Referência de comando CLI de sensores de rede OT

  • Artigo

Este artigo lista os comandos da CLI disponíveis nos sensores de rede OT do Defender for IoT.

Atenção

Somente parâmetros de configuração documentados no sensor de rede OT e no console de gerenciamento local são suportados para a configuração do cliente. Não altere nenhum parâmetro de configuração não documentado ou propriedades do sistema, pois as alterações podem causar comportamento inesperado e falhas do sistema.

Remover pacotes do sensor sem a aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.

Pré-requisitos

Antes de executar qualquer um dos seguintes comandos da CLI, você precisará acessar a CLI em seu sensor de rede OT como um usuário privilegiado.

Embora este artigo liste a sintaxe de comando para cada usuário, recomendamos usar o usuário admin para todos os comandos da CLI em que o usuário admin é suportado.

Se estiver a utilizar uma versão mais antiga do software do sensor, poderá ter acesso ao utilizador de suporte herdado. Nesses casos, todos os comandos listados como suportados para o usuário admin são suportados para o usuário de suporte herdado.

Para obter mais informações, consulte Acessar a CLI e Acesso de usuário privilegiado para monitoramento de OT.

Manutenção de aparelhos

Verifique a integridade dos serviços de monitoramento de OT

Use os comandos a seguir para verificar se o aplicativo Defender for IoT no sensor OT está funcionando corretamente, incluindo o console da Web e os processos de análise de tráfego.

As verificações de integridade também estão disponíveis no console do sensor OT. Para obter mais informações, consulte Solucionar problemas do sensor.

Utilizador Comando Sintaxe de comando completa
administrador system sanity Sem atributos
cyberx, ou admin com acesso root cyberx-xsense-sanity Sem atributos

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Reiniciar e desligar

Reiniciar um dispositivo

Use os seguintes comandos para reiniciar o dispositivo de sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador system reboot Sem atributos
cyberx , ou administrador com acesso root sudo reboot Sem atributos
cyberx_host ou administrador com acesso root sudo reboot Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: system reboot

Desligue um aparelho

Use os seguintes comandos para desligar o dispositivo de sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador system shutdown Sem atributos
cyberx , ou administrador com acesso root sudo shutdown -r now Sem atributos
cyberx_host ou administrador com acesso root sudo shutdown -r now Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: system shutdown

Versões de software

Mostrar a versão do software instalado

Use os comandos a seguir para listar a versão do software Defender for IoT instalada no sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador system version Sem atributos
cyberx , ou administrador com acesso root cyberx-xsense-version Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: system version
Version: 22.2.5.9-r-2121448

Atualizar o software do sensor da CLI

Para obter mais informações, consulte Atualizar seus sensores.

Data, hora e NTP

Mostrar data/hora atual do sistema

Use os seguintes comandos para mostrar a data e hora atuais do sistema no seu sensor de rede OT, no formato GMT.

Utilizador Comando Sintaxe de comando completa
administrador date Sem atributos
cyberx , ou administrador com acesso root date Sem atributos
cyberx_host ou administrador com acesso root date Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Ativar a sincronização de tempo NTP

Use os comandos a seguir para ativar a sincronização para o tempo do dispositivo com um servidor NTP.

Para usar esses comandos, certifique-se de que:

  • O servidor NTP pode ser acessado a partir da porta de gerenciamento do dispositivo
  • Use o mesmo servidor NTP para sincronizar todos os dispositivos de sensor e o console de gerenciamento local
Utilizador Comando Sintaxe de comando completa
administrador ntp enable <IP address> Sem atributos
cyberx , ou administrador com acesso root cyberx-xsense-ntp-enable <IP address> Sem atributos

Nesses comandos, <IP address> é o endereço IP de um servidor NTP IPv4 válido usando a porta 123.

Por exemplo, para o usuário administrador :

root@xsense: ntp enable 129.6.15.28
root@xsense:

Desativar a sincronização de tempo NTP

Use os comandos a seguir para desativar a sincronização do tempo do aparelho com um servidor NTP.

Utilizador Comando Sintaxe de comando completa
administrador ntp disable <IP address> Sem atributos
cyberx , ou administrador com acesso root cyberx-xsense-ntp-disable <IP address> Sem atributos

Nesses comandos, <IP address> é o endereço IP de um servidor NTP IPv4 válido usando a porta 123.

Por exemplo, para o usuário administrador :

root@xsense: ntp disable 129.6.15.28
root@xsense:

Cópia de segurança e restauro

As seções a seguir descrevem os comandos da CLI suportados para fazer backup e restaurar um instantâneo do sistema do sensor de rede OT.

Os arquivos de backup incluem um instantâneo completo do estado do sensor, incluindo definições de configuração, valores de linha de base, dados de inventário e logs.

Atenção

Não interrompa uma operação de backup ou restauração do sistema, pois isso pode fazer com que o sistema se torne inutilizável.

Listar arquivos de backup atuais

Use os comandos a seguir para listar os arquivos de backup atualmente armazenados no sensor de rede OT.

Utilizador Comando Sintaxe de comando completa
administrador system backup-list Sem atributos
cyberx , ou administrador com acesso root cyberx-xsense-system-backup-list Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Iniciar um backup imediato e não agendado

Use os seguintes comandos para iniciar um backup imediato e não programado dos dados no seu sensor OT. Para obter mais informações, consulte Configurar arquivos de backup e restauração.

Atenção

Certifique-se de que não para nem desliga o aparelho durante a cópia de segurança dos dados.

Utilizador Comando Sintaxe de comando completa
administrador system backup Sem atributos
cyberx , ou administrador com acesso root cyberx-xsense-system-backup Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Restaurar dados do backup mais recente

Use os seguintes comandos para restaurar dados no sensor de rede OT usando o arquivo de backup mais recente. Quando solicitado, confirme se deseja continuar.

Atenção

Certifique-se de que não para nem desliga o aparelho enquanto restaura os dados.

Utilizador Comando Sintaxe de comando completa
administrador system restore Sem atributos
cyberx, ou admin com acesso root cyberx-xsense-system-restore -f <filename>

Por exemplo, para o usuário administrador :

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Exibir alocação de espaço em disco de backup

O comando a seguir lista a alocação atual de espaço em disco de backup, incluindo os seguintes detalhes:

  • Localização da pasta de backup
  • Tamanho da pasta de backup
  • Limitações da pasta de backup
  • Hora da última operação de backup
  • Espaço livre em disco disponível para backups
Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-backup-memory-check Sem atributos

Por exemplo, para o usuário cyberx :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

Certificados TLS/SSL

Importe certificados TLS/SSL para o seu sensor OT

Use o comando a seguir para importar certificados TLS/SSL da CLI para o sensor.

Para usar este comando:

  • Verifique se o arquivo de certificado que você deseja importar é legível no aparelho. Carregue arquivos de certificado para o dispositivo usando ferramentas como WinSCP ou Wget.
  • Confirme com o seu escritório de TI se o domínio do dispositivo tal como aparece no certificado está correto para o seu servidor DNS e o endereço IP correspondente.

Para obter mais informações, consulte Preparar certificados assinados por CA e Criar certificados SSL/TLS para dispositivos OT.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH] [--key FILE NAME] [--chain <PATH] [--pass PASSPHRASE>] [--<passphrase-set <><VALUE]'>>>

Neste comando:

  • -h: Mostra a sintaxe completa da ajuda do comando

  • --crt: O caminho para o arquivo de certificado que você deseja carregar, com uma .crt extensão

  • --key: O \*.key arquivo que você deseja usar para o certificado. O comprimento da chave deve ser mínimo de 2.048 bits

  • --chain: O caminho para um arquivo de cadeia de certificados. Opcional.

  • --pass: Uma frase secreta usada para criptografar o certificado. Opcional.

    Os seguintes caracteres são suportados para criar uma chave ou certificado com uma frase secreta:

    • Caracteres ASCII, incluindo a-z, A-Z, 0-9
    • Os seguintes caracteres especiais: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Não utilizado e definido como Falso por padrão. Defina como True para usar a senha fornecida com o certificado anterior. Opcional.

Por exemplo, para o usuário cyberx :

root@xsense:/# cyberx-xsense-certificate-import

Restaurar o certificado autoassinado padrão

Use o comando a seguir para restaurar os certificados autoassinados padrão no dispositivo do sensor. Recomendamos que você use essa atividade apenas para solução de problemas, e não em ambientes de produção.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-create-self-signed-certificate Sem atributos

Por exemplo, para o usuário cyberx :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Gestão de utilizadores locais

Alterar senhas de usuário local

Use os comandos a seguir para alterar senhas para usuários locais em seu sensor OT.

Quando você altera a senha do usuário admin, cyberx ou cyberx_host, a senha é alterada para SSH e acesso à Web.

Utilizador Comando Sintaxe de comando completa
cyberx , ou administrador com acesso root cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host ou administrador com acesso root passwd Sem atributos

O exemplo a seguir mostra o usuário cyberx redefinindo a senha do usuário administrador para jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

O exemplo a seguir mostra o usuário cyberx_host alterando a senha do usuário cyberx_host.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Controlar os tempos limite da sessão do usuário

Defina o tempo após o qual os usuários são automaticamente desconectados do sensor OT. Defina esse valor em um arquivo de propriedades salvo no sensor. não que Para obter mais informações, consulte Controlar tempos limite de sessão do usuário.

Definir o número máximo de entradas com falha

Defina o número máximo de entradas com falha antes que um sensor OT impeça o usuário de entrar novamente a partir do mesmo endereço IP. Defina esse valor em um arquivo de propriedades salvo no sensor.

Para obter mais informações, consulte Definir o número máximo de entradas com falha.

Configuração de rede

Definições de rede

Alterar a configuração de rede ou reatribuir funções de interface de rede

Use o seguinte comando para executar novamente o assistente de configuração do software de monitoramento OT, que ajuda a definir ou reconfigurar as seguintes configurações do sensor OT:

  • Ativar/desativar interfaces de monitoramento SPAN
  • Definir configurações de rede para a interface de gerenciamento (IP, sub-rede, gateway padrão, DNS)
  • Atribuindo um diretório de backup
Utilizador Comando Sintaxe de comando completa
cyberx_host ou administrador com acesso root sudo dpkg-reconfigure iot-sensor Sem atributos

Por exemplo, com o usuário cyberx_host :

root@xsense:/# sudo dpkg-reconfigure iot-sensor

O assistente de configuração é iniciado automaticamente depois de executar este comando. Para obter mais informações, consulte Instalar software de monitoramento OT.

Validar e mostrar a configuração da interface de rede

Use os comandos a seguir para validar e mostrar a configuração atual da interface de rede no sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador network validate Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Conectividade de rede

Verifique a conectividade de rede a partir do sensor OT

Use os seguintes comandos para enviar uma mensagem de ping do sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador ping <IP address> Sem atributos
cyberx , ou administrador com acesso root ping <IP address> Sem atributos

Nesses comandos, <IP address> é o endereço IP de um host de rede IPv4 válido acessível a partir da porta de gerenciamento no sensor OT.

Verificar a carga atual da interface de rede

Use o comando a seguir para exibir o tráfego de rede e a largura de banda usando um teste de seis segundos.

Utilizador Comando Sintaxe de comando completa
cyberx , ou administrador com acesso root cyberx-nload Sem atributos 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Verificar ligação à Internet

Use o seguinte comando para verificar a conectividade com a Internet no seu aparelho.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-internet-connectivity Sem atributos 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Definir limite de largura de banda para a interface de rede de gerenciamento

Use o comando a seguir para definir o limite de largura de banda de saída para carregamentos da interface de gerenciamento do sensor OT para o portal do Azure ou um console de gerenciamento local.

Definir limites de largura de banda de saída pode ser útil para manter a qualidade de serviço (QoS) da rede. Este comando é suportado apenas em ambientes com restrição de largura de banda, como através de um satélite ou link serial.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

Neste comando:

  • -h ou --help: Mostra a sintaxe de ajuda do comando

  • --interface <INTERFACE VALUE>: É a interface que você deseja limitar, como eth0

  • --limit <LIMIT VALUE>: O limite que você deseja definir, como 30kbit. Utilize uma das seguintes unidades:

    • kbps: Kilobytes por segundo
    • mbps: Megabytes por segundo
    • kbit: Kilobits por segundo
    • mbit: Megabits por segundo
    • bps ou um número simples: Bytes por segundo

  • --clear: Limpa todas as configurações da interface especificada

Por exemplo, para o usuário cyberx :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Interfaces físicas

Localizar uma porta física piscando luzes de interface

Use o comando a seguir para localizar uma interface física específica, fazendo com que as luzes da interface pisquem.

Utilizador Comando Sintaxe de comando completa
administrador network blink <INT> Sem atributos

Neste comando, <INT> é uma porta ethernet física no aparelho.

O exemplo a seguir mostra o usuário admin piscando a interface eth0 :

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Listar interfaces físicas conectadas

Use os comandos a seguir para listar as interfaces físicas conectadas no sensor OT.

Utilizador Comando Sintaxe de comando completa
administrador network list Sem atributos
cyberx, ou admin com acesso root ifconfig Sem atributos

Por exemplo, para o usuário administrador :

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filtros de captura de tráfego

Para reduzir a fadiga do alerta e concentrar o monitoramento da rede no tráfego de alta prioridade, você pode decidir filtrar o tráfego que flui para o Defender for IoT na origem. Os filtros de captura permitem bloquear o tráfego de alta largura de banda na camada de hardware, otimizando o desempenho do dispositivo e o uso de recursos.

Use incluir e/ou excluir listas para criar e configurar filtros de captura em seus sensores de rede OT, certificando-se de que você não bloqueie nenhum tráfego que deseja monitorar.

O caso de uso básico para filtros de captura usa o mesmo filtro para todos os componentes do Defender for IoT. No entanto, para casos de uso avançados, convém configurar filtros separados para cada um dos seguintes componentes do Defender for IoT:

  • horizon: Captura dados de inspeção profunda de pacotes (DPI)
  • collector: Captura dados PCAP
  • traffic-monitor: Captura estatísticas de comunicação

Nota

Criar um filtro básico para todos os componentes

O método usado para configurar um filtro de captura básico é diferente, dependendo do usuário que executa o comando:

  • cyberx user: execute o comando especificado com atributos específicos para configurar seu filtro de captura.
  • admin user: execute o comando especificado e, em seguida, insira os valores conforme solicitado pela CLI, editando suas listas de inclusão e exclusão em um editor nano.

Use os seguintes comandos para criar um novo filtro de captura:

Utilizador Comando Sintaxe de comando completa
administrador network capture-filter Sem atributos.
cyberx, ou admin com acesso root cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Os atributos suportados para o usuário cyberx são definidos da seguinte forma:

Atributo Description
-h, --help Mostra a mensagem de ajuda e sai.
-i <INCLUDE>, --include <INCLUDE> O caminho para um arquivo que contém os dispositivos e máscaras de sub-rede que você deseja incluir, onde <INCLUDE> é o caminho para o arquivo. Por exemplo, consulte Exemplo de arquivo de inclusão ou exclusão.
-x EXCLUDE, --exclude EXCLUDE O caminho para um arquivo que contém os dispositivos e máscaras de sub-rede que você deseja excluir, onde <EXCLUDE> é o caminho para o arquivo. Por exemplo, consulte Exemplo de arquivo de inclusão ou exclusão.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Exclui o tráfego TCP em quaisquer portas especificadas, onde o <EXCLUDE_TCP_PORT> define a porta ou portas que você deseja excluir. Delimitar várias portas por vírgulas, sem espaços.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Exclui o tráfego UDP em quaisquer portas especificadas, onde o <EXCLUDE_UDP_PORT> define a porta ou portas que você deseja excluir. Delimitar várias portas por vírgulas, sem espaços.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Inclui tráfego TCP em qualquer porta especificada, onde o <INCLUDE_TCP_PORT> define a porta ou portas que você deseja incluir. Delimitar várias portas por vírgulas, sem espaços.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Inclui tráfego UDP em qualquer porta especificada, onde o <INCLUDE_UDP_PORT> define a porta ou portas que você deseja incluir. Delimitar várias portas por vírgulas, sem espaços.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Inclui tráfego de VLAN por IDs de VLAN especificados, <INCLUDE_VLAN_IDS> define o ID ou IDs de VLAN que você deseja incluir. Delimite vários IDs de VLAN por vírgulas, sem espaços.
-p <PROGRAM>, --program <PROGRAM> Define o componente para o qual você deseja configurar um filtro de captura. Use all para casos de uso básicos, para criar um único filtro de captura para todos os componentes.

Para casos de uso avançados, crie filtros de captura separados para cada componente. Para obter mais informações, consulte Criar um filtro avançado para componentes específicos.
-m <MODE>, --mode <MODE> Define um modo de lista de inclusão e é relevante somente quando uma lista de inclusão é usada. Use um dos seguintes valores:

- internal: Inclui toda a comunicação entre a origem e o destino especificados
- all-connected: Inclui toda a comunicação entre qualquer um dos pontos de extremidade especificados e pontos de extremidade externos.

Por exemplo, para os pontos de extremidade A e B, se você usar o modo, o internal tráfego incluído incluirá apenas comunicações entre os pontos de extremidade A e B.
No entanto, se você usar o modo, o all-connected tráfego incluído incluirá todas as comunicações entre A ou B e outros pontos de extremidade externos.

Exemplo de arquivo de inclusão ou exclusão

Por exemplo, um arquivo de .txt de inclusão ou exclusão pode incluir as seguintes entradas:

192.168.50.10
172.20.248.1

Criar um filtro de captura básico usando o usuário admin

Se você estiver criando um filtro de captura básico como o usuário administrador , nenhum atributo será passado no comando original. Em vez disso, uma série de prompts é exibida para ajudá-lo a criar o filtro de captura interativamente.

Responda aos prompts exibidos da seguinte maneira:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Selecione Y esta opção para abrir um novo arquivo de inclusão, onde você pode adicionar um dispositivo, canal e/ou sub-rede que deseja incluir no tráfego monitorado. Qualquer outro tráfego, não listado em seu arquivo de inclusão, não é ingerido ao Defender for IoT.

    O arquivo include é aberto no editor de texto Nano . No arquivo include, defina dispositivos, canais e sub-redes da seguinte maneira:

    Type Description Exemplo
    Dispositivo Defina um dispositivo pelo seu endereço IP. 1.1.1.1 Inclui todo o tráfego para este dispositivo.
    Canal Defina um canal pelos endereços IP de seus dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2 inclui todo o tráfego para este canal.
    Sub-rede Defina uma sub-rede pelo seu endereço de rede. 1.1.1 Inclui todo o tráfego para esta sub-rede.
    Canal de sub-rede Defina endereços de rede de canal de sub-rede para as sub-redes de origem e destino. 1.1.1,2.2.2 inclui todo o tráfego entre essas sub-redes.

    Liste vários argumentos em linhas separadas.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Selecione Y esta opção para abrir um novo arquivo de exclusão onde você pode adicionar um dispositivo, canal e/ou sub-rede que deseja excluir do tráfego monitorado. Qualquer outro tráfego, não listado em seu arquivo de exclusão, é ingerido ao Defender for IoT.

    O arquivo de exclusão é aberto no editor de texto Nano . No arquivo de exclusão, defina dispositivos, canais e sub-redes da seguinte maneira:

    Type Description Exemplo
    Dispositivo Defina um dispositivo pelo seu endereço IP. 1.1.1.1 exclui todo o tráfego para este dispositivo.
    Canal Defina um canal pelos endereços IP de seus dispositivos de origem e destino, separados por uma vírgula. 1.1.1.1,2.2.2.2 exclui todo o tráfego entre esses dispositivos.
    Canal a porta Defina um canal pelos endereços IP de seus dispositivos de origem e destino e pela porta de tráfego. 1.1.1.1,2.2.2.2,443 exclui todo o tráfego entre esses dispositivos e usando a porta especificada.
    Sub-rede Defina uma sub-rede pelo seu endereço de rede. 1.1.1 exclui todo o tráfego desta sub-rede.
    Canal de sub-rede Defina endereços de rede de canal de sub-rede para as sub-redes de origem e destino. 1.1.1,2.2.2 exclui todo o tráfego entre essas sub-redes.

    Liste vários argumentos em linhas separadas.

  3. Responda aos seguintes prompts para definir quaisquer portas TCP ou UDP a serem incluídas ou excluídas. Separe várias portas por vírgula e pressione ENTER para ignorar qualquer prompt específico.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Por exemplo, insira várias portas da seguinte maneira: 502,443

  4. In which component do you wish to apply this capture filter?

    Insira all para obter um filtro de captura básico. Para casos de uso avançados, crie filtros de captura para cada componente do Defender for IoT separadamente.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Esse prompt permite que você configure qual tráfego está no escopo. Defina se você deseja coletar tráfego onde ambos os pontos de extremidade estão no escopo ou apenas um deles está na sub-rede especificada. Os valores suportados incluem:

    • internal: Inclui toda a comunicação entre a origem e o destino especificados
    • all-connected: Inclui toda a comunicação entre qualquer um dos pontos de extremidade especificados e pontos de extremidade externos.

    Por exemplo, para os pontos de extremidade A e B, se você usar o modo, o internal tráfego incluído incluirá apenas comunicações entre os pontos de extremidade A e B.
    No entanto, se você usar o modo, o all-connected tráfego incluído incluirá todas as comunicações entre A ou B e outros pontos de extremidade externos.

    O modo predefinido é internal. Para usar o all-connected modo, selecione Y no prompt e digite all-connected.

O exemplo a seguir mostra uma série de prompts que cria um filtro de captura para excluir sub-rede 192.168.x.x e porta 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Criar um filtro avançado para componentes específicos

Ao configurar filtros de captura avançados para componentes específicos, você pode usar seus arquivos iniciais de inclusão e exclusão como um filtro de captura de base ou modelo. Em seguida, configure filtros extras para cada componente na parte superior da base, conforme necessário.

Para criar um filtro de captura para cada componente, certifique-se de repetir todo o processo para cada componente.

Nota

Se você criou filtros de captura diferentes para componentes diferentes, a seleção de modo será usada para todos os componentes. Não há suporte para definir o filtro de captura para um componente como internal e o filtro de captura para outro componente all-connected .

Utilizador Comando Sintaxe de comando completa
administrador network capture-filter Sem atributos.
cyberx, ou admin com acesso root cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Os seguintes atributos extras são usados para o usuário cyberx criar filtros de captura para cada componente separadamente:

Atributo Description
-p <PROGRAM>, --program <PROGRAM> Define o componente para o qual você deseja configurar um filtro de captura, onde <PROGRAM> tem os seguintes valores suportados:
- traffic-monitor
- collector
- horizon
- all: Cria um único filtro de captura para todos os componentes. Para obter mais informações, consulte Criar um filtro básico para todos os componentes.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Define um filtro de captura de base para o componente, onde <BASE_HORIZON> é o horizon filtro que você deseja usar.
Valor padrão = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Define um filtro de captura de base para o traffic-monitor componente.
Valor padrão = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Define um filtro de captura de base para o collector componente.
Valor padrão = ""

Outros valores de atributo têm as mesmas descrições que no caso de uso básico, descrito anteriormente.

Criar um filtro de captura avançado usando o usuário admin

Se você estiver criando um filtro de captura para cada componente separadamente como o usuário administrador , nenhum atributo será passado no comando original. Em vez disso, uma série de prompts é exibida para ajudá-lo a criar o filtro de captura interativamente.

A maioria dos prompts são idênticos ao caso de uso básico. Responda às seguintes solicitações extras da seguinte maneira:

  1. In which component do you wish to apply this capture filter?

    Insira um dos seguintes valores, dependendo do componente que você deseja filtrar:

    • horizon
    • traffic-monitor
    • collector

  2. Você será solicitado a configurar um filtro de captura de base personalizado para o componente selecionado. Esta opção usa o filtro de captura que você configurou nas etapas anteriores como uma base, ou modelo, onde você pode adicionar configurações extras sobre a base.

    Por exemplo, se você tiver selecionado configurar um filtro de captura para o collector componente na etapa anterior, será solicitado: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Entre Y para personalizar o modelo para o componente especificado ou N para usar o filtro de captura que você configurou anteriormente como está.

Continue com os prompts restantes como no caso de uso básico.

Listar filtros de captura atuais para componentes específicos

Use os comandos a seguir para mostrar detalhes sobre os filtros de captura atuais configurados para o sensor.

Utilizador Comando Sintaxe de comando completa
administrador Use os seguintes comandos para exibir os filtros de captura para cada componente:

- Horizonte: edit-config horizon_parser/horizon.properties
- Monitor de tráfego: edit-config traffic_monitor/traffic-monitor
- coletor: edit-config dumpark.properties		 Sem atributos
cyberx, ou admin com acesso root Use os seguintes comandos para exibir os filtros de captura para cada componente:

-Horizonte: nano /var/cyberx/properties/horizon_parser/horizon.properties
- Monitor de tráfego: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- coletor: nano /var/cyberx/properties/dumpark.properties		 Sem atributos

Esses comandos abrem os seguintes arquivos, que listam os filtros de captura configurados para cada componente:

Nome Ficheiro Property
horizonte /var/cyberx/properties/horizon.properties horizon.processor.filter
monitorização de tráfego /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
coletor /var/cyberx/properties/dumpark.properties dumpark.network.filter

Por exemplo, com o usuário admin, com um filtro de captura definido para o componente coletor que exclui a sub-rede 192.168.x.x e a porta 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Redefinir todos os filtros de captura

Use o comando a seguir para redefinir o sensor para a configuração de captura padrão com o usuário cyberx , removendo todos os filtros de captura.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-capture-filter -p all -m all-connected Sem atributos

Se desejar modificar os filtros de captura existentes, execute o comando anterior novamente, com novos valores de atributo.

Para redefinir todos os filtros de captura usando o usuário admin, execute o comando anterior novamente e responda N a todos os prompts para redefinir todos os filtros de captura.

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Alertas

Disparar um alerta de teste

Use o comando a seguir para testar a conectividade e o encaminhamento de alertas do sensor para consoles de gerenciamento, incluindo o portal do Azure, um console de gerenciamento local do Defender for IoT ou um SIEM de terceiros.

Utilizador Comando Sintaxe de comando completa
cyberx, ou admin com acesso root cyberx-xsense-trigger-test-alert Sem atributos

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário cyberx :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Regras de exclusão de alerta de um sensor OT

Os comandos a seguir oferecem suporte a recursos de exclusão de alerta no sensor de OT, incluindo mostrar regras de exclusão atuais, adicionar e editar regras e excluir regras.

Nota

As regras de exclusão de alerta definidas em um sensor de OT podem ser substituídas por regras de exclusão de alerta definidas no console de gerenciamento local.

Mostrar regras de exclusão de alerta atuais

Use o comando a seguir para exibir uma lista de regras de exclusão configuradas no momento.

Utilizador Comando Sintaxe de comando completa
administrador alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx , ou administrador com acesso root alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Criar uma nova regra de exclusão de alerta

Use os comandos a seguir para criar uma regra de exclusão de alerta local no sensor.

Utilizador Comando Sintaxe de comando completa
administrador cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx, ou admin com acesso root cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Os atributos suportados são definidos da seguinte forma:

Atributo Description
-h, --help Mostra a mensagem de ajuda e sai.
[-n <NAME>], [--name <NAME>] Defina o nome da regra.
[-ts <TIMES>] [--time_span <TIMES>] Define o período de tempo durante o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direção do endereço a ser excluído. Use um dos seguintes valores: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomes de alerta a serem excluídos, por valor hexadecimal. Por exemplo: 0x00000, 0x000001

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Modificar uma regra de exclusão de alerta

Use os comandos a seguir para modificar uma regra de exclusão de alerta local existente no sensor.

Utilizador Comando Sintaxe de comando completa
administrador exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx, ou admin com acesso root exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Os atributos suportados são definidos da seguinte forma:

Atributo Description
-h, --help Mostra a mensagem de ajuda e sai.
[-n <NAME>], [--name <NAME>] O nome da regra que você deseja modificar.
[-ts <TIMES>] [--time_span <TIMES>] Define o período de tempo durante o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direção do endereço a ser excluído. Use um dos seguintes valores: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomes de alerta a serem excluídos, por valor hexadecimal. Por exemplo: 0x00000, 0x000001

Use a seguinte sintaxe de comando com o usuário admin :

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Excluir uma regra de exclusão de alerta

Use os comandos a seguir para excluir uma regra de exclusão de alerta local existente no sensor.

Utilizador Comando Sintaxe de comando completa
administrador exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx, ou admin com acesso root exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Os atributos suportados são definidos da seguinte forma:

Atributo Description
-h, --help Mostra a mensagem de ajuda e sai.
[-n <NAME>], [--name <NAME>] O nome da regra que você deseja excluir.
[-ts <TIMES>] [--time_span <TIMES>] Define o período de tempo durante o qual a regra está ativa, usando a seguinte sintaxe: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Direção do endereço a ser excluído. Use um dos seguintes valores: both, , srcdst
[-dev <DEVICES>], [--devices <DEVICES>] Endereços de dispositivo ou tipos de endereço a serem excluídos, usando a seguinte sintaxe: ip-x.x.x.x, , mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Nomes de alerta a serem excluídos, por valor hexadecimal. Por exemplo: 0x00000, 0x000001

O exemplo a seguir mostra a sintaxe do comando e a resposta para o usuário administrador :

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Próximos passos

Saiba mais sobre os comandos da CLI do Defender for IoT