Udostępnij za pośrednictwem

Dokumentacja poleceń interfejsu wiersza polecenia z czujników sieci OT

  • Artykuł

W tym artykule wymieniono polecenia interfejsu wiersza polecenia dostępne z czujników sieciowych usługi Defender for IoT OT.

Uwaga

Tylko udokumentowane parametry konfiguracji w czujniku sieci OT i lokalnej konsoli zarządzania są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.

Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.

Wymagania wstępne

Przed uruchomieniem dowolnego z następujących poleceń interfejsu wiersza polecenia musisz mieć dostęp do interfejsu wiersza polecenia w czujniku sieci OT jako użytkownik uprzywilejowany.

Chociaż w tym artykule wymieniono składnię poleceń dla każdego użytkownika, zalecamy użycie użytkownika administratora dla wszystkich poleceń interfejsu wiersza polecenia, w których jest obsługiwany użytkownik administracyjny .

Jeśli używasz starszej wersji oprogramowania czujnika, być może masz dostęp do starszego użytkownika pomocy technicznej . W takich przypadkach wszystkie polecenia wymienione jako obsługiwane dla użytkownika administracyjnego są obsługiwane przez starszego użytkownika pomocy technicznej.

Aby uzyskać więcej informacji, zobacz Access the CLI and Privileged user access for OT monitoring (Uzyskiwanie dostępu do interfejsu wiersza polecenia i dostępu uprzywilejowanego użytkownika do monitorowania ot).

Konserwacja urządzenia

Sprawdzanie kondycji usług monitorowania ot

Użyj następujących poleceń, aby sprawdzić, czy aplikacja Defender for IoT w czujniku OT działa prawidłowo, w tym konsoli internetowej i procesów analizy ruchu.

Testy kondycji są również dostępne w konsoli czujnika OT. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z czujnikiem.

User Polecenie Pełna składnia polecenia
Admin system sanity Brak atrybutów
cyberx lub administrator z dostępem głównym cyberx-xsense-sanity Brak atrybutów

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Ponowne uruchamianie i zamykanie

Ponowne uruchamianie urządzenia

Użyj następujących poleceń, aby ponownie uruchomić urządzenie czujnika OT.

User Polecenie Pełna składnia polecenia
Admin system reboot Brak atrybutów
cyberx , lub administrator z dostępem głównym sudo reboot Brak atrybutów
cyberx_host lub administrator z dostępem głównym sudo reboot Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: system reboot

Zamykanie urządzenia

Użyj następujących poleceń, aby zamknąć urządzenie czujnika OT.

User Polecenie Pełna składnia polecenia
Admin system shutdown Brak atrybutów
cyberx , lub administrator z dostępem głównym sudo shutdown -r now Brak atrybutów
cyberx_host lub administrator z dostępem głównym sudo shutdown -r now Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: system shutdown

Wersje oprogramowania

Pokaż zainstalowaną wersję oprogramowania

Użyj następujących poleceń, aby wyświetlić listę wersji oprogramowania Defender for IoT zainstalowanej na czujniku OT.

User Polecenie Pełna składnia polecenia
Admin system version Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-version Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Aktualizowanie oprogramowania czujnika za pomocą interfejsu wiersza polecenia

Aby uzyskać więcej informacji, zobacz Aktualizowanie czujników.

Data, godzina i NTP

Pokaż bieżącą datę/godzinę systemu

Użyj następujących poleceń, aby wyświetlić bieżącą datę i godzinę systemu w czujniku sieci OT w formacie GMT.

User Polecenie Pełna składnia polecenia
Admin date Brak atrybutów
cyberx , lub administrator z dostępem głównym date Brak atrybutów
cyberx_host lub administrator z dostępem głównym date Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Włączanie synchronizacji czasu NTP

Użyj następujących poleceń, aby włączyć synchronizację czasu urządzenia z serwerem NTP.

Aby użyć tych poleceń, upewnij się, że:

  • Serwer NTP można uzyskać z portu zarządzania urządzeniem
  • Ten sam serwer NTP służy do synchronizowania wszystkich urządzeń czujników i lokalnej konsoli zarządzania
User Polecenie Pełna składnia polecenia
Admin ntp enable <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-ntp-enable <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.

Na przykład dla użytkownika administratora :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Wyłączanie synchronizacji czasu NTP

Użyj następujących poleceń, aby wyłączyć synchronizację czasu urządzenia z serwerem NTP.

User Polecenie Pełna składnia polecenia
Admin ntp disable <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-ntp-disable <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.

Na przykład dla użytkownika administratora :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Tworzenie kopii zapasowej i przywracanie

W poniższych sekcjach opisano polecenia interfejsu wiersza polecenia obsługiwane do tworzenia kopii zapasowych i przywracania migawki systemu czujnika sieciowego OT.

Pliki kopii zapasowej obejmują pełną migawkę stanu czujnika, w tym ustawienia konfiguracji, wartości punktu odniesienia, dane spisu i dzienniki.

Uwaga

Nie przerywaj operacji tworzenia kopii zapasowej lub przywracania systemu, ponieważ może to spowodować, że system stanie się bezużyteczny.

Wyświetlanie listy bieżących plików kopii zapasowej

Użyj następujących poleceń, aby wyświetlić listę plików kopii zapasowych przechowywanych obecnie w czujniku sieci OT.

User Polecenie Pełna składnia polecenia
Admin system backup-list Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-system-backup-list Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Uruchamianie natychmiastowej, nieplanowanej kopii zapasowej

Użyj następujących poleceń, aby uruchomić natychmiastową, nieplanowaną kopię zapasową danych na czujniku OT. Aby uzyskać więcej informacji, zobacz Konfigurowanie plików kopii zapasowych i przywracania.

Uwaga

Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas tworzenia kopii zapasowej danych.

User Polecenie Pełna składnia polecenia
Admin system backup Brak atrybutów
cyberx , lub administrator z dostępem głównym cyberx-xsense-system-backup Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Przywracanie danych z najnowszej kopii zapasowej

Użyj następujących poleceń, aby przywrócić dane z czujnika sieciowego OT przy użyciu najnowszego pliku kopii zapasowej. Po wyświetleniu monitu potwierdź, że chcesz kontynuować.

Uwaga

Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas przywracania danych.

User Polecenie Pełna składnia polecenia
Admin system restore Brak atrybutów
cyberx lub administrator z dostępem głównym cyberx-xsense-system-restore -f <filename>

Na przykład dla użytkownika administratora :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Wyświetlanie alokacji miejsca na dysku kopii zapasowej

Następujące polecenie zawiera listę bieżącej alokacji miejsca na dysku kopii zapasowej, w tym następujące szczegóły:

  • Lokalizacja folderu kopii zapasowej
  • Rozmiar folderu kopii zapasowej
  • Ograniczenia folderu kopii zapasowej
  • Czas ostatniej operacji tworzenia kopii zapasowej
  • Wolne miejsce na dysku dostępne dla kopii zapasowych
User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-backup-memory-check Brak atrybutów

Na przykład dla użytkownika cyberx :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certyfikat TLS/SSL

Importowanie certyfikatów TLS/SSL do czujnika OT

Użyj następującego polecenia, aby zaimportować certyfikaty TLS/SSL do czujnika z interfejsu wiersza polecenia.

Aby użyć tego polecenia:

  • Sprawdź, czy plik certyfikatu, który chcesz zaimportować, można odczytać na urządzeniu. Przekaż pliki certyfikatów do urządzenia przy użyciu narzędzi, takich jak WinSCP lub Wget.
  • Potwierdź w biurze IT, że domena urządzenia wyświetlana w certyfikacie jest poprawna dla serwera DNS i odpowiedniego adresu IP.

Aby uzyskać więcej informacji, zobacz Przygotowywanie certyfikatów podpisanych przez urząd certyfikacji i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH] [--key <FILE NAME>] [--chain <PATH>>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]"

W tym poleceniu:

  • -h: Wyświetla pełną składnię pomocy polecenia

  • --crt: ścieżka do pliku certyfikatu, który chcesz przekazać, z .crt rozszerzeniem

  • --key\*.key: plik, którego chcesz użyć dla certyfikatu. Długość klucza musi wynosić co najmniej 2048 bitów

  • --chain: ścieżka do pliku łańcucha certyfikatów. Opcjonalny.

  • --pass: hasło używane do szyfrowania certyfikatu. Opcjonalny.

    Następujące znaki są obsługiwane w przypadku tworzenia klucza lub certyfikatu przy użyciu hasła:

    • Znaki ASCII, w tym a-z, A-Z, 0-9
    • Następujące znaki specjalne: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Nieużywane i domyślnie ustawione na wartość False . Ustaw wartość True , aby użyć hasła dostarczonego z poprzednim certyfikatem. Opcjonalny.

Na przykład dla użytkownika cyberx :

root@xsense:/# cyberx-xsense-certificate-import

Przywracanie domyślnego certyfikatu z podpisem własnym

Użyj następującego polecenia, aby przywrócić domyślne certyfikaty z podpisem własnym na urządzeniu czujnika. Zalecamy użycie tego działania tylko do rozwiązywania problemów, a nie w środowiskach produkcyjnych.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-create-self-signed-certificate Brak atrybutów

Na przykład dla użytkownika cyberx :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Lokalne zarządzanie użytkownikami

Zmienianie haseł użytkowników lokalnych

Użyj następujących poleceń, aby zmienić hasła dla użytkowników lokalnych w czujniku OT.

Po zmianie hasła administratora, cyberx lub użytkownika cyberx_host hasło zostanie zmienione zarówno dla protokołu SSH, jak i dostępu do internetu.

User Polecenie Pełna składnia polecenia
cyberx , lub administrator z dostępem głównym cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host lub administrator z dostępem głównym passwd Brak atrybutów

W poniższym przykładzie pokazano, jak użytkownik cyberx resetuje hasło użytkownika administratora do elementu jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

W poniższym przykładzie przedstawiono cyberx_host użytkownika zmieniającego hasło użytkownika cyberx_host .

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Kontrolowanie limitów czasu sesji użytkownika

Zdefiniuj czas, po którym użytkownicy są automatycznie wylogowani z czujnika OT. Zdefiniuj tę wartość w pliku właściwości zapisanym na czujniku. nie, aby uzyskać więcej informacji, zobacz Kontrolowanie limitów czasu sesji użytkownika.

Definiowanie maksymalnej liczby logowanych zakończonych niepowodzeniem

Zdefiniuj maksymalnie nieudane logowania, zanim czujnik OT uniemożliwi użytkownikowi ponowne zalogowanie się z tego samego adresu IP. Zdefiniuj tę wartość w pliku właściwości zapisanym na czujniku.

Aby uzyskać więcej informacji, zobacz Definiowanie maksymalnej liczby nieudanych logowania.

Konfiguracja sieci

Ustawienia sieciowe

Zmienianie konfiguracji sieci lub ponowne przypisywanie ról interfejsu sieciowego

Użyj następującego polecenia, aby ponownie uruchomić kreatora konfiguracji oprogramowania do monitorowania ot, który pomaga zdefiniować lub ponownie skonfigurować następujące ustawienia czujnika OT:

  • Włączanie/wyłączanie interfejsów monitorowania SPAN
  • Konfigurowanie ustawień sieci dla interfejsu zarządzania (ADRES IP, podsieć, brama domyślna, DNS)
  • Przypisywanie katalogu kopii zapasowej
User Polecenie Pełna składnia polecenia
cyberx_host lub administrator z dostępem głównym sudo dpkg-reconfigure iot-sensor Brak atrybutów

Na przykład w przypadku użytkownika cyberx_host :

root@xsense:/# sudo dpkg-reconfigure iot-sensor

Kreator konfiguracji jest uruchamiany automatycznie po uruchomieniu tego polecenia. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania OT.

Weryfikowanie i wyświetlanie konfiguracji interfejsu sieciowego

Użyj następujących poleceń, aby zweryfikować i wyświetlić bieżącą konfigurację interfejsu sieciowego na czujniku OT.

User Polecenie Pełna składnia polecenia
Admin network validate Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Łączność sieciowa

Sprawdzanie łączności sieciowej z czujnika OT

Użyj następujących poleceń, aby wysłać komunikat ping z czujnika OT.

User Polecenie Pełna składnia polecenia
Admin ping <IP address> Brak atrybutów
cyberx , lub administrator z dostępem głównym ping <IP address> Brak atrybutów

W tych poleceniach <IP address> jest adres IP prawidłowego hosta sieciowego IPv4 dostępnego z portu zarządzania na czujniku OT.

Sprawdzanie bieżącego obciążenia interfejsu sieciowego

Użyj następującego polecenia, aby wyświetlić ruch sieciowy i przepustowość przy użyciu sześciosekundowego testu.

User Polecenie Pełna składnia polecenia
cyberx , lub administrator z dostępem głównym cyberx-nload Brak atrybutów 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Sprawdzanie połączenia internetowego

Użyj następującego polecenia, aby sprawdzić łączność z Internetem na urządzeniu.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-internet-connectivity Brak atrybutów 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Ustawianie limitu przepustowości dla interfejsu sieciowego zarządzania

Użyj następującego polecenia, aby ustawić limit przepustowości ruchu wychodzącego dla przekazywania z interfejsu zarządzania czujnika OT do witryny Azure Portal lub lokalnej konsoli zarządzania.

Ustawienie limitów przepustowości ruchu wychodzącego może być pomocne w utrzymaniu jakości usług (QoS). To polecenie jest obsługiwane tylko w środowiskach ograniczonych przepustowości, takich jak za pośrednictwem satelity lub łącza szeregowego.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

W tym poleceniu:

  • -h lub --help: Wyświetla składnię pomocy polecenia

  • --interface <INTERFACE VALUE>: czy interfejs, który chcesz ograniczyć, na przykład eth0

  • --limit <LIMIT VALUE>: limit, który chcesz ustawić, na przykład 30kbit. Użyj jednej z następujących jednostek:

    • kbps: Kilobajty na sekundę
    • mbps: Megabajty na sekundę
    • kbit: Kilobity na sekundę
    • mbit: Megabity na sekundę
    • bps lub liczba nagie: bajty na sekundę

  • --clear: czyści wszystkie ustawienia określonego interfejsu

Na przykład dla użytkownika cyberx :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Interfejsy fizyczne

Lokalizowanie portu fizycznego przez świateł interfejsu

Użyj następującego polecenia, aby zlokalizować określony interfejs fizyczny, powodując świateł interfejsu.

User Polecenie Pełna składnia polecenia
Admin network blink <INT> Brak atrybutów

W tym poleceniu <INT> znajduje się fizyczny port ethernet na urządzeniu.

W poniższym przykładzie pokazano, jak administrator interfejs eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Wyświetlanie listy połączonych interfejsów fizycznych

Użyj następujących poleceń, aby wyświetlić listę połączonych interfejsów fizycznych w czujniku OT.

User Polecenie Pełna składnia polecenia
Admin network list Brak atrybutów
cyberx lub administrator z dostępem głównym ifconfig Brak atrybutów

Na przykład dla użytkownika administratora :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtry przechwytywania ruchu

Aby zmniejszyć zmęczenie alertami i skoncentrować monitorowanie sieci na ruchu o wysokim priorytcie, możesz zdecydować się na filtrowanie ruchu przesyłanego strumieniowo do usługi Defender dla IoT w źródle. Filtry przechwytywania umożliwiają blokowanie ruchu o wysokiej przepustowości w warstwie sprzętowej, optymalizowanie wydajności i użycia zasobów urządzenia.

Użyj list dołączania/lub wykluczania, aby utworzyć i skonfigurować filtry przechwytywania w czujnikach sieci OT, upewniając się, że nie blokujesz żadnego ruchu, który chcesz monitorować.

Podstawowy przypadek użycia filtrów przechwytywania używa tego samego filtru dla wszystkich składników usługi Defender dla IoT. Jednak w przypadku zaawansowanych przypadków użycia można skonfigurować oddzielne filtry dla każdego z następujących składników usługi Defender dla IoT:

  • horizon: przechwytuje szczegółowe dane inspekcji pakietów (DPI)
  • collector: przechwytuje dane protokołu PCAP
  • traffic-monitor: przechwytuje statystyki komunikacji

Uwaga

  • Filtry przechwytywania nie mają zastosowania do alertów złośliwego oprogramowania usługi Defender dla IoT, które są wyzwalane we wszystkich wykrytych ruchach sieciowych.

  • Polecenie filtru przechwytywania ma limit długości znaków oparty na złożoności definicji filtru przechwytywania i dostępnych możliwości karty sieciowej. Jeśli żądany filtr nie powiedzie się, spróbuj zgrupować podsieci w większe zakresy i użyć krótszego polecenia filtru przechwytywania.

Tworzenie podstawowego filtru dla wszystkich składników

Metoda używana do konfigurowania podstawowego filtru przechwytywania różni się w zależności od użytkownika wykonującego polecenie:

  • cyberx użytkownik: uruchom określone polecenie z określonymi atrybutami, aby skonfigurować filtr przechwytywania.
  • administrator: uruchom określone polecenie, a następnie wprowadź wartości w wierszu polecenia, edytując listy dołączania i wykluczania w edytorze nano.

Użyj następujących poleceń, aby utworzyć nowy filtr przechwytywania:

User Polecenie Pełna składnia polecenia
Admin network capture-filter Brak atrybutów.
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Obsługiwane atrybuty dla użytkownika cyberx są definiowane w następujący sposób:

Atrybut opis
-h, --help Wyświetla komunikat pomocy i kończy działanie.
-i <INCLUDE>, --include <INCLUDE> Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz uwzględnić, gdzie <INCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania.
-x EXCLUDE, --exclude EXCLUDE Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz wykluczyć, gdzie <EXCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Wyklucza ruch TCP na dowolnych określonych portach, gdzie <EXCLUDE_TCP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Wyklucza ruch UDP na dowolnych określonych portach, gdzie <EXCLUDE_UDP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Obejmuje ruch TCP na dowolnych określonych portach, gdzie <INCLUDE_TCP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Obejmuje ruch UDP na dowolnych określonych portach, gdzie <INCLUDE_UDP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Zawiera ruch sieci VLAN według określonych identyfikatorów sieci VLAN, <INCLUDE_VLAN_IDS> definiuje identyfikator sieci VLAN lub identyfikatory, które chcesz uwzględnić. Ogranicz wiele identyfikatorów sieci VLAN według przecinków bez spacji.
-p <PROGRAM>, --program <PROGRAM> Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania. Użyj all w przypadku podstawowych przypadków użycia, aby utworzyć jeden filtr przechwytywania dla wszystkich składników.

W przypadku zaawansowanych przypadków użycia utwórz oddzielne filtry przechwytywania dla każdego składnika. Aby uzyskać więcej informacji, zobacz Tworzenie zaawansowanego filtru dla określonych składników.
-m <MODE>, --mode <MODE> Definiuje tryb listy dołączania i ma zastosowanie tylko wtedy, gdy jest używana lista dołączania. Użyj jednej z następujących wartości:

- internal: obejmuje całą komunikację między określonym źródłem a miejscem docelowym
- all-connected: obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych.

Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B.
Jeśli jednak używasz all-connected trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi.

Przykładowy plik dołączania lub wykluczania

Na przykład plik dołączania lub wykluczania .txt może zawierać następujące wpisy:

192.168.50.10
172.20.248.1

Tworzenie podstawowego filtru przechwytywania przy użyciu użytkownika administratora

Jeśli tworzysz podstawowy filtr przechwytywania jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.

Odpowiedz na monity wyświetlane w następujący sposób:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Wybierz Y , aby otworzyć nowy plik dołączania, w którym możesz dodać urządzenie, kanał i/lub podsieć, które chcesz uwzględnić w monitorowanych ruchu. Żaden inny ruch, nie wymieniony w pliku dołączania, nie jest pozyskiwany do usługi Defender dla IoT.

    Plik dołączania jest otwierany w edytorze tekstów Nano . W pliku dołączania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

    Type Opis Przykład
    Device Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1 obejmuje cały ruch dla tego urządzenia.
    Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2 zawiera cały ruch dla tego kanału.
    Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1 zawiera cały ruch dla tej podsieci.

    Wyświetl wiele argumentów w oddzielnych wierszach.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Wybierz Y , aby otworzyć nowy plik wykluczania, w którym można dodać urządzenie, kanał i/lub podsieć, które chcesz wykluczyć z monitorowanego ruchu. Każdy inny ruch, który nie znajduje się w pliku wykluczania, jest pozyskiwany do usługi Defender dla IoT.

    Plik wykluczania jest otwierany w edytorze tekstów Nano . W pliku wykluczania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

    Type Opis Przykład
    Device Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1 wyklucza cały ruch dla tego urządzenia.
    Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2 wyklucza cały ruch między tymi urządzeniami.
    Kanał według portu Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych oraz portu ruchu. 1.1.1.1,2.2.2.2,443 wyklucza cały ruch między tymi urządzeniami i używa określonego portu.
    Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1 wyklucza cały ruch dla tej podsieci.
    Kanał podsieci Zdefiniuj adresy sieciowe kanału podsieci dla podsieci źródłowych i docelowych. 1.1.1,2.2.2 Wyklucza cały ruch między tymi podsieciami.

    Wyświetl wiele argumentów w oddzielnych wierszach.

  3. Odpowiedz na następujące monity, aby zdefiniować wszystkie porty TCP lub UDP do uwzględnienia lub wykluczenia. Oddziel wiele portów przecinkami i naciśnij ENTER, aby pominąć dowolny konkretny monit.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Na przykład wprowadź wiele portów w następujący sposób: 502,443

  4. In which component do you wish to apply this capture filter?

    Wprowadź all wartość dla podstawowego filtru przechwytywania. W przypadku zaawansowanych przypadków użycia utwórz filtry przechwytywania dla każdego składnika usługi Defender dla IoT oddzielnie.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Ten monit umożliwia skonfigurowanie ruchu w zakresie. Określ, czy chcesz zbierać ruch, w którym znajdują się oba punkty końcowe, czy tylko jeden z nich znajduje się w określonej podsieci. Obsługiwane wartości to:

    • internal: obejmuje całą komunikację między określonym źródłem a miejscem docelowym
    • all-connected: obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych.

    Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B.
    Jeśli jednak używasz all-connected trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi.

    internal to tryb domyślny. Aby użyć all-connected trybu, wybierz Y w wierszu polecenia, a następnie wprowadź .all-connected

W poniższym przykładzie przedstawiono serię monitów, które tworzą filtr przechwytywania w celu wykluczenia podsieci 192.168.x.x i portu 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Tworzenie zaawansowanego filtru dla określonych składników

Podczas konfigurowania zaawansowanych filtrów przechwytywania dla określonych składników można użyć początkowego dołączania i wykluczania plików jako podstawowego lub szablonu filtru przechwytywania. Następnie skonfiguruj dodatkowe filtry dla każdego składnika na podstawie zgodnie z potrzebami.

Aby utworzyć filtr przechwytywania dla każdego składnika, pamiętaj, aby powtórzyć cały proces dla każdego składnika.

Uwaga

Jeśli utworzono różne filtry przechwytywania dla różnych składników, wybór trybu jest używany dla wszystkich składników. Definiowanie filtru przechwytywania dla jednego składnika jako internal i filtr przechwytywania dla innego składnika, który all-connected nie jest obsługiwany.

User Polecenie Pełna składnia polecenia
Admin network capture-filter Brak atrybutów.
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Następujące dodatkowe atrybuty są używane dla użytkownika cyberx do tworzenia filtrów przechwytywania dla każdego składnika oddzielnie:

Atrybut opis
-p <PROGRAM>, --program <PROGRAM> Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania, gdzie <PROGRAM> mają następujące obsługiwane wartości:
- traffic-monitor
- collector
- horizon
- all: Tworzy jeden filtr przechwytywania dla wszystkich składników. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowego filtru dla wszystkich składników.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definiuje filtr przechwytywania podstawowego horizon dla składnika, w którym <BASE_HORIZON> jest filtr, którego chcesz użyć.
Wartość domyślna = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definiuje podstawowy filtr przechwytywania traffic-monitor dla składnika.
Wartość domyślna = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definiuje podstawowy filtr przechwytywania collector dla składnika.
Wartość domyślna = ""

Inne wartości atrybutów mają takie same opisy jak w podstawowym przypadku użycia opisanym wcześniej.

Tworzenie zaawansowanego filtru przechwytywania przy użyciu użytkownika administratora

Jeśli tworzysz filtr przechwytywania dla każdego składnika oddzielnie jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.

Większość monitów jest identyczna z podstawowym przypadkiem użycia. Odpowiedz na następujące dodatkowe monity w następujący sposób:

  1. In which component do you wish to apply this capture filter?

    Wprowadź jedną z następujących wartości, w zależności od składnika, który chcesz filtrować:

    • horizon
    • traffic-monitor
    • collector

  2. Zostanie wyświetlony monit o skonfigurowanie niestandardowego filtru przechwytywania podstawowego dla wybranego składnika. Ta opcja używa filtru przechwytywania skonfigurowanego w poprzednich krokach jako podstawy lub szablonu, w którym można dodać dodatkowe konfiguracje na podstawie.

    Jeśli na przykład wybrano opcję skonfigurowania filtru przechwytywania dla collector składnika w poprzednim kroku, zostanie wyświetlony monit: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Wprowadź wartość Y , aby dostosować szablon dla określonego składnika lub N użyć wcześniej skonfigurowanego filtru przechwytywania.

Kontynuuj od pozostałych monitów, tak jak w podstawowym przypadku użycia.

Wyświetlanie listy bieżących filtrów przechwytywania dla określonych składników

Użyj następujących poleceń, aby wyświetlić szczegółowe informacje o bieżących filtrach przechwytywania skonfigurowanych dla czujnika.

User Polecenie Pełna składnia polecenia
Admin Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika:

- horyzont: edit-config horizon_parser/horizon.properties
- monitor ruchu: edit-config traffic_monitor/traffic-monitor
- moduł zbierający: edit-config dumpark.properties		 Brak atrybutów
cyberx lub administrator z dostępem głównym Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika:

-horyzont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- monitor ruchu: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- moduł zbierający: nano /var/cyberx/properties/dumpark.properties		 Brak atrybutów

Te polecenia otwierają następujące pliki, które zawierają listę filtrów przechwytywania skonfigurowanych dla każdego składnika:

Nazwisko Plik Właściwości
horyzont /var/cyberx/properties/horizon.properties horizon.processor.filter
monitor ruchu /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
kolekcjoner /var/cyberx/properties/dumpark.properties dumpark.network.filter

Na przykład w przypadku użytkownika administratora z filtrem przechwytywania zdefiniowanym dla składnika modułu zbierającego , który wyklucza podsieć 192.168.x.x i port 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Resetuj wszystkie filtry przechwytywania

Użyj następującego polecenia, aby zresetować czujnik do domyślnej konfiguracji przechwytywania z użytkownikiem cyberx , usuwając wszystkie filtry przechwytywania.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-capture-filter -p all -m all-connected Brak atrybutów

Jeśli chcesz zmodyfikować istniejące filtry przechwytywania, uruchom ponownie wcześniejsze polecenie z nowymi wartościami atrybutów.

Aby zresetować wszystkie filtry przechwytywania przy użyciu użytkownika administratora, uruchom ponownie wcześniejsze polecenie i odpowiedz na N wszystkie monity, aby zresetować wszystkie filtry przechwytywania.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Alerty

Wyzwalanie alertu testowego

Użyj następującego polecenia, aby przetestować łączność i przekazywanie alertów z czujnika do konsoli zarządzania, w tym witryny Azure Portal, lokalnej konsoli zarządzania usługi Defender for IoT lub rozwiązania SIEM innej firmy.

User Polecenie Pełna składnia polecenia
cyberx lub administrator z dostępem głównym cyberx-xsense-trigger-test-alert Brak atrybutów

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Reguły wykluczania alertów z czujnika OT

Następujące polecenia obsługują funkcje wykluczania alertów w czujniku OT, w tym wyświetlanie bieżących reguł wykluczania, dodawanie i edytowanie reguł oraz usuwanie reguł.

Uwaga

Reguły wykluczania alertów zdefiniowane na czujniku OT można zastąpić za pomocą reguł wykluczania alertów zdefiniowanych w lokalnej konsoli zarządzania.

Pokaż bieżące reguły wykluczania alertów

Użyj następującego polecenia, aby wyświetlić listę aktualnie skonfigurowanych reguł wykluczania.

User Polecenie Pełna składnia polecenia
Admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx , lub administrator z dostępem głównym alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Tworzenie nowej reguły wykluczania alertów

Użyj następujących poleceń, aby utworzyć lokalną regułę wykluczania alertów na czujniku.

User Polecenie Pełna składnia polecenia
Admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx lub administrator z dostępem głównym cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Obsługiwane atrybuty są definiowane w następujący sposób:

Atrybut opis
-h, --help Wyświetla komunikat pomocy i kończy działanie.
[-n <NAME>], [--name <NAME>] Zdefiniuj nazwę reguły.
[-ts <TIMES>] [--time_span <TIMES>] Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Modyfikowanie reguły wykluczania alertów

Użyj następujących poleceń, aby zmodyfikować istniejącą lokalną regułę wykluczania alertów w czujniku.

User Polecenie Pełna składnia polecenia
Admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx lub administrator z dostępem głównym exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Obsługiwane atrybuty są definiowane w następujący sposób:

Atrybut opis
-h, --help Wyświetla komunikat pomocy i kończy działanie.
[-n <NAME>], [--name <NAME>] Nazwa reguły, którą chcesz zmodyfikować.
[-ts <TIMES>] [--time_span <TIMES>] Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001.

Użyj następującej składni polecenia z użytkownikiem administratora :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Usuwanie reguły wykluczania alertów

Użyj następujących poleceń, aby usunąć istniejącą lokalną regułę wykluczania alertów w czujniku.

User Polecenie Pełna składnia polecenia
Admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx lub administrator z dostępem głównym exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Obsługiwane atrybuty są definiowane w następujący sposób:

Atrybut opis
-h, --help Wyświetla komunikat pomocy i kończy działanie.
[-n <NAME>], [--name <NAME>] Nazwa reguły, którą chcesz usunąć.
[-ts <TIMES>] [--time_span <TIMES>] Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Następne kroki

Dowiedz się więcej o poleceniach interfejsu wiersza polecenia usługi Defender for IoT