Referência de comando da CLI de sensores de rede OT
Este artigo lista os comandos da CLI disponíveis nos sensores de rede OT do Defender para IoT.
Cuidado
Há suporte apenas para parâmetros de configuração documentados no sensor de rede OT e no console de gerenciamento local para a configuração do cliente. Não altere os parâmetros de configuração não documentados ou propriedades do sistema, pois essas alterações podem causar comportamentos inesperados e falhas no sistema.
Remover pacotes do sensor sem aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.
Pré-requisitos
Antes de executar qualquer um dos comandos da CLI a seguir, você precisará acessar a CLI em seu sensor de rede OT como um usuário privilegiado.
Embora este artigo liste a sintaxe de comando para cada usuário, recomendamos usar o usuário administrador para todos os comandos da CLI em que o usuário administrador é suportado.
Se você estiver usando uma versão mais antiga do software do sensor, poderá ter acesso ao usuário de suporte herdado. Nesses casos, todos os comandos listados como suportados para o usuário administrador são suportados para o usuário de suporte herdado.
Para saber mais, confira Acessar a CLI e Acesso de usuário privilegiado para monitoramento de OT.
Manutenção de dispositivos
Verificar a integridade dos serviços de monitoramento de OT
Use os comandos a seguir para verificar se o aplicativo Defender para IoT no sensor OT está funcionando corretamente, incluindo o console Web e os processos de análise de tráfego.
As verificações de integridade também estão disponíveis no console do sensor OT. Para obter mais informações, confira Solucionar problemas do sensor.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system sanity |
Nenhum atributo |
cyberx ou admin com acesso root | cyberx-xsense-sanity |
Nenhum atributo |
O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Reiniciar e desligar
Reiniciar um dispositivo
Use os comandos a seguir para reiniciar o dispositivo de sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system reboot |
Nenhum atributo |
cyberx , ou admin com acesso root | sudo reboot |
Nenhum atributo |
cyberx_host , ou admin com acesso root | sudo reboot |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: system reboot
Desligar um dispositivo
Use os comandos a seguir para desligar o dispositivo de sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system shutdown |
Nenhum atributo |
cyberx , ou admin com acesso root | sudo shutdown -r now |
Nenhum atributo |
cyberx_host ou admin com acesso root | sudo shutdown -r now |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: system shutdown
Versões de software
Mostrar a versão do software instalada
Use os comandos a seguir para listar a versão de software do Defender para IoT instalada no sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system version |
Nenhum atributo |
cyberx , ou admin com acesso root | cyberx-xsense-version |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: system version
Version: 22.2.5.9-r-2121448
Atualizar o software do sensor pela CLI
Para saber mais, confiraAtualizar os sensores.
Data, hora e NTP
Mostrar a data/hora atual do sistema
Use os comandos a seguir para mostrar a data e a hora atual do sistema no sensor de rede OT, no formato GMT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | date |
Nenhum atributo |
cyberx , ou admin com acesso root | date |
Nenhum atributo |
cyberx_host , ou admin com acesso root | date |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
Ativar a sincronização de horário NTP
Use os comandos a seguir para ativar a sincronização de horário do dispositivo com um servidor NTP.
Para usar esses comandos, verifique se:
- O servidor NTP pode ser alcançado na porta de gerenciamento do dispositivo
- Você usa o mesmo servidor NTP para sincronizar todos os dispositivos de sensor e o console de gerenciamento local
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | ntp enable <IP address> |
Nenhum atributo |
cyberx , ou admin com acesso root | cyberx-xsense-ntp-enable <IP address> |
Nenhum atributo |
Nesses comandos, <IP address>
é o endereço IP de um servidor NTP IPv4 válido usando a porta 123.
Por exemplo, para o usuário administrador :
root@xsense: ntp enable 129.6.15.28
root@xsense:
Desativar a sincronização de horário NTP
Use os comandos a seguir para desativar a sincronização de horário do dispositivo com um servidor NTP.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | ntp disable <IP address> |
Nenhum atributo |
cyberx , ou admin com acesso root | cyberx-xsense-ntp-disable <IP address> |
Nenhum atributo |
Nesses comandos, <IP address>
é o endereço IP de um servidor NTP IPv4 válido usando a porta 123.
Por exemplo, para o usuário administrador :
root@xsense: ntp disable 129.6.15.28
root@xsense:
Backup e restauração
As seções a seguir descrevem os comandos da CLI com suporte para fazer backup e restaurar um instantâneo de sistema do sensor de rede OT.
Os arquivos de backup incluem um instantâneo completo do estado do sensor, incluindo definições de configuração, valores de linha de base, dados de inventário e logs.
Cuidado
Não interrompa uma operação de backup ou restauração do sistema, pois isso pode tornar o sistema inutilizável.
Listar arquivos de backup atuais
Use os comandos a seguir para listar os arquivos de backup armazenados atualmente no sensor de rede OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system backup-list |
Nenhum atributo |
cyberx , ou admin com acesso root | cyberx-xsense-system-backup-list |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
Iniciar um backup imediato não agendado
Use os comandos a seguir para iniciar um backup imediato e não agendado dos dados no sensor OT. Para saber mais, confira Configurar arquivos de backup e restauração.
Cuidado
Lembre-se de não parar ou desligar o dispositivo ao fazer backup de dados.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system backup |
Nenhum atributo |
cyberx , ou admin com acesso root | cyberx-xsense-system-backup |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
Restaurar dados do backup mais recente
Use os comandos a seguir para restaurar dados no sensor de rede OT usando o arquivo de backup mais recente. Quando solicitado, confirme que você quer prosseguir.
Cuidado
Lembre-se de não parar ou desligar o dispositivo ao restaurar dados.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | system restore |
Nenhum atributo |
cyberx ou admin com acesso root | cyberx-xsense-system-restore |
-f <filename> |
Por exemplo, para o usuário administrador :
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
Exibir a alocação de espaço em disco de backup
O comando a seguir lista a alocação de espaço em disco de backup atual, incluindo os seguintes detalhes:
- Local da pasta de backup
- Tamanho da pasta de backup
- Limitações da pasta de backup
- Hora da última operação de backup
- Espaço livre em disco disponível para backups
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-backup-memory-check |
Nenhum atributo |
Por exemplo, para o usuário cyberx:
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
Certificados TLS/SSL
Importar certificados TLS/SSL para o sensor OT
Use o comando a seguir para importar certificados TLS/SSL para o sensor pela CLI.
Para usar este comando:
- Verifique se o arquivo de certificado que você quer importar pode ser lido no dispositivo. Carregue os arquivos de certificado no dispositivo usando ferramentas como WinSCP ou Wget.
- Confirme com o departamento de TI se o domínio do dispositivo, tal como aparece no certificado, está correto para o servidor DNS e o endereço IP correspondente.
Para obter mais informações, consulte Preparar certificados assinados pela CA e Implantar um certificado SSL/TLS.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]` |
Neste comando:
-h
: mostra a sintaxe completa da ajuda do comando--crt
: o caminho para o arquivo de certificado que você quer carregar, com uma extensão.crt
--key
: o arquivo\*.key
que você quer usar para o certificado. O comprimento da chave deve ser de, no mínimo, 2048 bits--chain
: o caminho para um arquivo de cadeia de certificados. Opcional.--pass
: uma frase secreta usada para criptografar o certificado. Opcional.Há suporte para os seguintes caracteres para criar uma chave ou certificado com uma frase secreta:
- Caracteres ASCII, incluindo a-z, A-Z, 0-9
- Os seguintes caracteres especiais: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set
: não utilizado e definido como False por padrão. Defina como True para usar a frase secreta fornecida com o certificado anterior. Opcional.
Por exemplo, para o usuário cyberx:
root@xsense:/# cyberx-xsense-certificate-import
Restaurar o certificado autoassinado padrão
Use o comando a seguir para restaurar os certificados autoassinados padrão no dispositivo de sensor. Recomendamos que você use essa atividade apenas para solução de problemas e não em ambientes de produção.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-create-self-signed-certificate |
Nenhum atributo |
Por exemplo, para o usuário cyberx:
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
Gerenciamento de usuários locais
Alterar senhas de usuário local
Use os comandos a seguir para alterar senhas de usuários locais no sensor OT.
Quando você altera a senha do usuário admin, cyberx ou cyberx_host , a senha é alterada para SSH e acesso à Web.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx , ou admin com acesso root | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
cyberx_host ou admin com acesso root | passwd |
Nenhum atributo |
O exemplo a seguir mostra o usuário cyberx redefinindo a senha do usuário administrador para jI8iD9kE6hB8qN0h
:
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
O exemplo a seguir mostra o usuário cyberx_host alterando a senha do usuário cyberx_host.
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
Controlar os tempos limite da sessão do usuário
Defina o tempo após o qual os usuários são automaticamente desconectados do sensor OT. Defina esse valor em um arquivo de propriedades salvo no sensor. Para saber mais, confira Controlar tempos limite de sessão de usuários.
Definir o número máximo de entradas com falha
Defina o número máximo de entradas com falha antes que um sensor OT impeça que o usuário entre novamente pelo mesmo endereço IP. Defina esse valor em um arquivo de propriedades salvo no sensor.
Para saber mais, confira Definir o número máximo de entradas com falha.
Configuração de rede
Configurações de rede
Alterar a configuração de rede ou reatribuir funções de adaptador de rede
Use o comando a seguir para executar novamente o assistente de configuração do software de monitoramento de OT, que ajuda você a definir ou redefinir as seguintes configurações do sensor OT:
- Habilitar/desabilitar interfaces de monitoramento de SPAN
- Definir as configurações de rede para a interface de gerenciamento (IP, sub-rede, gateway padrão, DNS)
- Atribuir um diretório de backup
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx_host ou admin com acesso root | sudo dpkg-reconfigure iot-sensor |
Nenhum atributo |
Por exemplo, com o usuário cyberx_host:
root@xsense:/# sudo dpkg-reconfigure iot-sensor
O assistente de configuração é iniciado automaticamente depois que você executa esse comando. Para mais informações, confira Instalar software de monitoramento de OT.
Validar e mostrar a configuração do adaptador de rede
Use os comandos a seguir para validar e mostrar a configuração atual do adaptador de rede no sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | network validate |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
Conectividade de rede
Verificar a conectividade de rede do sensor OT
Use os comandos a seguir para enviar uma mensagem de ping do sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | ping <IP address> |
Nenhum atributo |
cyberx , ou admin com acesso root | ping <IP address> |
Nenhum atributo |
Nesses comandos, <IP address>
é o endereço IP de um host de rede IPv4 válido acessível na porta de gerenciamento no sensor OT.
Verificar a carga atual do adaptador de rede
Use o comando a seguir para exibir o tráfego de rede e a largura de banda usando um teste de seis segundos.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx , ou admin com acesso root | cyberx-nload |
Nenhum atributo |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
Verificar a conexão com a Internet
Use o comando a seguir para verificar a conectividade com a Internet em seu dispositivo.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-internet-connectivity |
Nenhum atributo |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
Definir o limite de largura de banda para o adaptador de rede de gerenciamento
Use o comando a seguir para definir o limite de largura de banda de saída para uploads do adaptador de gerenciamento do sensor OT para o portal do Azure ou um console de gerenciamento local.
Definir limites de largura de banda de saída pode ser útil para manter a QoS (qualidade de serviço) de rede. Esse comando tem suporte apenas em ambientes com restrição de largura de banda, como via satélite ou link serial.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
Neste comando:
-h
ou--help
: mostra a sintaxe de ajuda do comando--interface <INTERFACE VALUE>
: é a interface que você quer limitar, comoeth0
--limit <LIMIT VALUE>
: o limite que você quer definir, como30kbit
. Use uma das seguintes unidades:kbps
: quilobytes por segundombps
: megabytes por segundokbit
: quilobits por segundombit
: megabits por segundobps
ou um número simples: bytes por segundo
--clear
: limpa todas as configurações da interface especificada
Por exemplo, para o usuário cyberx:
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
Interfaces físicas
Localizar uma porta física piscando as luzes da interface
Use o comando a seguir para localizar uma interface física específica, fazendo com que as luzes da interface pisquem.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | network blink <INT> |
Nenhum atributo |
Neste comando, <INT>
é uma porta de rede física no dispositivo.
O exemplo a seguir mostra o usuário administrador piscando a interface eth0 :
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
Listar as interfaces físicas conectadas
Use os comandos a seguir para listar as interfaces físicas conectadas no sensor OT.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | network list |
Nenhum atributo |
cyberx ou admin com acesso root | ifconfig |
Nenhum atributo |
Por exemplo, para o usuário administrador :
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
Filtros de captura de tráfego
Para reduzir a fadiga do alerta e concentrar o monitoramento de rede no tráfego de alta prioridade, decida se quer filtrar o tráfego que é transmitido para o Defender para IoT na origem. Os filtros de captura permitem bloquear o tráfego de alta largura de banda na camada de hardware, otimizando o desempenho do dispositivo e o uso de recursos.
Use incluir uma/ou excluir listas para criar e configurar filtros de captura nos sensores de rede OT, evitando bloquear qualquer um dos tráfegos que quer monitorar.
O caso de uso básico para filtros de captura usa o mesmo filtro para todos os componentes do Defender para IoT. No entanto, para casos de uso avançados, convém configurar filtros separados para cada um dos seguintes componentes do Defender para IoT:
horizon
: captura dados de DPI (inspeção profunda de pacotes)collector
: captura dados PCAPtraffic-monitor
: captura estatísticas de comunicação
Observação
Os filtros de captura não se aplicam aos alertas de malware do Defender para IoT, que são disparados em todo o tráfego de rede detectado.
O comando de filtro de captura tem um limite de comprimento de caractere baseado na complexidade da definição do filtro de captura e na interface de rede disponível cartão funcionalidades. Se o comando de filtro solicitado falhar, tente agrupar sub-redes em escopos maiores e usar um comando de filtro de captura mais curto.
Criar um filtro básico para todos os componentes
O método usado para configurar um filtro de captura básico difere dependendo do usuário que executar o comando:
- Usuário cyberx: execute o comando especificado com atributos específicos para configurar o filtro de captura.
- usuário admin : execute o comando especificado e insira os valores conforme solicitado pela CLI, editando suas listas de inclusão e exclusão em um editor nano.
Use os comandos a seguir para criar um novo filtro de captura:
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | network capture-filter |
Nenhum atributo. |
cyberx ou admin com acesso root | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Os atributos com suporte para o usuário cyberx são definidos da seguinte maneira:
Atributo | Descrição |
---|---|
-h , --help |
Mostra a mensagem de ajuda e sai. |
-i <INCLUDE> , --include <INCLUDE> |
O caminho para um arquivo que contém os dispositivos e as máscaras de sub-rede que você quer incluir, em que <INCLUDE> é o caminho para o arquivo. Por exemplo, consulte Amostra de arquivo de inclusão ou exclusão. |
-x EXCLUDE , --exclude EXCLUDE |
O caminho para um arquivo que contém os dispositivos e as máscaras de sub-rede que você quer excluir, em que <EXCLUDE> é o caminho para o arquivo. Por exemplo, consulte Amostra de arquivo de inclusão ou exclusão. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Exclui o tráfego TCP em todas as portas especificadas, em que <EXCLUDE_TCP_PORT> define a porta ou as portas que você quer excluir. Delimita várias portas por vírgulas, sem espaços. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Exclui o tráfego UDP em todas as portas especificadas, em que <EXCLUDE_UDP_PORT> define a porta ou as portas que você quer excluir. Delimita várias portas por vírgulas, sem espaços. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Inclui o tráfego TCP em todas as portas especificadas, em que <INCLUDE_TCP_PORT> define a porta ou as portas que você quer incluir. Delimita várias portas por vírgulas, sem espaços. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Inclui o tráfego UDP em todas as portas especificadas, em que <INCLUDE_UDP_PORT> define a porta ou as portas que você quer incluir. Delimita várias portas por vírgulas, sem espaços. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Inclui o tráfego VLAN por IDs de VLAN especificadas; <INCLUDE_VLAN_IDS> define a ID de VLAN ou as IDs que você quer incluir. Delimita várias IDs de VLAN por vírgulas, sem espaços. |
-p <PROGRAM> , --program <PROGRAM> |
Define o componente para o qual você quer configurar um filtro de captura. Use all para casos de uso básicos a fim de criar um único filtro de captura para todos os componentes. Para casos de uso avançados, crie filtros de captura separados para cada componente. Para saber mais, confira Criar um filtro avançado para componentes específicos. |
-m <MODE> , --mode <MODE> |
Define um modo de lista de inclusão e é relevante somente quando uma lista de inclusão é usada. Use um dos seguintes valores: - internal : inclui toda a comunicação entre a origem e o destino especificados - all-connected : inclui toda a comunicação entre pontos de extremidade especificados e pontos de extremidade externos. Por exemplo, para os pontos de extremidade A e B, se você usar o modo internal , o tráfego incluído conterá apenas as comunicações entre os pontos de extremidade A e B. No entanto, se você usar o modo all-connected , o tráfego incluído conterá todas as comunicações entre A ou B e outros pontos de extremidade externos. |
Amostra de arquivo de inclusão ou exclusão
Por exemplo, um arquivo de inclusão ou exclusão .txt pode incluir as seguintes entradas:
192.168.50.10
172.20.248.1
Criar um filtro de captura básico usando o usuário administrador
Se você estiver criando um filtro de captura básico como usuário administrador , nenhum atributo será passado no comando original. Em vez disso, uma série de prompts será exibida para ajudar você a criar o filtro de captura interativamente.
Responda aos prompts exibidos da seguinte maneira:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Selecione
Y
para abrir um novo arquivo de inclusão, no qual você pode adicionar um dispositivo, canal e/ou sub-rede que quer incluir no tráfego monitorado. Qualquer outro tráfego, não listado no arquivo de inclusão, não será ingerido no Defender para IoT.O arquivo de inclusão é aberto no editor de texto Nano. No arquivo de inclusão, defina dispositivos, canais e sub-redes da seguinte maneira:
Tipo Descrição Exemplo Dispositivo Defina um dispositivo por seu endereço IP. 1.1.1.1
inclui todo o tráfego para esse dispositivo.Channel Defina um canal para os endereços IP de seus dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2
inclui todo o tráfego para esse canal.Sub-rede Defina uma sub-rede por seu endereço de rede. 1.1.1
inclui todo o tráfego para essa sub-rede.Listar vários argumentos em linhas separadas.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Selecione
Y
para abrir um novo arquivo de exclusão, no qual você pode adicionar um dispositivo, canal e/ou sub-rede que quer excluir do tráfego monitorado. Qualquer outro tráfego, não listado no arquivo de exclusão, será ingerido no Defender para IoT.O arquivo de exclusão é aberto no editor de texto Nano. No arquivo de exclusão, defina dispositivos, canais e sub-redes da seguinte maneira:
Tipo Descrição Exemplo Dispositivo Defina um dispositivo por seu endereço IP. 1.1.1.1
exclui todo o tráfego para esse dispositivo.Channel Defina um canal para os endereços IP de seus dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2
exclui todo o tráfego entre esses dispositivos.Canal por porta Defina um canal para os endereços IP de seus dispositivos de origem e destino e a porta de tráfego. 1.1.1.1,2.2.2.2,443
exclui todo o tráfego entre esses dispositivos usando a porta especificada.Sub-rede Defina uma sub-rede por seu endereço de rede. 1.1.1
exclui todo o tráfego para essa sub-rede.Canal de sub-rede Defina endereços de rede de canal de sub-rede para as sub-redes de origem e destino. 1.1.1,2.2.2
exclui todo o tráfego entre essas sub-redes.Listar vários argumentos em linhas separadas.
Responda aos prompts a seguir para definir todas as portas TCP ou UDP a serem incluídas ou excluídas. Separe várias portas por vírgula e pressione ENTER para ignorar qualquer prompt específico.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Por exemplo, insira várias portas da seguinte maneira:
502,443
In which component do you wish to apply this capture filter?
Insira
all
para um filtro de captura básico. Para casos de uso avançados, crie filtros de captura para cada componente do Defender para IoT separadamente.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Esse prompt permite que você configure qual tráfego está no escopo. Defina se quer coletar tráfego em que ambos os pontos de extremidade estão no escopo ou se apenas um deles está na sub-rede especificada. Os valores compatíveis incluem:
internal
: inclui toda a comunicação entre a origem e o destino especificadosall-connected
: inclui toda a comunicação entre pontos de extremidade especificados e pontos de extremidade externos.
Por exemplo, para os pontos de extremidade A e B, se você usar o modo
internal
, o tráfego incluído conterá apenas as comunicações entre os pontos de extremidade A e B.
No entanto, se você usar o modoall-connected
, o tráfego incluído conterá todas as comunicações entre A ou B e outros pontos de extremidade externos.O modo padrão é
internal
. Para usar o modoall-connected
, selecioneY
no prompt e insiraall-connected
.
O exemplo a seguir mostra uma série de prompts que cria um filtro de captura para excluir a sub-rede 192.168.x.x
e a porta 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Criar um filtro avançado para componentes específicos
Ao configurar filtros de captura avançados para componentes específicos, você pode usar seus arquivos iniciais de inclusão e exclusão como o filtro de captura de base ou modelo. Em seguida, configure filtros extras para cada componente sobre a base, conforme necessário.
Para criar um filtro de captura para cada componente, repita todo o processo para cada componente.
Observação
Se você tiver criado filtros de captura diferentes para diferentes componentes, a seleção de modo será usada para todos os componentes. Não há suporte para definir o filtro de captura para um componente como internal
e o filtro de captura para outro componente como all-connected
.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | network capture-filter |
Nenhum atributo. |
cyberx ou admin com acesso root | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Os seguintes atributos extras são usados para o usuário cyberx criar filtros de captura para cada componente separadamente:
Atributo | Descrição |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Define o componente para o qual você quer configurar um filtro de captura, em que <PROGRAM> tem os seguintes valores com suporte: - traffic-monitor - collector - horizon - all : cria um único filtro de captura para todos os componentes. Para saber mais, confira Criar um filtro básico para todos os componentes. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Define um filtro de captura base para o componente horizon , em que <BASE_HORIZON> é o filtro que você quer usar. Valor padrão = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Define um filtro de captura base para o componente traffic-monitor . Valor padrão = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Define um filtro de captura base para o componente collector . Valor padrão = "" |
Outros valores de atributo têm as mesmas descrições que no caso de uso básico, descrito anteriormente.
Criar um filtro de captura avançado usando o usuário administrador
Se você estiver criando um filtro de captura para cada componente separadamente como usuário administrador , nenhum atributo será passado no comando original. Em vez disso, uma série de prompts será exibida para ajudar você a criar o filtro de captura interativamente.
A maioria dos prompts são idênticos ao caso de uso básico. Responda aos seguintes prompts extras da seguinte maneira:
In which component do you wish to apply this capture filter?
Insira um dos valores a seguir, dependendo do componente que você quer filtrar:
horizon
traffic-monitor
collector
Você será solicitado a configurar um filtro de captura base personalizado para o componente selecionado. Essa opção usa o filtro de captura configurado nas etapas anteriores como base ou modelo, em que você pode adicionar configurações extras sobre a base.
Por exemplo, se você tiver selecionado configurar um filtro de captura para o componente
collector
na etapa anterior, será solicitado:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Insira
Y
para personalizar o modelo para o componente especificado ouN
para usar o filtro de captura que você configurou anteriormente.
Continue com os prompts restantes como no caso de uso básico.
Listar os filtros de captura atuais para componentes específicos
Use os comandos a seguir para mostrar detalhes sobre os filtros de captura atuais configurados para o sensor.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | Use os comandos a seguir para exibir os filtros de captura para cada componente: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
Nenhum atributo |
cyberx ou admin com acesso root | Use os comandos a seguir para exibir os filtros de captura para cada componente: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
Nenhum atributo |
Esses comandos abrem os seguintes arquivos, que listam os filtros de captura configurados para cada componente:
Nome | Arquivo | Propriedade |
---|---|---|
horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
coletor | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Por exemplo, com o usuário admin, com um filtro de captura definido para o componente coletor que exclui a sub-rede 192.168.x.x e a porta 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Redefinir todos os filtros de captura
Use o comando a seguir para redefinir o sensor para a configuração de captura padrão com o usuário cyberx, removendo todos os filtros de captura.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-capture-filter -p all -m all-connected |
Nenhum atributo |
Se você quiser modificar os filtros de captura existentes, execute o comando earlier novamente, com novos valores de atributo.
Para redefinir todos os filtros de captura usando o usuário administrador , execute o comando anterior novamente e responda N
a todos os prompts para redefinir todos os filtros de captura.
O exemplo a seguir mostra a sintaxe de comando e a resposta para o usuário cyberx:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
Alertas
Disparar um alerta de teste
Use o comando a seguir para testar a conectividade e o encaminhamento de alertas do sensor para os consoles de gerenciamento, incluindo o portal do Azure, um console de gerenciamento local do Defender para IoT ou um SIEM de terceiros.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
cyberx ou admin com acesso root | cyberx-xsense-trigger-test-alert |
Nenhum atributo |
O exemplo a seguir mostra a sintaxe de comando e a resposta para o usuário cyberx:
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
Regras de exclusão de alertas de um sensor OT
Os comandos a seguir dão suporte a recursos de exclusão de alerta no sensor OT, incluindo mostrar regras de exclusão atuais, adicionar e editar regras e excluir regras.
Observação
As regras de exclusão de alertas definidas em um sensor OT podem ser substituídas por regras de exclusão de alerta definidas no console de gerenciamento local.
Mostrar as regras de exclusão de alertas atuais
Use o comando a seguir para exibir uma lista de regras de exclusão configuradas atualmente.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx , ou admin com acesso root | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
Criar uma nova regra de exclusão de alerta
Use os comandos a seguir para criar uma regra de exclusão de alerta local no sensor.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx ou admin com acesso root | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Os atributos com suporte são definidos da seguinte maneira:
Atributo | Descrição |
---|---|
-h , --help |
Mostra a mensagem de ajuda e sai. |
[-n <NAME>] , [--name <NAME>] |
Defina o nome da regra. |
[-ts <TIMES>] [--time_span <TIMES>] |
Define o período de tempo para o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Direção do endereço a ser excluído. Use um dos seguintes valores: both , src , dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nomes de alerta a serem excluídos, pelo valor hexadecimal. Por exemplo: 0x00000, 0x000001 |
O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Modificar uma regra de exclusão de alerta
Use os comandos a seguir para modificar uma regra de exclusão de alerta local existente no sensor.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx ou admin com acesso root | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Os atributos com suporte são definidos da seguinte maneira:
Atributo | Descrição |
---|---|
-h , --help |
Mostra a mensagem de ajuda e sai. |
[-n <NAME>] , [--name <NAME>] |
O nome da regra que você quer modificar. |
[-ts <TIMES>] [--time_span <TIMES>] |
Define o período de tempo para o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Direção do endereço a ser excluído. Use um dos seguintes valores: both , src , dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nomes de alerta a serem excluídos, pelo valor hexadecimal. Por exemplo: 0x00000, 0x000001 |
Use a seguinte sintaxe de comando com o usuário administrador :
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Excluir uma regra de exclusão de alerta
Use os comandos a seguir para excluir uma regra de exclusão de alerta local existente no sensor.
Usuário | Comando | Sintaxe de comando completa |
---|---|---|
admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx ou admin com acesso root | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Os atributos com suporte são definidos da seguinte maneira:
Atributo | Descrição |
---|---|
-h , --help |
Mostra a mensagem de ajuda e sai. |
[-n <NAME>] , [--name <NAME>] |
O nome da regra que você quer excluir. |
[-ts <TIMES>] [--time_span <TIMES>] |
Define o período de tempo para o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Direção do endereço a ser excluído. Use um dos seguintes valores: both , src , dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x , mac-xx:xx:xx:xx:xx:xx , subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nomes de alerta a serem excluídos, pelo valor hexadecimal. Por exemplo: 0x00000, 0x000001 |
O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de