OT 네트워크 센서의 CLI 명령 참조

이 문서에서는 Defender for IoT OT 네트워크 센서에서 사용할 수 있는 CLI 명령을 나열합니다.

주의

OT 네트워크 센서 및 온-프레미스 관리 콘솔에 문서화된 구성 매개 변수만 고객 구성을 지원합니다. 문서화되지 않은 구성 매개 변수 또는 시스템 속성을 변경하지 마세요. 변경하면 예기치 않은 동작 및 시스템 오류가 발생할 수 있습니다.

Microsoft 승인 없이 센서에서 패키지를 제거하면 예기치 않은 결과가 발생할 수 있습니다. 올바른 센서 기능을 위해서는 센서에 설치된 모든 패키지가 필요합니다.

필수 조건

다음 CLI 명령을 실행하려면 OT 네트워크 센서의 CLI에 권한 있는 사용자로 액세스해야 합니다.

이 문서에서는 각 사용자에 대한 명령 구문을 나열하지만 관리자 사용자가 지원되는 모든 CLI 명령에 대해 관리자 사용자를 사용하는 것이 좋습니다.

자세한 내용은 OT 모니터링에 대한 CLI 및 권한 있는 사용자 액세스 액세스를 참조하세요.

어플라이언스 유지 관리

OT 모니터링 서비스 상태 확인

다음 명령을 사용하여 웹 콘솔 및 트래픽 분석 프로세스를 포함하여 OT 센서의 Defender for IoT 애플리케이션이 제대로 작동하는지 확인합니다.

상태 검사는 OT 센서 콘솔에서도 사용할 수 있습니다. 자세한 내용은 센서 문제 해결을 참조하세요.

사용자	명령	전체 명령 구문
admin	system sanity	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-sanity	특성 없음

다음 예제에서는 관리 사용자에 대한 명령 구문 및 응답을 보여 있습니다.

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

어플라이언스 다시 시작

다음 명령을 사용하여 OT 센서 어플라이언스를 다시 시작합니다.

사용자	명령	전체 명령 구문
admin	system reboot	특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자	sudo reboot	특성 없음

예를 들어 관리 사용자의 경우:

shell> system reboot

어플라이언스 종료

다음 명령을 사용하여 OT 센서 어플라이언스를 종료합니다.

사용자	명령	전체 명령 구문
admin	system shutdown	특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자	sudo shutdown -r now	특성 없음

예를 들어 관리 사용자의 경우:

shell> system shutdown

설치된 소프트웨어 버전 표시

다음 명령을 사용하여 OT 센서에 설치된 Defender for IoT 소프트웨어 버전을 나열합니다.

사용자	명령	전체 명령 구문
admin	system version	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-version	특성 없음

예를 들어 관리 사용자의 경우:

shell> system version
Version: 22.2.5.9-r-2121448

현재 시스템 날짜/시간 표시

다음 명령을 사용하여 OT 네트워크 센서의 현재 시스템 날짜 및 시간을 GMT 형식으로 표시합니다.

사용자	명령	전체 명령 구문
admin	date	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	date	특성 없음
cyberx_host 또는 루트 액세스 권한이 있는 관리자	date	특성 없음

예를 들어 관리 사용자의 경우:

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

NTP 시간 동기화 켜기

다음 명령을 사용하여 NTP 서버와 어플라이언스 시간에 대한 동기화를 켭니다.

이러한 명령을 사용하려면 다음을 확인합니다.

• 어플라이언스 관리 포트에서 NTP 서버에 연결할 수 있습니다.
• 동일한 NTP 서버를 사용하여 모든 센서 어플라이언스 및 온-프레미스 관리 콘솔 동기화합니다.

사용자	명령	전체 명령 구문
admin	ntp enable <IP address>	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-ntp-enable <IP address>	특성 없음

이러한 명령 <IP address> 에서 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.

예를 들어 관리 사용자의 경우:

shell> ntp enable 129.6.15.28
shell>

NTP 시간 동기화 끄기

다음 명령을 사용하여 NTP 서버와 어플라이언스 시간에 대한 동기화를 해제합니다.

사용자	명령	전체 명령 구문
admin	ntp disable <IP address>	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-ntp-disable <IP address>	특성 없음

이러한 명령 <IP address> 에서 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.

예를 들어 관리 사용자의 경우:

shell> ntp disable 129.6.15.28
shell>

백업 및 복원

다음 섹션에서는 OT 네트워크 센서의 시스템 스냅샷을 백업하고 복원하는 데 지원되는 CLI 명령에 대해 설명합니다.

백업 파일에는 구성 설정, 기준 값, 인벤토리 데이터 및 로그를 포함하여 센서 상태의 전체 스냅샷이 포함됩니다.

주의

시스템 백업 또는 복원 작업을 중단하지 마세요. 이로 인해 시스템을 사용할 수 없게 될 수 있습니다.

예정되지 않은 백업 즉시 시작

다음 명령을 사용하여 OT 센서에서 예약되지 않은 즉시 데이터 백업을 시작합니다. 자세한 내용은 백업 및 복원 파일 설정을 참조하세요.

주의

데이터를 백업하는 동안 어플라이언스 중지 또는 전원을 끄지 않도록 합니다.

사용자	명령	전체 명령 구문
admin	system backup create	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-system-backup	특성 없음

예를 들어 관리 사용자의 경우:

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

현재 백업 파일 나열

다음 명령을 사용하여 현재 OT 네트워크 센서에 저장된 백업 파일을 나열합니다.

사용자	명령	전체 명령 구문
admin	system backup list	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-system-backup-list	특성 없음

예를 들어 관리 사용자의 경우:

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

가장 최근의 백업에서 복원

다음 명령을 사용하여 가장 최근의 백업 파일을 사용하여 OT 네트워크 센서의 데이터를 복원합니다. 메시지가 표시되면 계속 진행할지 확인합니다.

주의

데이터를 복원하는 동안 어플라이언스 중지 또는 전원을 끄지 않도록 합니다.

사용자	명령	전체 명령 구문
admin	system restore	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-system-restore	-f <filename>

예를 들어 관리 사용자의 경우:

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

백업 디스크 공간 할당 표시

다음 명령은 다음 세부 정보를 포함하여 현재 백업 디스크 공간 할당을 나열합니다.

• 백업 폴더 위치
• 백업 폴더 크기
• 백업 폴더 제한 사항
• 마지막 백업 작업 시간
• 백업에 사용할 수 있는 사용 가능한 디스크 공간

사용자	명령	전체 명령 구문
admin	cyberx-backup-memory-check	특성 없음

예를 들어 관리 사용자의 경우:

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

로컬 사용자 관리

로컬 사용자 암호 변경

다음 명령을 사용하여 OT 센서에서 로컬 사용자의 암호를 변경합니다. 새 암호는 8자 이상이어야 하며 소문자와 대문자, 알파벳 문자, 숫자 및 기호를 포함해야 합니다.

관리자의 암호를 변경하면 SSH 및 웹 액세스 모두에 대한 암호가 변경됩니다.

사용자	명령	전체 명령 구문
admin	system password	<username>

다음 예제에서는 관리자 사용자의 암호 변경을 보여 드립니다. 입력할 때 새 암호가 화면에 표시되지 않습니다. 암호를 기록해 둡니다. 암호를 다시 입력하라는 메시지가 표시되면 암호를 올바르게 입력해야 합니다.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

네트워크 구성

네트워킹 구성 변경 또는 네트워크 인터페이스 역할 다시 할당

다음 명령을 사용하여 다음 OT 센서 설정을 정의하거나 다시 구성하는 데 도움이 되는 OT 모니터링 소프트웨어 구성 마법사를 다시 실행합니다.

• SPAN 모니터링 인터페이스 사용/사용 안 함
• 관리 인터페이스에 대한 네트워크 설정 구성(IP, 서브넷, 기본 게이트웨이, DNS)
• 백업 디렉터리 할당

사용자	명령	전체 명령 구문
admin	sudo dpkg-reconfigure iot-sensor	특성 없음

예를 들어 관리자 사용자와 함께:

shell> sudo dpkg-reconfigure iot-sensor

이 명령을 실행하면 구성 마법사가 자동으로 시작됩니다. 자세한 내용은 OT 모니터링 소프트웨어 설치를 참조하세요.

네트워크 인터페이스 구성 유효성 검사 및 표시

다음 명령을 사용하여 OT 센서에서 현재 네트워크 인터페이스 구성의 유효성을 검사하고 표시합니다.

사용자	명령	전체 명령 구문
admin	network validate	특성 없음

예를 들어 관리 사용자의 경우:

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

OT 센서에서 네트워크 연결 확인

다음 명령을 사용하여 OT 센서에서 ping 메시지를 보냅니다.

사용자	명령	전체 명령 구문
admin	ping <IP address>	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	ping <IP address>	특성 없음

이러한 명령 <IP address> 에서는 OT 센서의 관리 포트에서 액세스할 수 있는 유효한 IPv4 네트워크 호스트의 IP 주소입니다.

인터페이스 조명을 깜박임으로써 물리적 포트 찾기

다음 명령을 사용하여 인터페이스 표시등이 깜박이도록 하여 특정 물리적 인터페이스를 찾습니다.

사용자	명령	전체 명령 구문
admin	network blink <INT>	특성 없음

이 명령은 <INT> 어플라이언스 내의 물리적 이더넷 포트입니다.

다음 예제에서는 관리자가 eth0 인터페이스를 깜박이는 것을 보여줍니다.

shell> network blink eth0
Blinking interface for 20 seconds ...

연결된 물리적 인터페이스 나열

다음 명령을 사용하여 OT 센서에 연결된 물리적 인터페이스를 나열합니다.

사용자	명령	전체 명령 구문
admin	network list	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	ifconfig	특성 없음

예를 들어 관리 사용자의 경우:

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

트래픽 캡처 필터

경고 피로를 줄이고 우선 순위가 높은 트래픽에 대한 네트워크 모니터링에 집중하기 위해 원본에서 Defender for IoT로 스트리밍되는 트래픽을 필터링하도록 결정할 수 있습니다. 캡처 필터를 사용하면 하드웨어 계층에서 대역폭이 높은 트래픽을 차단하여 어플라이언스 성능과 리소스 사용량을 모두 최적화할 수 있습니다.

포함 목록 또는 제외 목록을 사용하여 OT 네트워크 센서에서 캡처 필터를 만들고 구성하여 모니터링하려는 트래픽을 차단하지 않도록 합니다.

캡처 필터에 대한 기본 사용 사례는 모든 Defender for IoT 구성 요소에 대해 동일한 필터를 사용합니다. 그러나 고급 사용 사례의 경우 다음 Defender for IoT 구성 요소 각각에 대해 별도의 필터를 구성할 수 있습니다.

• horizon: DPI(심층 패킷 검사) 데이터 캡처
• collector: PCAP 데이터 캡처
• traffic-monitor: 통신 통계 캡처

참고 항목

• 캡처 필터는 검색된 모든 네트워크 트래픽에서 트리거되는 Defender for IoT 맬웨어 경고에는 적용되지 않습니다.

• 캡처 필터 명령에는 캡처 필터 정의의 복잡성과 사용 가능한 네트워크 인터페이스 카드 기능에 따라 문자 길이 제한이 있습니다. 요청된 필터 커맨드에 실패하는 경우 서브넷을 더 큰 범위로 그룹화하고 더 짧은 캡처 필터 명령을 사용해 보세요.

모든 구성 요소에 대한 기본 필터 만들기

기본 캡처 필터를 구성하는 데 사용되는 메서드는 명령을 수행하는 사용자에 따라 다릅니다.

• cyberx 사용자: 특정 특성으로 지정된 명령을 실행하여 캡처 필터를 구성합니다.
• 관리자 사용자: 지정된 명령을 실행한 다음 CLI에서 프롬프트에 따라 값을 입력하여 nano 편집기에서 포함 및 제외 목록을 편집합니다.

다음 명령을 사용하여 새 캡처 필터를 만듭니다.

사용자	명령	전체 명령 구문
admin	network capture-filter	특성이 없습니다.
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

cyberx 사용자에 대해 지원되는 특성은 다음과 같이 정의됩니다.

attribute	설명
-h, --help	도움말 메시지를 표시하고 종료합니다.
-i <INCLUDE>, --include <INCLUDE>	포함하려는 디바이스 및 서브넷 마스크가 포함된 파일의 경로이며, 파일 경로는 어디에 있습니다 <INCLUDE> . 예를 들어 샘플 포함 또는 제외 파일을 참조 하세요.
-x EXCLUDE, --exclude EXCLUDE	제외하려는 디바이스 및 서브넷 마스크가 포함된 파일의 경로이며, 파일 경로는 어디에 있습니다 <EXCLUDE> . 예를 들어 샘플 포함 또는 제외 파일을 참조 하세요.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT>	지정된 포트에서 TCP 트래픽을 제외합니다. 여기서 <EXCLUDE_TCP_PORT> 제외하려는 포트 또는 포트를 정의합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT>	지정된 포트에서 UDP 트래픽을 제외합니다. 여기서 <EXCLUDE_UDP_PORT> 제외하려는 포트 또는 포트를 정의합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT>	포함하려는 포트 또는 포트를 정의하는 지정된 포트 <INCLUDE_TCP_PORT> 에 TCP 트래픽을 포함합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT>	포함하려는 포트 또는 포트를 정의하는 지정된 포트 <INCLUDE_UDP_PORT> 에 UDP 트래픽을 포함합니다. 공백 없이 여러 포트를 쉼표로 구분합니다.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS>	지정된 VLAN ID별 VLAN 트래픽을 <INCLUDE_VLAN_IDS> 포함하고 포함하려는 VLAN ID 또는 ID를 정의합니다. 공백 없이 여러 VLAN ID를 쉼표로 구분합니다.
-p <PROGRAM>, --program <PROGRAM>	캡처 필터를 구성할 구성 요소를 정의합니다. 모든 구성 요소에 대한 단일 캡처 필터를 만들려면 기본 사용 사례에 사용합니다 all . 고급 사용 사례의 경우 각 구성 요소에 대해 별도의 캡처 필터를 만듭니다. 자세한 내용은 특정 구성 요소에 대한 고급 필터 만들기를 참조 하세요.
-m <MODE>, --mode <MODE>	포함 목록 모드를 정의하며 포함 목록을 사용하는 경우에만 관련이 있습니다. 다음 값 중 하나를 사용합니다. - internal: 지정된 원본과 대상 간의 모든 통신을 포함합니다. - all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다. 예를 들어 엔드포인트 A와 B의 경우 모드를 internal 사용하는 경우 포함된 트래픽에는 엔드포인트 A 와 B 간의 통신만 포함됩니다. 그러나 모드를 all-connected 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다.

샘플 포함 또는 제외 파일

예를 들어 포함 또는 제외 .txt 파일에는 다음 항목이 포함될 수 있습니다.

192.168.50.10
172.20.248.1

관리 사용자를 사용하여 기본 캡처 필터 만들기

관리 사용자로 기본 캡처 필터를 만드는 경우 원래 명령에 특성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.

다음과 같이 표시되는 프롬프트에 회신합니다.

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   모니터링되는 트래픽에 포함하려는 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 포함 파일을 열려면 선택합니다 Y . 포함 파일에 나열되지 않은 다른 트래픽은 Defender for IoT에 수집되지 않습니다.

   Include 파일은 Nano 텍스트 편집기에서 열립니다. 포함 파일에서 다음과 같이 디바이스, 채널 및 서브넷을 정의합니다.

   Type	Description	예시
   디바이스	IP 주소로 디바이스를 정의합니다.	1.1.1.1 에는 이 디바이스에 대한 모든 트래픽이 포함됩니다.
   채널	원본 및 대상 디바이스의 IP 주소로 채널을 정의하고 쉼표로 구분합니다.	1.1.1.1,2.2.2.2 에는 이 채널의 모든 트래픽이 포함됩니다.
   서브넷	네트워크 주소로 서브넷을 정의합니다.	1.1.1 에는 이 서브넷에 대한 모든 트래픽이 포함됩니다.

   여러 인수를 별도의 행에 나열합니다.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   모니터링되는 트래픽에서 제외하려는 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 제외 파일을 열려면 선택합니다 Y . 제외 파일에 나열되지 않은 다른 트래픽은 Defender for IoT로 수집됩니다.

   Nano 텍스트 편집기에서 제외 파일이 열립니다. 제외 파일에서 다음과 같이 디바이스, 채널 및 서브넷을 정의합니다.

   Type	Description	예시
   디바이스	IP 주소로 디바이스를 정의합니다.	1.1.1.1 는 이 디바이스에 대한 모든 트래픽을 제외합니다.
   채널	원본 및 대상 디바이스의 IP 주소로 채널을 정의하고 쉼표로 구분합니다.	1.1.1.1,2.2.2.2 는 이러한 디바이스 간의 모든 트래픽을 제외합니다.
   포트별 채널	원본 및 대상 디바이스의 IP 주소와 트래픽 포트를 통해 채널을 정의합니다.	1.1.1.1,2.2.2.2,443 는 이러한 디바이스와 지정된 포트를 사용하는 모든 트래픽을 제외합니다.
   서브넷	네트워크 주소로 서브넷을 정의합니다.	1.1.1 는 이 서브넷에 대한 모든 트래픽을 제외합니다.
   서브넷 채널	원본 및 대상 서브넷에 대한 서브넷 채널 네트워크 주소를 정의합니다.	1.1.1,2.2.2 는 이러한 서브넷 간의 모든 트래픽을 제외합니다.

   여러 인수를 별도의 행에 나열합니다.

3. 포함하거나 제외할 TCP 또는 UDP 포트를 정의하려면 다음 프롬프트에 회신합니다. 여러 포트를 쉼표로 구분하고 Enter 키를 눌러 특정 프롬프트를 건너뜁니다.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   예를 들어 다음과 같이 여러 포트를 입력합니다. 502,443

4. In which component do you wish to apply this capture filter?

   기본 캡처 필터를 입력 all 합니다. 고급 사용 사례의 경우 각 Defender for IoT 구성 요소에 대한 캡처 필터를 별도로 만듭니다.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   이 프롬프트를 사용하면 범위에 있는 트래픽을 구성할 수 있습니다. 두 엔드포인트가 모두 범위에 있는 트래픽을 수집할지 또는 지정된 서브넷에 하나만 있는 트래픽을 수집할지를 정의합니다. 지원되는 값은 다음과 같습니다.

   • internal: 지정된 원본과 대상 간의 모든 통신을 포함합니다.
   • all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다.

   예를 들어 엔드포인트 A와 B의 경우 모드를 internal 사용하는 경우 포함된 트래픽에는 엔드포인트 A 와 B 간의 통신만 포함됩니다.
   그러나 모드를 all-connected 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다.

   기본 모드는 internal입니다. 모드를 all-connected 사용하려면 프롬프트에서 선택하고 Y 다음을 입력합니다 all-connected.

다음 예제에서는 서브넷 192.168.x.x 및 포트를 제외하는 캡처 필터를 만드는 일련의 프롬프트를 보여 줍니다. 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

특정 구성 요소에 대한 고급 필터 만들기

특정 구성 요소에 대한 고급 캡처 필터를 구성할 때 초기 포함 및 제외 파일을 기본 또는 템플릿, 캡처 필터로 사용할 수 있습니다. 그런 다음 필요에 따라 기본 위에 있는 각 구성 요소에 대한 추가 필터를 구성합니다.

각 구성 요소에 대한 캡처 필터를 만들려면 각 구성 요소에 대해 전체 프로세스를 반복해야 합니다.

참고 항목

다른 구성 요소에 대해 다른 캡처 필터를 만든 경우 모드 선택은 모든 구성 요소에 사용됩니다. 한 구성 요소에 대한 캡처 필터 정의 및 다른 구성 요소 internal all-connected 에 대한 캡처 필터는 지원되지 않습니다.

사용자	명령	전체 명령 구문
admin	network capture-filter	특성이 없습니다.
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

cyberx 사용자가 각 구성 요소에 대한 캡처 필터를 별도로 만드는 데 사용되는 추가 특성은 다음과 같습니다.

attribute	설명
-p <PROGRAM>, --program <PROGRAM>	다음과 같은 지원되는 값이 있는 <PROGRAM> 캡처 필터를 구성할 구성 요소를 정의합니다. - traffic-monitor - collector - horizon - all: 모든 구성 요소에 대한 단일 캡처 필터를 만듭니다. 자세한 내용은 모든 구성 요소에 대한 기본 필터 만들기를 참조 하세요.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON>	사용하려는 필터가 있는 <BASE_HORIZON> 구성 요소에 horizon 대한 기본 캡처 필터를 정의합니다. 기본값 = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR	구성 요소에 대한 기본 캡처 필터를 정의합니다 traffic-monitor . 기본값 = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR	구성 요소에 대한 기본 캡처 필터를 정의합니다 collector . 기본값 = ""

다른 특성 값에는 앞에서 설명한 기본 사용 사례와 동일한 설명이 있습니다.

관리 사용자를 사용하여 고급 캡처 필터 만들기

각 구성 요소에 대해 관리 사용자로 별도로 캡처 필터를 만드는 경우 원래 명령에는 특성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.

대부분의 프롬프트는 기본 사용 사례와 동일합니다. 다음과 같은 추가 프롬프트에 회신합니다.

1. In which component do you wish to apply this capture filter?

   필터링하려는 구성 요소에 따라 다음 값 중 하나를 입력합니다.

   • horizon
   • traffic-monitor
   • collector

2. 선택한 구성 요소에 대한 사용자 지정 기본 캡처 필터를 구성하라는 메시지가 표시됩니다. 이 옵션은 이전 단계에서 구성한 캡처 필터를 기본 또는 템플릿으로 사용하여 기본 위에 추가 구성을 추가할 수 있습니다.

   예를 들어 이전 단계에서 구성 요소에 대한 캡처 필터를 collector 구성하도록 선택한 경우 다음 메시지가 표시됩니다. Would you like to supply a custom base capture filter for the collector component? [Y/N]:

   지정된 구성 요소에 대한 템플릿을 사용자 지정하거나 N 이전에 구성한 캡처 필터를 그대로 사용하려면 입력 Y 합니다.

기본 사용 사례와 같이 나머지 프롬프트를 계속 진행합니다.

특정 구성 요소에 대한 현재 캡처 필터 나열

다음 명령을 사용하여 센서에 대해 구성된 현재 캡처 필터에 대한 세부 정보를 표시합니다.

사용자	명령	전체 명령 구문
admin	다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 봅니다. - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - 수집기: edit-config dumpark.properties	특성 없음
cyberx 또는 루트 액세스 권한이 있는 관리자	다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 봅니다. -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - 수집기: nano /var/cyberx/properties/dumpark.properties	특성 없음

이러한 명령은 각 구성 요소에 대해 구성된 캡처 필터를 나열하는 다음 파일을 엽니다.

속성	파일	속성
수평선	/var/cyberx/properties/horizon.properties	horizon.processor.filter
traffic-monitor	/var/cyberx/properties/traffic-monitor.properties	horizon.processor.filter
수집기	/var/cyberx/properties/dumpark.properties	dumpark.network.filter

예를 들어 관리 사용자와 함께 서브넷 192.168.x.x 및 포트 9000을 제외하는 수집기 구성 요소에 대해 캡처 필터가 정의되어 있습니다.

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

모든 캡처 필터 다시 설정

다음 명령을 사용하여 cyberx 사용자를 사용하여 센서를 기본 캡처 구성으로 다시 설정하여 모든 캡처 필터를 제거합니다.

사용자	명령	전체 명령 구문
cyberx 또는 루트 액세스 권한이 있는 관리자	cyberx-xsense-capture-filter -p all -m all-connected	특성 없음

기존 캡처 필터를 수정하려면 새 특성 값을 사용하여 이전 명령을 다시 실행합니다.

관리 사용자를 사용하여 모든 캡처 필터를 다시 설정하려면 이전 명령을 다시 실행하고 모든 프롬프트에 응답 N 하여 모든 캡처 필터를 다시 설정합니다.

다음 예제에서는 cyberx 사용자에 대한 명령 구문 및 응답을 보여줍니다.

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

다음 단계

Defender for IoT CLI 명령에 대해 자세히 알아보기