Delen via


CLI-opdrachtreferentie van OT-netwerksensoren

Dit artikel bevat de CLI-opdrachten die beschikbaar zijn via Defender for IoT OT-netwerksensoren.

Let op

Alleen gedocumenteerde configuratieparameters op de OT-netwerksensor en on-premises beheerconsole worden ondersteund voor de configuratie van de klant. Wijzig geen niet-gedocumenteerde configuratieparameters of systeemeigenschappen, omdat wijzigingen onverwacht gedrag en systeemfouten kunnen veroorzaken.

Het verwijderen van pakketten uit uw sensor zonder Goedkeuring van Microsoft kan onverwachte resultaten veroorzaken. Alle pakketten die op de sensor zijn geïnstalleerd, zijn vereist voor de juiste sensorfunctionaliteit.

Vereisten

Voordat u een van de volgende CLI-opdrachten kunt uitvoeren, hebt u als bevoegde gebruiker toegang nodig tot de CLI op uw OT-netwerksensor.

Hoewel in dit artikel de syntaxis van de opdracht voor elke gebruiker wordt vermeld, raden we u aan om de gebruiker met beheerdersrechten te gebruiken voor alle CLI-opdrachten waarvoor de gebruiker met beheerdersrechten wordt ondersteund.

Zie Toegang tot de CLI en bevoegde gebruikerstoegang voor OT-bewaking voor meer informatie.

Onderhoud van apparaten

Status van OT-bewakingsservices controleren

Gebruik de volgende opdrachten om te controleren of de Defender for IoT-toepassing op de OT-sensor correct werkt, met inbegrip van de webconsole- en verkeersanalyseprocessen.

Statuscontroles zijn ook beschikbaar via de OT-sensorconsole. Zie Problemen met de sensor oplossen voor meer informatie.

User Opdracht Volledige opdrachtsyntaxis
admin system sanity Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-sanity Geen kenmerken

In het volgende voorbeeld ziet u de syntaxis van de opdracht en het antwoord voor de gebruiker met beheerdersrechten:

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Een apparaat opnieuw opstarten

Gebruik de volgende opdrachten om het OT-sensorapparaat opnieuw op te starten.

User Opdracht Volledige opdrachtsyntaxis
admin system reboot Geen kenmerken
cyberx_host of beheerder met hoofdtoegang sudo reboot Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system reboot

Een apparaat afsluiten

Gebruik de volgende opdrachten om het OT-sensorapparaat af te sluiten.

User Opdracht Volledige opdrachtsyntaxis
admin system shutdown Geen kenmerken
cyberx_host of beheerder met hoofdtoegang sudo shutdown -r now Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system shutdown

Geïnstalleerde softwareversie weergeven

Gebruik de volgende opdrachten om de Defender for IoT-softwareversie weer te geven die op uw OT-sensor is geïnstalleerd.

User Opdracht Volledige opdrachtsyntaxis
admin system version Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-version Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system version
Version: 22.2.5.9-r-2121448

Huidige systeemdatum/-tijd weergeven

Gebruik de volgende opdrachten om de huidige systeemdatum en -tijd op uw OT-netwerksensor weer te geven in GMT-indeling.

User Opdracht Volledige opdrachtsyntaxis
admin date Geen kenmerken
cyberx of beheerder met hoofdtoegang date Geen kenmerken
cyberx_host of beheerder met hoofdtoegang date Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

NTP-tijdsynchronisatie inschakelen

Gebruik de volgende opdrachten om synchronisatie in te schakelen voor de tijd van het apparaat met een NTP-server.

Als u deze opdrachten wilt gebruiken, moet u ervoor zorgen dat:

  • De NTP-server kan worden bereikt vanaf de beheerpoort van het apparaat
  • U gebruikt dezelfde NTP-server om alle sensorapparaten en de on-premises beheerconsole te synchroniseren
User Opdracht Volledige opdrachtsyntaxis
admin ntp enable <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-ntp-enable <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4 NTP-server met poort 123.

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> ntp enable 129.6.15.28
shell>

NTP-tijdsynchronisatie uitschakelen

Gebruik de volgende opdrachten om de synchronisatie voor de tijd van het apparaat met een NTP-server uit te schakelen.

User Opdracht Volledige opdrachtsyntaxis
admin ntp disable <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-ntp-disable <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4 NTP-server met poort 123.

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> ntp disable 129.6.15.28
shell>

Back-ups en herstellen

In de volgende secties worden de CLI-opdrachten beschreven die worden ondersteund voor het maken van back-ups en het herstellen van een systeemmomentopname van uw OT-netwerksensor.

Back-upbestanden bevatten een volledige momentopname van de sensorstatus, waaronder configuratie-instellingen, basislijnwaarden, inventarisgegevens en logboeken.

Let op

Onderbreek een systeemback-up- of herstelbewerking niet, omdat dit ertoe kan leiden dat het systeem onbruikbaar wordt.

Een onmiddellijke, ongeplande back-up starten

Gebruik de volgende opdracht om een onmiddellijke, ongeplande back-up van de gegevens op uw OT-sensor te starten. Zie Back-up- en herstelbestanden instellen voor meer informatie.

Let op

Zorg ervoor dat u het apparaat niet stopt of uitschakelt tijdens het maken van back-ups van gegevens.

User Opdracht Volledige opdrachtsyntaxis
admin system backup create Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-backup Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Huidige back-upbestanden weergeven

Gebruik de volgende opdrachten om de back-upbestanden weer te geven die momenteel zijn opgeslagen op uw OT-netwerksensor.

User Opdracht Volledige opdrachtsyntaxis
admin system backup list Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-backup-list Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Gegevens terugzetten vanuit de meest recente back-up

Gebruik de volgende opdracht om gegevens op uw OT-netwerksensor te herstellen met behulp van het meest recente back-upbestand. Bevestig dat u wilt doorgaan wanneer u hierom wordt gevraagd.

Let op

Zorg ervoor dat u het apparaat niet stopt of uitschakelt tijdens het herstellen van gegevens.

User Opdracht Volledige opdrachtsyntaxis
admin system restore Geen kenmerken
cyberx of beheerder met hoofdtoegang cyberx-xsense-system-restore -f <filename>

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Toewijzing van back-upschijfruimte weergeven

Met de volgende opdracht wordt de huidige toewijzing van de back-upschijfruimte weergegeven, met inbegrip van de volgende details:

  • Locatie van back-upmap
  • Grootte van back-upmap
  • Beperkingen voor back-upmappen
  • Tijd van laatste back-upbewerking
  • Beschikbare schijfruimte voor back-ups
User Opdracht Volledige opdrachtsyntaxis
admin cyberx-backup-memory-check Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Lokaal gebruikersbeheer

Lokale gebruikerswachtwoorden wijzigen

Gebruik de volgende opdrachten om wachtwoorden te wijzigen voor lokale gebruikers op uw OT-sensor. Het nieuwe wachtwoord moet ten minste acht tekens bevatten, kleine letters en hoofdletters, alfabetische tekens, cijfers en symbolen bevatten.

Wanneer u het wachtwoord voor de beheerder wijzigt, wordt het wachtwoord gewijzigd voor zowel SSH als webtoegang.

User Opdracht Volledige opdrachtsyntaxis
admin system password <username>

In het volgende voorbeeld ziet u dat de gebruiker met beheerdersrechten het wachtwoord wijzigt. Het nieuwe wachtwoord wordt niet weergegeven op het scherm wanneer u het typt, zorg ervoor dat u schrijft om er een notitie van te maken en ervoor te zorgen dat het correct wordt getypt wanneer u wordt gevraagd om het wachtwoord opnieuw in te voeren.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Netwerkconfiguratie

Netwerkconfiguratie wijzigen of netwerkinterfacerollen opnieuw toewijzen

Gebruik de volgende opdracht om de wizard OT-bewakingssoftware opnieuw uit te voeren, waarmee u de volgende OT-sensorinstellingen kunt definiëren of opnieuw configureren:

  • SPAN-bewakingsinterfaces in- of uitschakelen
  • Netwerkinstellingen configureren voor de beheerinterface (IP, subnet, standaardgateway, DNS)
  • Een back-upmap toewijzen
User Opdracht Volledige opdrachtsyntaxis
admin sudo dpkg-reconfigure iot-sensor Geen kenmerken

Bijvoorbeeld met de gebruiker met beheerdersrechten:

shell> sudo dpkg-reconfigure iot-sensor

De configuratiewizard wordt automatisch gestart nadat u deze opdracht hebt uitgevoerd. Zie OT-bewakingssoftware installeren voor meer informatie.

Netwerkinterfaceconfiguratie valideren en weergeven

Gebruik de volgende opdrachten om de huidige netwerkinterfaceconfiguratie op de OT-sensor te valideren en weer te geven.

User Opdracht Volledige opdrachtsyntaxis
admin network validate Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Controleer de netwerkverbinding van de OT-sensor

Gebruik de volgende opdracht om een pingbericht van de OT-sensor te verzenden.

User Opdracht Volledige opdrachtsyntaxis
admin ping <IP address> Geen kenmerken
cyberx of beheerder met hoofdtoegang ping <IP address> Geen kenmerken

In deze opdrachten <IP address> is het IP-adres van een geldige IPv4-netwerkhost toegankelijk via de beheerpoort op uw OT-sensor.

Zoek een fysieke poort door de interfacelichten te knipperen

Gebruik de volgende opdracht om een specifieke fysieke interface te vinden door ervoor te zorgen dat de interfacelichten knipperen.

User Opdracht Volledige opdrachtsyntaxis
admin network blink <INT> Geen kenmerken

In deze opdracht <INT> is een fysieke ethernetpoort op het apparaat.

In het volgende voorbeeld ziet u dat de gebruiker met beheerdersrechten de eth0-interface knippert:

shell> network blink eth0
Blinking interface for 20 seconds ...

Gekoppelde fysieke interfaces weergeven

Gebruik de volgende opdracht om de verbonden fysieke interfaces op uw OT-sensor weer te geven.

User Opdracht Volledige opdrachtsyntaxis
admin network list Geen kenmerken
cyberx of beheerder met hoofdtoegang ifconfig Geen kenmerken

Bijvoorbeeld voor de gebruiker met beheerdersrechten :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filters voor het vastleggen van verkeer

Als u de vermoeidheid van waarschuwingen wilt verminderen en uw netwerkbewaking wilt richten op verkeer met hoge prioriteit, kunt u besluiten om het verkeer te filteren dat naar Defender for IoT bij de bron stroomt. Met capture-filters kunt u verkeer met hoge bandbreedte blokkeren op de hardwarelaag, waardoor zowel de prestaties van het apparaat als het resourcegebruik worden geoptimaliseerd.

Gebruik lijsten met opnemen/of uitsluiten om opnamefilters op uw OT-netwerksensoren te maken en te configureren. Zorg ervoor dat u geen verkeer blokkeert dat u wilt bewaken.

De basisgebruikscase voor capture-filters maakt gebruik van hetzelfde filter voor alle Defender for IoT-onderdelen. Voor geavanceerde gebruiksvoorbeelden kunt u echter afzonderlijke filters configureren voor elk van de volgende Defender voor IoT-onderdelen:

  • horizon: Legt DPI-gegevens (Deep Packet Inspection) vast
  • collector: Legt PCAP-gegevens vast
  • traffic-monitor: Legt communicatiestatistieken vast

Notitie

  • Capture-filters zijn niet van toepassing op Defender for IoT-malwarewaarschuwingen, die worden geactiveerd op al het gedetecteerde netwerkverkeer.

  • De opdracht Capture Filter heeft een tekenlengtelimiet die is gebaseerd op de complexiteit van de definitie van het opnamefilter en de beschikbare mogelijkheden voor netwerkinterfacekaarten. Als de aangevraagde filteropdracht mislukt, probeert u subnetten te groeperen in grotere bereiken en een kortere opdracht voor het vastleggen van filters te gebruiken.

Een basisfilter maken voor alle onderdelen

De methode die wordt gebruikt voor het configureren van een basisopnamefilter verschilt, afhankelijk van de gebruiker die de opdracht uitvoert:

  • cyberxgebruiker : voer de opgegeven opdracht uit met specifieke kenmerken om uw capture-filter te configureren.
  • gebruiker met beheerdersrechten : voer de opgegeven opdracht uit en voer vervolgens waarden in zoals wordt gevraagd door de CLI, waarbij u de lijsten opnemen en uitsluiten in een nano-editor bewerkt.

Gebruik de volgende opdrachten om een nieuw capture-filter te maken:

User Opdracht Volledige opdrachtsyntaxis
admin network capture-filter Geen kenmerken.
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Ondersteunde kenmerken voor de cyberx-gebruiker worden als volgt gedefinieerd:

Kenmerk Beschrijving
-h, --help Geeft het Help-bericht weer en wordt afgesloten.
-i <INCLUDE>, --include <INCLUDE> Het pad naar een bestand dat de apparaten en subnetmaskers bevat die u wilt opnemen, waar <INCLUDE> is het pad naar het bestand. Zie voorbeeldbestand opnemen of uitsluiten.
-x EXCLUDE, --exclude EXCLUDE Het pad naar een bestand dat de apparaten en subnetmaskers bevat die u wilt uitsluiten, waar <EXCLUDE> is het pad naar het bestand. Zie voorbeeldbestand opnemen of uitsluiten.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Sluit TCP-verkeer uit op opgegeven poorten, waarbij de <EXCLUDE_TCP_PORT> poort of poorten worden gedefinieerd die u wilt uitsluiten. Meerdere poorten scheiden door komma's, zonder spaties.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Sluit UDP-verkeer uit op opgegeven poorten, waarbij de <EXCLUDE_UDP_PORT> poort of poorten worden gedefinieerd die u wilt uitsluiten. Meerdere poorten scheiden door komma's, zonder spaties.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Bevat TCP-verkeer op opgegeven poorten, waarbij de <INCLUDE_TCP_PORT> poort of poorten worden gedefinieerd die u wilt opnemen. Meerdere poorten scheiden door komma's, zonder spaties.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Bevat UDP-verkeer op opgegeven poorten, waarbij de <INCLUDE_UDP_PORT> poort of poorten worden gedefinieerd die u wilt opnemen. Meerdere poorten scheiden door komma's, zonder spaties.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Bevat VLAN-verkeer door opgegeven VLAN-id's, <INCLUDE_VLAN_IDS> definieert de VLAN-id of id's die u wilt opnemen. Scheidingstekens voor meerdere VLAN-id's door komma's, zonder spaties.
-p <PROGRAM>, --program <PROGRAM> Hiermee definieert u het onderdeel waarvoor u een capture-filter wilt configureren. Gebruik all dit voor eenvoudige gebruiksvoorbeelden om één capturefilter te maken voor alle onderdelen.

Maak voor geavanceerde gebruiksvoorbeelden afzonderlijke capturefilters voor elk onderdeel. Zie Een geavanceerd filter maken voor specifieke onderdelen voor meer informatie.
-m <MODE>, --mode <MODE> Definieert een insluitingslijstmodus en is alleen relevant wanneer een insluitingslijst wordt gebruikt. Gebruik een van de volgende waarden:

- internal: Bevat alle communicatie tussen de opgegeven bron en bestemming
- all-connected: Bevat alle communicatie tussen een van de opgegeven eindpunten en externe eindpunten.

Bijvoorbeeld, voor eindpunten A en B, als u de internal modus gebruikt, bevat opgenomen verkeer alleen communicatie tussen eindpunten A en B.
Als u de all-connected modus gebruikt, bevat opgenomen verkeer echter alle communicatie tussen A of B en andere, externe eindpunten.

Voorbeeldbestand opnemen of uitsluiten

Een insluitings- of .txt uitsluitingsbestand kan bijvoorbeeld de volgende vermeldingen bevatten:

192.168.50.10
172.20.248.1

Een basisopnamefilter maken met behulp van de gebruiker met beheerdersrechten

Als u een basisfilter voor vastleggen maakt als beheerder, worden er geen kenmerken doorgegeven in de oorspronkelijke opdracht. In plaats daarvan wordt een reeks prompts weergegeven om u te helpen het opnamefilter interactief te maken.

Beantwoord de aanwijzingen die als volgt worden weergegeven:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Selecteer Y deze optie om een nieuw include-bestand te openen, waar u een apparaat, kanaal en/of subnet kunt toevoegen dat u wilt opnemen in bewaakt verkeer. Ander verkeer, dat niet wordt vermeld in uw include-bestand, wordt niet opgenomen in Defender for IoT.

    Het include-bestand wordt geopend in de Nano-teksteditor . Definieer in het include-bestand apparaten, kanalen en subnetten als volgt:

    Type Description Voorbeeld
    Apparaat Definieer een apparaat op basis van het IP-adres. 1.1.1.1 omvat al het verkeer voor dit apparaat.
    Kanaal Definieer een kanaal door de IP-adressen van de bron- en doelapparaten, gescheiden door een komma. 1.1.1.1,2.2.2.2 bevat al het verkeer voor dit kanaal.
    Subnet Definieer een subnet op basis van het netwerkadres. 1.1.1 bevat al het verkeer voor dit subnet.

    Meerdere argumenten in afzonderlijke rijen weergeven.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Selecteer Y deze optie om een nieuw uitsluitingsbestand te openen waarin u een apparaat, kanaal en/of subnet kunt toevoegen dat u wilt uitsluiten van bewaakt verkeer. Elk ander verkeer, dat niet wordt vermeld in uw uitsluitingsbestand, wordt opgenomen in Defender for IoT.

    Het uitsluitingsbestand wordt geopend in de Nano-teksteditor . Definieer in het uitsluitingsbestand apparaten, kanalen en subnetten als volgt:

    Type Description Voorbeeld
    Apparaat Definieer een apparaat op basis van het IP-adres. 1.1.1.1 sluit al het verkeer voor dit apparaat uit.
    Kanaal Definieer een kanaal door de IP-adressen van de bron- en doelapparaten, gescheiden door een komma. 1.1.1.1,2.2.2.2 sluit al het verkeer tussen deze apparaten uit.
    Kanaal per poort Definieer een kanaal op basis van de IP-adressen van de bron- en doelapparaten en de verkeerspoort. 1.1.1.1,2.2.2.2,443 sluit al het verkeer tussen deze apparaten en het gebruik van de opgegeven poort uit.
    Subnet Definieer een subnet op basis van het netwerkadres. 1.1.1 sluit al het verkeer voor dit subnet uit.
    Subnetkanaal Definieer netwerkadressen van het subnetkanaal voor de bron- en doelsubnetten. 1.1.1,2.2.2 sluit al het verkeer tussen deze subnetten uit.

    Meerdere argumenten in afzonderlijke rijen weergeven.

  3. Beantwoord de volgende prompts om TCP- of UDP-poorten te definiëren die moeten worden opgenomen of uitgesloten. Scheid meerdere poorten per komma en druk op Enter om een specifieke prompt over te slaan.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Voer bijvoorbeeld als volgt meerdere poorten in: 502,443

  4. In which component do you wish to apply this capture filter?

    Voer in all voor een basisopnamefilter. Voor geavanceerde use cases maakt u afzonderlijke capture-filters voor elk Defender for IoT-onderdeel.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Met deze prompt kunt u configureren welk verkeer binnen het bereik valt. Geef aan of u verkeer wilt verzamelen waarin beide eindpunten binnen het bereik vallen of slechts één van deze eindpunten zich in het opgegeven subnet bevindt. Ondersteunde waarden zijn onder andere:

    • internal: Bevat alle communicatie tussen de opgegeven bron en bestemming
    • all-connected: Bevat alle communicatie tussen een van de opgegeven eindpunten en externe eindpunten.

    Bijvoorbeeld, voor eindpunten A en B, als u de internal modus gebruikt, bevat opgenomen verkeer alleen communicatie tussen eindpunten A en B.
    Als u de all-connected modus gebruikt, bevat opgenomen verkeer echter alle communicatie tussen A of B en andere, externe eindpunten.

    De standaardmodus is internal. Als u de all-connected modus wilt gebruiken, selecteert u Y bij de prompt en voert u vervolgens in all-connected.

In het volgende voorbeeld ziet u een reeks prompts waarmee een opnamefilter wordt gemaakt om subnet 192.168.x.x en poort uit te sluiten 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Een geavanceerd filter maken voor specifieke onderdelen

Wanneer u geavanceerde opnamefilters configureert voor specifieke onderdelen, kunt u het opnamefilter gebruiken voor het opnemen en uitsluiten van bestanden als basis of sjabloon. Configureer vervolgens indien nodig extra filters voor elk onderdeel boven op de basis.

Als u een opnamefilter voor elk onderdeel wilt maken, moet u het hele proces voor elk onderdeel herhalen.

Notitie

Als u verschillende opnamefilters voor verschillende onderdelen hebt gemaakt, wordt de modusselectie gebruikt voor alle onderdelen. Het vastleggen van het opnamefilter voor één onderdeel definiëren als internal en het opnamefilter voor een ander onderdeel, zoals all-connected niet wordt ondersteund.

User Opdracht Volledige opdrachtsyntaxis
admin network capture-filter Geen kenmerken.
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

De volgende extra kenmerken worden gebruikt voor de cyberx-gebruiker om afzonderlijke capturefilters voor elk onderdeel te maken:

Kenmerk Beschrijving
-p <PROGRAM>, --program <PROGRAM> Definieert het onderdeel waarvoor u een capture-filter wilt configureren, waarbij <PROGRAM> de volgende ondersteunde waarden zijn:
- traffic-monitor
- collector
- horizon
- all: Hiermee maakt u één capture-filter voor alle onderdelen. Zie Een basisfilter maken voor alle onderdelen voor meer informatie.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definieert een basisopnamefilter voor het horizon onderdeel, waarbij het filter is dat <BASE_HORIZON> u wilt gebruiken.
Standaardwaarde = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Hiermee definieert u een basisopnamefilter voor het traffic-monitor onderdeel.
Standaardwaarde = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Hiermee definieert u een basisopnamefilter voor het collector onderdeel.
Standaardwaarde = ""

Andere kenmerkwaarden hebben dezelfde beschrijvingen als in de basisgebruikscase, zoals eerder beschreven.

Een geavanceerd capture-filter maken met behulp van de gebruiker met beheerdersrechten

Als u een capture-filter maakt voor elk onderdeel afzonderlijk als beheerder, worden er geen kenmerken doorgegeven in de oorspronkelijke opdracht. In plaats daarvan wordt een reeks prompts weergegeven om u te helpen het opnamefilter interactief te maken.

De meeste prompts zijn identiek aan de basisgebruikscase. Beantwoord de volgende extra prompts als volgt:

  1. In which component do you wish to apply this capture filter?

    Voer een van de volgende waarden in, afhankelijk van het onderdeel dat u wilt filteren:

    • horizon
    • traffic-monitor
    • collector
  2. U wordt gevraagd om een aangepast basisopnamefilter voor het geselecteerde onderdeel te configureren. Deze optie maakt gebruik van het opnamefilter dat u in de vorige stappen hebt geconfigureerd als basis of sjabloon, waar u extra configuraties kunt toevoegen boven op de basis.

    Als u bijvoorbeeld een opnamefilter voor het collector onderdeel in de vorige stap hebt geconfigureerd, wordt u gevraagd: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Voer in Y om de sjabloon voor het opgegeven onderdeel aan te passen of N om het opnamefilter te gebruiken dat u eerder hebt geconfigureerd.

Ga verder met de resterende prompts, zoals in de basisgebruikscase.

Huidige opnamefilters voor specifieke onderdelen weergeven

Gebruik de volgende opdrachten om details weer te geven over de huidige opnamefilters die zijn geconfigureerd voor uw sensor.

User Opdracht Volledige opdrachtsyntaxis
admin Gebruik de volgende opdrachten om de opnamefilters voor elk onderdeel weer te geven:

- horizon: edit-config horizon_parser/horizon.properties
- verkeersmonitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties
Geen kenmerken
cyberx of beheerder met hoofdtoegang Gebruik de volgende opdrachten om de opnamefilters voor elk onderdeel weer te geven:

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- verkeersmonitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties
Geen kenmerken

Met deze opdrachten worden de volgende bestanden geopend, waarin de opnamefilters worden vermeld die voor elk onderdeel zijn geconfigureerd:

Naam Bestand Eigenschappen
horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
verkeersmonitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
verzamelaar /var/cyberx/properties/dumpark.properties dumpark.network.filter

Bijvoorbeeld met de gebruiker met beheerdersrechten , waarbij een opnamefilter is gedefinieerd voor het collectoronderdeel dat subnet 192.168.x.x en poort 9000 uitsluit:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Alle opnamefilters opnieuw instellen

Gebruik de volgende opdracht om uw sensor opnieuw in te stellen op de standaardconfiguratie voor vastleggen met de cyberx-gebruiker , waarbij alle capturefilters worden verwijderd.

User Opdracht Volledige opdrachtsyntaxis
cyberx of beheerder met hoofdtoegang cyberx-xsense-capture-filter -p all -m all-connected Geen kenmerken

Als u de bestaande capture-filters wilt wijzigen, voert u de eerdere opdracht opnieuw uit, met nieuwe kenmerkwaarden.

Als u alle opnamefilters opnieuw wilt instellen met behulp van de gebruiker met beheerdersrechten, voert u de eerdere opdracht opnieuw uit en reageert u op N alle prompts om alle opnamefilters opnieuw in te stellen.

In het volgende voorbeeld ziet u de syntaxis en reactie van de cyberx-gebruiker:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Volgende stappen