CLI-opdrachtreferentie van OT-netwerksensoren

  • Artikel

Dit artikel bevat de CLI-opdrachten die beschikbaar zijn via Defender for IoT OT-netwerksensoren.

Let op

Alleen gedocumenteerde configuratieparameters op de OT-netwerksensor en on-premises beheerconsole worden ondersteund voor de configuratie van de klant. Wijzig geen niet-gedocumenteerde configuratieparameters of systeemeigenschappen, omdat wijzigingen onverwacht gedrag en systeemfouten kunnen veroorzaken.

Het verwijderen van pakketten uit uw sensor zonder Goedkeuring van Microsoft kan onverwachte resultaten veroorzaken. Alle pakketten die op de sensor zijn geïnstalleerd, zijn vereist voor de juiste sensorfunctionaliteit.

Vereisten

Voordat u een van de volgende CLI-opdrachten kunt uitvoeren, hebt u als bevoegde gebruiker toegang nodig tot de CLI op uw OT-netwerksensor.

Hoewel in dit artikel de syntaxis van de opdracht voor elke gebruiker wordt vermeld, raden we u aan om de gebruiker met beheerdersrechten te gebruiken voor alle CLI-opdrachten waarvoor de gebruiker met beheerdersrechten wordt ondersteund.

Als u een oudere versie van de sensorsoftware gebruikt, hebt u mogelijk toegang tot de verouderde ondersteuningsgebruiker . In dergelijke gevallen worden opdrachten die worden vermeld als ondersteund voor de gebruiker met beheerdersrechten , ondersteund voor de verouderde ondersteuningsgebruiker .

Zie Toegang tot de CLI en bevoegde gebruikerstoegang voor OT-bewaking voor meer informatie.

Onderhoud van apparaten

Status van OT-bewakingsservices controleren

Gebruik de volgende opdrachten om te controleren of de Defender for IoT-toepassing op de OT-sensor correct werkt, met inbegrip van de webconsole- en verkeersanalyseprocessen.

Statuscontroles zijn ook beschikbaar via de OT-sensorconsole. Zie Problemen met de sensor oplossen voor meer informatie.

User Opdracht Volledige opdrachtsyntaxis
Admin system sanity Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-sanity Geen kenmerken

In het volgende voorbeeld ziet u de syntaxis van de opdracht en het antwoord voor de gebruiker met beheerdersrechten:

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Opnieuw opstarten en afsluiten

Een apparaat opnieuw opstarten

Gebruik de volgende opdrachten om het OT-sensorapparaat opnieuw op te starten.

User Opdracht Volledige opdrachtsyntaxis
Admin system reboot Geen kenmerken
cyberx of beheerder met hoofdtoegang sudo reboot Geen kenmerken
cyberx_host of beheerder met hoofdtoegang sudo reboot Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system reboot

Een apparaat afsluiten

Gebruik de volgende opdrachten om het OT-sensorapparaat af te sluiten.

User Opdracht Volledige opdrachtsyntaxis
Admin system shutdown Geen kenmerken
cyberx of beheerder met hoofdtoegang sudo shutdown -r now Geen kenmerken
cyberx_host of beheerder met hoofdtoegang sudo shutdown -r now Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system shutdown

Softwareversies

Geïnstalleerde softwareversie weergeven

Gebruik de volgende opdrachten om de Defender for IoT-softwareversie weer te geven die op uw OT-sensor is geïnstalleerd.

User Opdracht Volledige opdrachtsyntaxis
Admin system version Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-version Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Sensorsoftware bijwerken vanuit CLI

Zie Uw sensoren bijwerken voor meer informatie.

Datum, tijd en NTP

Huidige systeemdatum/-tijd weergeven

Gebruik de volgende opdrachten om de huidige systeemdatum en -tijd op uw OT-netwerksensor weer te geven in GMT-indeling.

User Opdracht Volledige opdrachtsyntaxis
Admin date Geen kenmerken
cyberx of beheerder met hoofdtoegang date Geen kenmerken
cyberx_host of beheerder met hoofdtoegang date Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

NTP-tijdsynchronisatie inschakelen

Gebruik de volgende opdrachten om synchronisatie in te schakelen voor de tijd van het apparaat met een NTP-server.

Als u deze opdrachten wilt gebruiken, moet u ervoor zorgen dat:

  • De NTP-server kan worden bereikt vanaf de beheerpoort van het apparaat
  • U gebruikt dezelfde NTP-server om alle sensorapparaten en de on-premises beheerconsole te synchroniseren
User Opdracht Volledige opdrachtsyntaxis
Admin ntp enable <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-ntp-enable <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4 NTP-server met poort 123.

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: ntp enable 129.6.15.28
root@xsense:

NTP-tijdsynchronisatie uitschakelen

Gebruik de volgende opdrachten om de synchronisatie voor de tijd van het apparaat met een NTP-server uit te schakelen.

User Opdracht Volledige opdrachtsyntaxis
Admin ntp disable <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-ntp-disable <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4 NTP-server met poort 123.

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Back-ups en herstellen

In de volgende secties worden de CLI-opdrachten beschreven die worden ondersteund voor het maken van back-ups en het herstellen van een systeemmomentopname van uw OT-netwerksensor.

Back-upbestanden bevatten een volledige momentopname van de sensorstatus, waaronder configuratie-instellingen, basislijnwaarden, inventarisgegevens en logboeken.

Let op

Onderbreek een systeemback-up- of herstelbewerking niet, omdat dit ertoe kan leiden dat het systeem onbruikbaar wordt.

Huidige back-upbestanden weergeven

Gebruik de volgende opdrachten om de back-upbestanden weer te geven die momenteel zijn opgeslagen op uw OT-netwerksensor.

User Opdracht Volledige opdrachtsyntaxis
Admin system backup-list Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-backup-list Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Een onmiddellijke, ongeplande back-up starten

Gebruik de volgende opdrachten om een onmiddellijke, ongeplande back-up van de gegevens op uw OT-sensor te starten. Zie Back-up- en herstelbestanden instellen voor meer informatie.

Let op

Zorg ervoor dat u het apparaat niet stopt of uitschakelt tijdens het maken van back-ups van gegevens.

User Opdracht Volledige opdrachtsyntaxis
Admin system backup Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-backup Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Gegevens terugzetten vanuit de meest recente back-up

Gebruik de volgende opdrachten om gegevens op uw OT-netwerksensor te herstellen met behulp van het meest recente back-upbestand. Bevestig dat u wilt doorgaan wanneer u hierom wordt gevraagd.

Let op

Zorg ervoor dat u het apparaat niet stopt of uitschakelt tijdens het herstellen van gegevens.

User Opdracht Volledige opdrachtsyntaxis
Admin system restore Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-restore -f <filename>

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Toewijzing van back-upschijfruimte weergeven

Met de volgende opdracht wordt de huidige toewijzing van de back-upschijfruimte weergegeven, met inbegrip van de volgende details:

  • Locatie van back-upmap
  • Grootte van back-upmap
  • Beperkingen voor back-upmappen
  • Tijd van laatste back-upbewerking
  • Beschikbare schijfruimte voor back-ups
User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-backup-memory-check Geen kenmerken

Bijvoorbeeld voor de cyberx-gebruiker :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

TLS/SSL-certificaten

TLS/SSL-certificaten importeren in uw OT-sensor

Gebruik de volgende opdracht om TLS/SSL-certificaten vanuit de CLI naar de sensor te importeren.

Ga als volgt te werk om deze opdracht te gebruiken:

  • Controleer of het certificaatbestand dat u wilt importeren, leesbaar is op het apparaat. Upload certificaatbestanden naar het apparaat met behulp van hulpprogramma's zoals WinSCP of Wget.
  • Controleer bij uw IT-kantoor of het apparaatdomein zoals het in het certificaat wordt weergegeven, juist is voor uw DNS-server en het bijbehorende IP-adres.

Zie Ca-ondertekende certificaten voorbereiden en SSL/TLS-certificaten maken voor OT-apparaten voor meer informatie.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <BESTANDSNAAM>] [--chain <PATH>] [--pass <PASSPHRASE] [--pass PASSPHRASE>] [--passphrase-set <VALUE>]'

In deze opdracht:

  • -h: Geeft de helpsyntaxis van de volledige opdracht weer

  • --crt: het pad naar het certificaatbestand dat u wilt uploaden, met een .crt extensie

  • --key: het \*.key bestand dat u voor het certificaat wilt gebruiken. Sleutellengte moet minimaal 2048 bits zijn

  • --chain: het pad naar een certificaatketenbestand. Optioneel.

  • --pass: Een wachtwoordzin die wordt gebruikt om het certificaat te versleutelen. Optioneel.

    De volgende tekens worden ondersteund voor het maken van een sleutel of certificaat met een wachtwoordzin:

    • ASCII-tekens, waaronder a-z, A-Z, 0-9
    • De volgende speciale tekens: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Ongebruikt en standaard ingesteld op Onwaar . Stel in op True om een wachtwoordzin te gebruiken die is opgegeven bij het vorige certificaat. Optioneel.

Bijvoorbeeld voor de cyberx-gebruiker :

root@xsense:/# cyberx-xsense-certificate-import

Het standaard zelfondertekende certificaat herstellen

Gebruik de volgende opdracht om de standaardcertificaten met zelfondertekende certificaten op uw sensorapparaat te herstellen. U wordt aangeraden deze activiteit alleen te gebruiken voor probleemoplossing en niet voor productieomgevingen.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-create-self-signed-certificate Geen kenmerken

Bijvoorbeeld voor de cyberx-gebruiker :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Lokaal gebruikersbeheer

Lokale gebruikerswachtwoorden wijzigen

Gebruik de volgende opdrachten om wachtwoorden te wijzigen voor lokale gebruikers op uw OT-sensor.

Wanneer u het wachtwoord voor de beheerder, cyberx of cyberx_host gebruiker wijzigt, wordt het wachtwoord gewijzigd voor zowel SSH als webtoegang.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host of beheerder met hoofdtoegang passwd Geen kenmerken

In het volgende voorbeeld ziet u dat de cyberx-gebruiker het wachtwoord van de beheerder opnieuw instelt opjI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

In het volgende voorbeeld ziet u de cyberx_host gebruiker die het wachtwoord van de cyberx_host gebruiker wijzigt.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Time-outs voor gebruikerssessies beheren

Definieer de tijd waarna gebruikers automatisch worden afgemeld bij de OT-sensor. Definieer deze waarde in een eigenschappenbestand dat is opgeslagen op de sensor. Zie time-outs voor gebruikerssessies beheren voor meer informatie.

Maximum aantal mislukte aanmeldingen definiëren

Definieer het aantal mislukte aanmeldingen voordat een OT-sensor verhindert dat de gebruiker zich opnieuw aanmeldt vanaf hetzelfde IP-adres. Definieer deze waarde in een eigenschappenbestand dat is opgeslagen op de sensor.

Zie Maximum aantal mislukte aanmeldingen definiëren voor meer informatie.

Netwerkconfiguratie

Netwerkinstellingen

Netwerkconfiguratie wijzigen of netwerkinterfacerollen opnieuw toewijzen

Gebruik de volgende opdracht om de wizard OT-bewakingssoftware opnieuw uit te voeren, waarmee u de volgende OT-sensorinstellingen kunt definiëren of opnieuw configureren:

  • SPAN-bewakingsinterfaces in- of uitschakelen
  • Netwerkinstellingen configureren voor de beheerinterface (IP, subnet, standaardgateway, DNS)
  • Een back-upmap toewijzen
User Opdracht Volledige opdrachtsyntaxis
cyberx_host of beheerder met hoofdtoegang sudo dpkg-reconfigure iot-sensor Geen kenmerken

Bijvoorbeeld met de cyberx_host gebruiker:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

De configuratiewizard wordt automatisch gestart nadat u deze opdracht hebt uitgevoerd. Zie OT-bewakingssoftware installeren voor meer informatie.

Netwerkinterfaceconfiguratie valideren en weergeven

Gebruik de volgende opdrachten om de huidige netwerkinterfaceconfiguratie op de OT-sensor te valideren en weer te geven.

User Opdracht Volledige opdrachtsyntaxis
Admin network validate Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Netwerkverbinding

Controleer de netwerkverbinding van de OT-sensor

Gebruik de volgende opdrachten om een pingbericht van de OT-sensor te verzenden.

User Opdracht Volledige opdrachtsyntaxis
Admin ping <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang ping <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4-netwerkhost toegankelijk via de beheerpoort op uw OT-sensor.

Huidige belasting van de netwerkinterface controleren

Gebruik de volgende opdracht om netwerkverkeer en bandbreedte weer te geven met behulp van een test van zes seconden.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-nload Geen kenmerken 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Internetverbinding controleren

Gebruik de volgende opdracht om de internetverbinding op uw apparaat te controleren.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-internet-connectivity Geen kenmerken 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Bandbreedtelimiet instellen voor de beheernetwerkinterface

Gebruik de volgende opdracht om de limiet voor uitgaande bandbreedte in te stellen voor uploads vanuit de beheerinterface van de OT-sensor naar Azure Portal of een on-premises beheerconsole.

Het instellen van uitgaande bandbreedtelimieten kan handig zijn bij het onderhouden van de netwerkkwaliteit van de service (QoS). Deze opdracht wordt alleen ondersteund in omgevingen met een bandbreedtebeperking, zoals via een satelliet- of seriële koppeling.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

In deze opdracht:

  • -h of --help: geeft de help-syntaxis van de opdracht weer

  • --interface <INTERFACE VALUE>: Is de interface die u wilt beperken, zoals eth0

  • --limit <LIMIT VALUE>: De limiet die u wilt instellen, zoals 30kbit. Gebruik een van de volgende eenheden:

    • kbps: Kilobytes per seconde
    • mbps: Megabytes per seconde
    • kbit: Kilobits per seconde
    • mbit: Megabits per seconde
    • bps of een lege waarde: Bytes per seconde

  • --clear: Alle instellingen voor de opgegeven interface wissen

Bijvoorbeeld voor de cyberx-gebruiker :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Fysieke interfaces

Zoek een fysieke poort door de interfacelichten te knipperen

Gebruik de volgende opdracht om een specifieke fysieke interface te vinden door ervoor te zorgen dat de interfacelichten knipperen.

User Opdracht Volledige opdrachtsyntaxis
Admin network blink <INT> Geen kenmerken

In deze opdracht <INT> is een fysieke ethernetpoort op het apparaat.

In het volgende voorbeeld ziet u dat de gebruiker met beheerdersrechten de eth0-interface knippert:

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Gekoppelde fysieke interfaces weergeven

Gebruik de volgende opdrachten om de verbonden fysieke interfaces op uw OT-sensor weer te geven.

User Opdracht Volledige opdrachtsyntaxis
Admin network list Geen kenmerken
cyberx of beheerder met hoofdtoegang ifconfig Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filters voor het vastleggen van verkeer

Als u de vermoeidheid van waarschuwingen wilt verminderen en uw netwerkbewaking wilt richten op verkeer met hoge prioriteit, kunt u besluiten om het verkeer te filteren dat naar Defender for IoT bij de bron stroomt. Met capture-filters kunt u verkeer met hoge bandbreedte blokkeren op de hardwarelaag, waardoor zowel de prestaties van het apparaat als het resourcegebruik worden geoptimaliseerd.

Gebruik lijsten met opnemen/of uitsluiten om opnamefilters op uw OT-netwerksensoren te maken en te configureren. Zorg ervoor dat u geen verkeer blokkeert dat u wilt bewaken.

De basisgebruikscase voor capture-filters maakt gebruik van hetzelfde filter voor alle Defender for IoT-onderdelen. Voor geavanceerde gebruiksvoorbeelden kunt u echter afzonderlijke filters configureren voor elk van de volgende Defender voor IoT-onderdelen:

  • horizon: Legt DPI-gegevens (Deep Packet Inspection) vast
  • collector: Legt PCAP-gegevens vast
  • traffic-monitor: Legt communicatiestatistieken vast

Notitie

  • Capture-filters zijn niet van toepassing op Defender for IoT-malwarewaarschuwingen, die worden geactiveerd op al het gedetecteerde netwerkverkeer.

  • De opdracht Capture Filter heeft een tekenlengtelimiet die is gebaseerd op de complexiteit van de definitie van het opnamefilter en de beschikbare mogelijkheden voor netwerkinterfacekaarten. Als de aangevraagde filteropdracht mislukt, probeert u subnetten te groeperen in grotere bereiken en een kortere opdracht voor het vastleggen van filters te gebruiken.

Een basisfilter maken voor alle onderdelen

De methode die wordt gebruikt voor het configureren van een basisopnamefilter verschilt, afhankelijk van de gebruiker die de opdracht uitvoert:

  • cyberxgebruiker : voer de opgegeven opdracht uit met specifieke kenmerken om uw capture-filter te configureren.
  • gebruiker met beheerdersrechten : voer de opgegeven opdracht uit en voer vervolgens waarden in zoals wordt gevraagd door de CLI, waarbij u de lijsten opnemen en uitsluiten in een nano-editor bewerkt.

Gebruik de volgende opdrachten om een nieuw capture-filter te maken:

User Opdracht Volledige opdrachtsyntaxis
Admin network capture-filter Geen kenmerken.
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Ondersteunde kenmerken voor de cyberx-gebruiker worden als volgt gedefinieerd:

Kenmerk Beschrijving
-h, --help Geeft het Help-bericht weer en wordt afgesloten.
-i <INCLUDE>, --include <INCLUDE> Het pad naar een bestand dat de apparaten en subnetmaskers bevat die u wilt opnemen, waar <INCLUDE> is het pad naar het bestand. Zie voorbeeldbestand opnemen of uitsluiten.
-x EXCLUDE, --exclude EXCLUDE Het pad naar een bestand dat de apparaten en subnetmaskers bevat die u wilt uitsluiten, waar <EXCLUDE> is het pad naar het bestand. Zie voorbeeldbestand opnemen of uitsluiten.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Sluit TCP-verkeer uit op opgegeven poorten, waarbij de <EXCLUDE_TCP_PORT> poort of poorten worden gedefinieerd die u wilt uitsluiten. Meerdere poorten scheiden door komma's, zonder spaties.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Sluit UDP-verkeer uit op opgegeven poorten, waarbij de <EXCLUDE_UDP_PORT> poort of poorten worden gedefinieerd die u wilt uitsluiten. Meerdere poorten scheiden door komma's, zonder spaties.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Bevat TCP-verkeer op opgegeven poorten, waarbij de <INCLUDE_TCP_PORT> poort of poorten worden gedefinieerd die u wilt opnemen. Meerdere poorten scheiden door komma's, zonder spaties.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Bevat UDP-verkeer op opgegeven poorten, waarbij de <INCLUDE_UDP_PORT> poort of poorten worden gedefinieerd die u wilt opnemen. Meerdere poorten scheiden door komma's, zonder spaties.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Bevat VLAN-verkeer door opgegeven VLAN-id's, <INCLUDE_VLAN_IDS> definieert de VLAN-id of id's die u wilt opnemen. Scheidingstekens voor meerdere VLAN-id's door komma's, zonder spaties.
-p <PROGRAM>, --program <PROGRAM> Hiermee definieert u het onderdeel waarvoor u een capture-filter wilt configureren. Gebruik all dit voor eenvoudige gebruiksvoorbeelden om één capturefilter te maken voor alle onderdelen.

Maak voor geavanceerde gebruiksvoorbeelden afzonderlijke capturefilters voor elk onderdeel. Zie Een geavanceerd filter maken voor specifieke onderdelen voor meer informatie.
-m <MODE>, --mode <MODE> Definieert een insluitingslijstmodus en is alleen relevant wanneer een insluitingslijst wordt gebruikt. Gebruik een van de volgende waarden:

- internal: Bevat alle communicatie tussen de opgegeven bron en bestemming
- all-connected: Bevat alle communicatie tussen een van de opgegeven eindpunten en externe eindpunten.

Bijvoorbeeld, voor eindpunten A en B, als u de internal modus gebruikt, bevat opgenomen verkeer alleen communicatie tussen eindpunten A en B.
Als u de all-connected modus gebruikt, bevat opgenomen verkeer echter alle communicatie tussen A of B en andere, externe eindpunten.

Voorbeeldbestand opnemen of uitsluiten

Een insluitings- of .txt uitsluitingsbestand kan bijvoorbeeld de volgende vermeldingen bevatten:

192.168.50.10
172.20.248.1

Een basisopnamefilter maken met behulp van de gebruiker met beheerdersrechten

Als u een basisfilter voor vastleggen maakt als beheerder, worden er geen kenmerken doorgegeven in de oorspronkelijke opdracht. In plaats daarvan wordt een reeks prompts weergegeven om u te helpen het opnamefilter interactief te maken.

Beantwoord de aanwijzingen die als volgt worden weergegeven:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Selecteer Y deze optie om een nieuw include-bestand te openen, waar u een apparaat, kanaal en/of subnet kunt toevoegen dat u wilt opnemen in bewaakt verkeer. Ander verkeer, dat niet wordt vermeld in uw include-bestand, wordt niet opgenomen in Defender for IoT.

    Het include-bestand wordt geopend in de Nano-teksteditor . Definieer in het include-bestand apparaten, kanalen en subnetten als volgt:

    Type Description Voorbeeld
    Apparaat Definieer een apparaat op basis van het IP-adres. 1.1.1.1 omvat al het verkeer voor dit apparaat.
    Kanaal Definieer een kanaal door de IP-adressen van de bron- en doelapparaten, gescheiden door een komma. 1.1.1.1,2.2.2.2 bevat al het verkeer voor dit kanaal.
    Subnet Definieer een subnet op basis van het netwerkadres. 1.1.1 bevat al het verkeer voor dit subnet.

    Meerdere argumenten in afzonderlijke rijen weergeven.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Selecteer Y deze optie om een nieuw uitsluitingsbestand te openen waarin u een apparaat, kanaal en/of subnet kunt toevoegen dat u wilt uitsluiten van bewaakt verkeer. Elk ander verkeer, dat niet wordt vermeld in uw uitsluitingsbestand, wordt opgenomen in Defender for IoT.

    Het uitsluitingsbestand wordt geopend in de Nano-teksteditor . Definieer in het uitsluitingsbestand apparaten, kanalen en subnetten als volgt:

    Type Description Voorbeeld
    Apparaat Definieer een apparaat op basis van het IP-adres. 1.1.1.1 sluit al het verkeer voor dit apparaat uit.
    Kanaal Definieer een kanaal door de IP-adressen van de bron- en doelapparaten, gescheiden door een komma. 1.1.1.1,2.2.2.2 sluit al het verkeer tussen deze apparaten uit.
    Kanaal per poort Definieer een kanaal op basis van de IP-adressen van de bron- en doelapparaten en de verkeerspoort. 1.1.1.1,2.2.2.2,443 sluit al het verkeer tussen deze apparaten en het gebruik van de opgegeven poort uit.
    Subnet Definieer een subnet op basis van het netwerkadres. 1.1.1 sluit al het verkeer voor dit subnet uit.
    Subnetkanaal Definieer netwerkadressen van het subnetkanaal voor de bron- en doelsubnetten. 1.1.1,2.2.2 sluit al het verkeer tussen deze subnetten uit.

    Meerdere argumenten in afzonderlijke rijen weergeven.

  3. Beantwoord de volgende prompts om TCP- of UDP-poorten te definiëren die moeten worden opgenomen of uitgesloten. Scheid meerdere poorten per komma en druk op Enter om een specifieke prompt over te slaan.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Voer bijvoorbeeld als volgt meerdere poorten in: 502,443

  4. In which component do you wish to apply this capture filter?

    Voer in all voor een basisopnamefilter. Voor geavanceerde use cases maakt u afzonderlijke capture-filters voor elk Defender for IoT-onderdeel.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Met deze prompt kunt u configureren welk verkeer binnen het bereik valt. Geef aan of u verkeer wilt verzamelen waarin beide eindpunten binnen het bereik vallen of slechts één van deze eindpunten zich in het opgegeven subnet bevindt. Ondersteunde waarden zijn onder andere:

    • internal: Bevat alle communicatie tussen de opgegeven bron en bestemming
    • all-connected: Bevat alle communicatie tussen een van de opgegeven eindpunten en externe eindpunten.

    Bijvoorbeeld, voor eindpunten A en B, als u de internal modus gebruikt, bevat opgenomen verkeer alleen communicatie tussen eindpunten A en B.
    Als u de all-connected modus gebruikt, bevat opgenomen verkeer echter alle communicatie tussen A of B en andere, externe eindpunten.

    De standaardmodus is internal. Als u de all-connected modus wilt gebruiken, selecteert u Y bij de prompt en voert u vervolgens in all-connected.

In het volgende voorbeeld ziet u een reeks prompts waarmee een opnamefilter wordt gemaakt om subnet 192.168.x.x en poort uit te sluiten 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Een geavanceerd filter maken voor specifieke onderdelen

Wanneer u geavanceerde opnamefilters configureert voor specifieke onderdelen, kunt u het opnamefilter gebruiken voor het opnemen en uitsluiten van bestanden als basis of sjabloon. Configureer vervolgens indien nodig extra filters voor elk onderdeel boven op de basis.

Als u een opnamefilter voor elk onderdeel wilt maken, moet u het hele proces voor elk onderdeel herhalen.

Notitie

Als u verschillende opnamefilters voor verschillende onderdelen hebt gemaakt, wordt de modusselectie gebruikt voor alle onderdelen. Het vastleggen van het opnamefilter voor één onderdeel definiëren als internal en het opnamefilter voor een ander onderdeel, zoals all-connected niet wordt ondersteund.

User Opdracht Volledige opdrachtsyntaxis
Admin network capture-filter Geen kenmerken.
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

De volgende extra kenmerken worden gebruikt voor de cyberx-gebruiker om afzonderlijke capturefilters voor elk onderdeel te maken:

Kenmerk Beschrijving
-p <PROGRAM>, --program <PROGRAM> Definieert het onderdeel waarvoor u een capture-filter wilt configureren, waarbij <PROGRAM> de volgende ondersteunde waarden zijn:
- traffic-monitor
- collector
- horizon
- all: Hiermee maakt u één capture-filter voor alle onderdelen. Zie Een basisfilter maken voor alle onderdelen voor meer informatie.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definieert een basisopnamefilter voor het horizon onderdeel, waarbij het filter is dat <BASE_HORIZON> u wilt gebruiken.
Standaardwaarde = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Hiermee definieert u een basisopnamefilter voor het traffic-monitor onderdeel.
Standaardwaarde = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Hiermee definieert u een basisopnamefilter voor het collector onderdeel.
Standaardwaarde = ""

Andere kenmerkwaarden hebben dezelfde beschrijvingen als in de basisgebruikscase, zoals eerder beschreven.

Een geavanceerd capture-filter maken met behulp van de gebruiker met beheerdersrechten

Als u een capture-filter maakt voor elk onderdeel afzonderlijk als beheerder, worden er geen kenmerken doorgegeven in de oorspronkelijke opdracht. In plaats daarvan wordt een reeks prompts weergegeven om u te helpen het opnamefilter interactief te maken.

De meeste prompts zijn identiek aan de basisgebruikscase. Beantwoord de volgende extra prompts als volgt:

  1. In which component do you wish to apply this capture filter?

    Voer een van de volgende waarden in, afhankelijk van het onderdeel dat u wilt filteren:

    • horizon
    • traffic-monitor
    • collector

  2. U wordt gevraagd om een aangepast basisopnamefilter voor het geselecteerde onderdeel te configureren. Deze optie maakt gebruik van het opnamefilter dat u in de vorige stappen hebt geconfigureerd als basis of sjabloon, waar u extra configuraties kunt toevoegen boven op de basis.

    Als u bijvoorbeeld een opnamefilter voor het collector onderdeel in de vorige stap hebt geconfigureerd, wordt u gevraagd: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Voer in Y om de sjabloon voor het opgegeven onderdeel aan te passen of N om het opnamefilter te gebruiken dat u eerder hebt geconfigureerd.

Ga verder met de resterende prompts, zoals in de basisgebruikscase.

Huidige opnamefilters voor specifieke onderdelen weergeven

Gebruik de volgende opdrachten om details weer te geven over de huidige opnamefilters die zijn geconfigureerd voor uw sensor.

User Opdracht Volledige opdrachtsyntaxis
Admin Gebruik de volgende opdrachten om de opnamefilters voor elk onderdeel weer te geven:

- horizon: edit-config horizon_parser/horizon.properties
- verkeersmonitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties		 Geen kenmerken
cyberx of beheerder met hoofdtoegang Gebruik de volgende opdrachten om de opnamefilters voor elk onderdeel weer te geven:

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- verkeersmonitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties		 Geen kenmerken

Met deze opdrachten worden de volgende bestanden geopend, waarin de opnamefilters worden vermeld die voor elk onderdeel zijn geconfigureerd:

Naam Bestand Eigenschappen
Horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
verkeersmonitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Collector /var/cyberx/properties/dumpark.properties dumpark.network.filter

Bijvoorbeeld met de gebruiker met beheerdersrechten , waarbij een opnamefilter is gedefinieerd voor het collectoronderdeel dat subnet 192.168.x.x en poort 9000 uitsluit:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Alle opnamefilters opnieuw instellen

Gebruik de volgende opdracht om uw sensor opnieuw in te stellen op de standaardconfiguratie voor vastleggen met de cyberx-gebruiker , waarbij alle capturefilters worden verwijderd.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter -p all -m all-connected Geen kenmerken

Als u de bestaande capture-filters wilt wijzigen, voert u de eerdere opdracht opnieuw uit, met nieuwe kenmerkwaarden.

Als u alle opnamefilters opnieuw wilt instellen met behulp van de gebruiker met beheerdersrechten, voert u de eerdere opdracht opnieuw uit en reageert u op N alle prompts om alle opnamefilters opnieuw in te stellen.

In het volgende voorbeeld ziet u de syntaxis en reactie van de cyberx-gebruiker:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Waarschuwingen

Een testwaarschuwing activeren

Gebruik de volgende opdracht om connectiviteit en het doorsturen van waarschuwingen van de sensor naar beheerconsoles te testen, waaronder Azure Portal, een on-premises Defender for IoT-beheerconsole of een SIEM van derden.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-trigger-test-alert Geen kenmerken

In het volgende voorbeeld ziet u de syntaxis en reactie van de cyberx-gebruiker:

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Waarschuwingsuitsluitingsregels van een OT-sensor

De volgende opdrachten bieden ondersteuning voor uitsluitingsfuncties voor waarschuwingen op uw OT-sensor, waaronder het weergeven van huidige uitsluitingsregels, het toevoegen en bewerken van regels en het verwijderen van regels.

Notitie

Uitsluitingsregels voor waarschuwingen die zijn gedefinieerd op een OT-sensor, kunnen worden overschreven door regels voor waarschuwingsuitsluiting die zijn gedefinieerd in uw on-premises beheerconsole.

Huidige waarschuwingsuitsluitingsregels weergeven

Gebruik de volgende opdracht om een lijst met momenteel geconfigureerde uitsluitingsregels weer te geven.

User Opdracht Volledige opdrachtsyntaxis
Admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx of beheerder met hoofdtoegang alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

In het volgende voorbeeld ziet u de syntaxis van de opdracht en het antwoord voor de gebruiker met beheerdersrechten:

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Een nieuwe regel voor waarschuwingsuitsluiting maken

Gebruik de volgende opdrachten om een lokale regel voor waarschuwingsuitsluiting op uw sensor te maken.

User Opdracht Volledige opdrachtsyntaxis
Admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx of beheerder met hoofdtoegang cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Ondersteunde kenmerken worden als volgt gedefinieerd:

Kenmerk Beschrijving
-h, --help Geeft het Help-bericht weer en wordt afgesloten.
[-n <NAME>], [--name <NAME>] Definieer de naam van de regel.
[-ts <TIMES>] [--time_span <TIMES>] Definieert de periode waarvoor de regel actief is, met behulp van de volgende syntaxis: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adresrichting die moet worden uitgesloten. Gebruik een van de volgende waarden: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Apparaatadressen of adrestypen die moeten worden uitgesloten, met behulp van de volgende syntaxis: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Waarschuwingsnamen die moeten worden uitgesloten, op hexwaarde. Bijvoorbeeld: 0x00000, 0x000001

In het volgende voorbeeld ziet u de syntaxis van de opdracht en het antwoord voor de gebruiker met beheerdersrechten:

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Een uitsluitingsregel voor waarschuwingen wijzigen

Gebruik de volgende opdrachten om een bestaande lokale waarschuwingsuitsluitingsregel op uw sensor te wijzigen.

User Opdracht Volledige opdrachtsyntaxis
Admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx of beheerder met hoofdtoegang exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Ondersteunde kenmerken worden als volgt gedefinieerd:

Kenmerk Beschrijving
-h, --help Geeft het Help-bericht weer en wordt afgesloten.
[-n <NAME>], [--name <NAME>] De naam van de regel die u wilt wijzigen.
[-ts <TIMES>] [--time_span <TIMES>] Definieert de periode waarvoor de regel actief is, met behulp van de volgende syntaxis: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adresrichting die moet worden uitgesloten. Gebruik een van de volgende waarden: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Apparaatadressen of adrestypen die moeten worden uitgesloten, met behulp van de volgende syntaxis: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Waarschuwingsnamen die moeten worden uitgesloten, op hexwaarde. Bijvoorbeeld: 0x00000, 0x000001

Gebruik de volgende opdrachtsyntaxis met de gebruiker met beheerdersrechten:

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Een waarschuwingsuitsluitingsregel verwijderen

Gebruik de volgende opdrachten om een bestaande regel voor lokale waarschuwingsuitsluiting op uw sensor te verwijderen.

User Opdracht Volledige opdrachtsyntaxis
Admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx of beheerder met hoofdtoegang exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Ondersteunde kenmerken worden als volgt gedefinieerd:

Kenmerk Beschrijving
-h, --help Geeft het Help-bericht weer en wordt afgesloten.
[-n <NAME>], [--name <NAME>] De naam van de regel die u wilt verwijderen.
[-ts <TIMES>] [--time_span <TIMES>] Definieert de periode waarvoor de regel actief is, met behulp van de volgende syntaxis: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adresrichting die moet worden uitgesloten. Gebruik een van de volgende waarden: both, srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Apparaatadressen of adrestypen die moeten worden uitgesloten, met behulp van de volgende syntaxis: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Waarschuwingsnamen die moeten worden uitgesloten, op hexwaarde. Bijvoorbeeld: 0x00000, 0x000001

In het volgende voorbeeld ziet u de syntaxis van de opdracht en het antwoord voor de gebruiker met beheerdersrechten:

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Volgende stappen

Meer informatie over Defender for IoT CLI-opdrachten