 로컬 경고 제외 규칙을 만듭니다.

사용자 명령 전체 명령 구문
admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx 또는 루트 액세스 권한이 있는 관리자 cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

지원되는 특성은 다음과 같이 정의됩니다.

특성 설명
-h, --help 도움말 메시지를 표시하고 종료합니다.
[-n <NAME>], [--name <NAME>] 규칙의 이름을 정의합니다.
[-ts <TIMES>] [--time_span <TIMES>] 다음 구문을 사용하여 규칙이 활성 상태인 시간 범위를 정의합니다. hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> 제외할 주소 방향입니다. 다음 값 중 하나를 사용합니다. bothsrcdst
[-dev <DEVICES>], [--devices <DEVICES>] 제외할 디바이스 주소 또는 주소 유형은 다음 구문을 ip-x.x.x.xmac-xx:xx:xx:xx:xx:xx사용합니다.subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> 16진수 값으로 제외할 경고 이름입니다. 예: 0x00000, 0x000001

다음 예제에서는 관리 사용자에 대한 명령 구문 및 응답을 보여 있습니다.

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

경고 제외 규칙 수정

다음 명령을 사용하여 센서에서 기존 로컬 경고 제외 규칙을 수정합니다.

사용자 명령 전체 명령 구문
admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx 또는 루트 액세스 권한이 있는 관리자 exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

지원되는 특성은 다음과 같이 정의됩니다.

특성 설명
-h, --help 도움말 메시지를 표시하고 종료합니다.
[-n <NAME>], [--name <NAME>] 수정할 규칙의 이름입니다.
[-ts <TIMES>] [--time_span <TIMES>] 다음 구문을 사용하여 규칙이 활성 상태인 시간 범위를 정의합니다. hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> 제외할 주소 방향입니다. 다음 값 중 하나를 사용합니다. bothsrcdst
[-dev <DEVICES>], [--devices <DEVICES>] 제외할 디바이스 주소 또는 주소 유형은 다음 구문을 ip-x.x.x.xmac-xx:xx:xx:xx:xx:xx사용합니다.subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> 16진수 값으로 제외할 경고 이름입니다. 예: 0x00000, 0x000001

관리자 사용자와 함께 다음 명령 구문을 사용합니다.

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

경고 제외 규칙 삭제

다음 명령을 사용하여 센서에서 기존 로컬 경고 제외 규칙을 삭제합니다.

사용자 명령 전체 명령 구문
admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx 또는 루트 액세스 권한이 있는 관리자 exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

지원되는 특성은 다음과 같이 정의됩니다.

특성 설명
-h, --help 도움말 메시지를 표시하고 종료합니다.
[-n <NAME>], [--name <NAME>] 삭제할 규칙의 이름입니다.
[-ts <TIMES>] [--time_span <TIMES>] 다음 구문을 사용하여 규칙이 활성 상태인 시간 범위를 정의합니다. hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> 제외할 주소 방향입니다. 다음 값 중 하나를 사용합니다. bothsrcdst
[-dev <DEVICES>], [--devices <DEVICES>] 제외할 디바이스 주소 또는 주소 유형은 다음 구문을 ip-x.x.x.xmac-xx:xx:xx:xx:xx:xx사용합니다.subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> 16진수 값으로 제외할 경고 이름입니다. 예: 0x00000, 0x000001

다음 예제에서는 관리 사용자에 대한 명령 구문 및 응답을 보여 있습니다.

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

다음 단계

Defender for IoT CLI 명령에 대해 자세히 알아보기