Справочник по командам CLI из сетевых датчиков OT
В этой статье перечислены команды CLI, доступные из сетевых датчиков Defender для Интернета вещей.
Внимание
Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT и локальных консоль управления. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.
Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.
Необходимые компоненты
Прежде чем выполнять любую из следующих команд CLI, вам потребуется доступ к CLI на сетевом датчике OT в качестве привилегированного пользователя.
Хотя в этой статье перечислены синтаксис команды для каждого пользователя, рекомендуется использовать пользователя администратора для всех команд CLI, в которых поддерживается пользователь администратора .
Если вы используете более раннюю версию программного обеспечения датчика, у вас может быть доступ к устаревшей службе поддержки. В таких случаях для устаревшего пользователя поддержки поддерживаются все команды, перечисленные как поддерживаемые администратором.
Дополнительные сведения см. в статье Access the CLI and Privileged user access for OT monitoring.
Обслуживание устройства
Проверка работоспособности служб мониторинга OT
Используйте следующие команды, чтобы убедиться, что приложение Defender для Интернета вещей на датчике OT работает правильно, включая веб-консоль и процессы анализа трафика.
Проверка работоспособности также доступны в консоли датчиков OT. Дополнительные сведения см. в разделе "Устранение неполадок датчика".
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system sanity |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-sanity |
Нет атрибутов |
В следующем примере показан синтаксис команды и ответ пользователя администратора :
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Перезапуск и завершение работы
Перезапуск (модуль)
Используйте следующие команды, чтобы перезапустить (модуль) датчика OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system reboot |
Нет атрибутов |
| cyberx или администратор с корневым доступом | sudo reboot |
Нет атрибутов |
| cyberx_host или администратор с корневым доступом | sudo reboot |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: system reboot
Завершение работы (модуль)
Используйте следующие команды, чтобы завершить работу датчика OT (модуль).
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system shutdown |
Нет атрибутов |
| cyberx или администратор с корневым доступом | sudo shutdown -r now |
Нет атрибутов |
| cyberx_host или администратор с корневым доступом | sudo shutdown -r now |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: system shutdown
Версии программного обеспечения
Отображение установленной версии программного обеспечения
Используйте следующие команды, чтобы получить список версий программного обеспечения Defender для Интернета вещей, установленных на датчике OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system version |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-version |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: system version
Version: 22.2.5.9-r-2121448
Обновление программного обеспечения датчика из CLI
Дополнительные сведения см. в разделе "Обновление датчиков".
Дата, время и NTP
Отображение текущей даты и времени системы
Используйте следующие команды, чтобы отобразить текущую системную дату и время на сетевом датчике OT в формате GMT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | date |
Нет атрибутов |
| cyberx или администратор с корневым доступом | date |
Нет атрибутов |
| cyberx_host или администратор с корневым доступом | date |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
Включение синхронизации времени NTP
Используйте следующие команды, чтобы включить синхронизацию для (модуль) времени с NTP-сервером.
Чтобы использовать эти команды, убедитесь, что:
- Сервер NTP можно получить из порта управления (модуль)
- Один и тот же сервер NTP используется для синхронизации всех (модуль) датчиков и локальных консоль управления
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | ntp enable <IP address> |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-ntp-enable <IP address> |
Нет атрибутов |
В этих командах <IP address> используется IP-адрес допустимого NTP-сервера IPv4 с портом 123.
Например, для пользователя администратора :
root@xsense: ntp enable 129.6.15.28
root@xsense:
Отключение синхронизации времени NTP
Используйте следующие команды, чтобы отключить синхронизацию для (модуль) времени с сервером NTP.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | ntp disable <IP address> |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-ntp-disable <IP address> |
Нет атрибутов |
В этих командах <IP address> используется IP-адрес допустимого NTP-сервера IPv4 с портом 123.
Например, для пользователя администратора :
root@xsense: ntp disable 129.6.15.28
root@xsense:
Резервное копирование и восстановление
В следующих разделах описаны команды CLI, поддерживаемые для резервного копирования и восстановления системного снимка сетевого датчика OT.
Файлы резервного копирования включают полный снимок состояния датчика, включая параметры конфигурации, базовые значения, данные инвентаризации и журналы.
Внимание
Не прерывайте операцию резервного копирования или восстановления системы, так как это может привести к неиспользуемой системе.
Вывод списка текущих файлов резервного копирования
Используйте следующие команды, чтобы получить список файлов резервной копии, хранящихся в сетевом датчике OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system backup-list |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-system-backup-list |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
Запуск немедленной незапланированного резервного копирования
Используйте следующие команды, чтобы начать немедленную незапланированную резервную копию данных на датчике OT. Дополнительные сведения см. в разделе "Настройка файлов резервного копирования и восстановления".
Внимание
Не забудьте остановить или отключить (модуль) при резервном копировании данных.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system backup |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-system-backup |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
Восстановление данных из последней резервной копии
Используйте следующие команды, чтобы восстановить данные на сетевом датчике OT с помощью последнего файла резервного копирования. При появлении запроса убедитесь, что вы хотите продолжить.
Внимание
Не забудьте остановить или отключить (модуль) при восстановлении данных.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | system restore |
Нет атрибутов |
| cyberx или администратор с корневым доступом | cyberx-xsense-system-restore |
-f <filename> |
Например, для пользователя администратора :
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
Отображение выделения места на диске резервного копирования
Следующая команда перечисляет текущее выделение места на диске резервного копирования, включая следующие сведения:
- Расположение папки резервного копирования
- Размер папки резервного копирования
- Ограничения папок резервного копирования
- Время последней операции резервного копирования
- Свободное место на диске, доступное для резервных копий
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-backup-memory-check |
Нет атрибутов |
Например, для кибер-пользователя :
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
TLS/SSL-сертификаты
Импорт SSL-сертификатов в датчик OT
Используйте следующую команду для импорта TLS/SSL-сертификатов в датчик из ИНТЕРФЕЙСА командной строки.
Чтобы использовать эту команду, выполните следующие действия:
- Убедитесь, что файл сертификата, который требуется импортировать, доступен для чтения в (модуль). Отправьте файлы сертификатов в (модуль) с помощью таких средств, как WinSCP или Wget.
- Убедитесь в том, что (модуль) домен, как он отображается в сертификате, правильно подходит для DNS-сервера и соответствующего IP-адреса.
Дополнительные сведения см. в разделе "Подготовка подписанных ЦС сертификатов" и создание сертификатов SSL/TLS для (модуль) OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH>] <[-key FILE NAME>] [--chain <PATH>] [<-pass PASSPHRASE] [-passphrase-set>< VALUE>]' |
В этой команде:
-h: показан полный синтаксис справки по команде--crt: путь к файлу сертификата, который требуется отправить, с расширением.crt--key\*.key: файл, который требуется использовать для сертификата. Длина ключа должна быть не менее 2048 битов--chain: путь к файлу цепочки сертификатов. Необязательно.--pass: парольная фраза, используемая для шифрования сертификата. Необязательно.Для создания ключа или сертификата с помощью парольной фразы поддерживаются следующие символы:
- Символы ASCII, включая a-z, A-Z, 0-9
- Следующие специальные символы: ! # % ( ) + , - . / : = ? [ [ \ ^ ^ _ { } ~ ~
--passphrase-set: неиспользуемый и присвоенный значение False по умолчанию. Задайте значение True , чтобы использовать парольную фразу, предоставленную предыдущим сертификатом. Необязательно.
Например, для кибер-пользователя :
root@xsense:/# cyberx-xsense-certificate-import
Восстановление самозаверяющего сертификата по умолчанию
Используйте следующую команду, чтобы восстановить самозаверяемые сертификаты по умолчанию на (модуль) датчика. Мы рекомендуем использовать это действие только для устранения неполадок, а не в рабочих средах.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-create-self-signed-certificate |
Нет атрибутов |
Например, для кибер-пользователя :
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
Управление локальными пользователями
Изменение паролей локального пользователя
Используйте следующие команды, чтобы изменить пароли для локальных пользователей на датчике OT.
При изменении пароля для администратора, кибербезопасности или cyberx_host пользователя пароль изменяется как для SSH, так и для веб-доступа.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
| cyberx_host или администратор с корневым доступом | passwd |
Нет атрибутов |
В следующем примере показано, как пользователь cyberx сбрасывает пароль jI8iD9kE6hB8qN0hадминистратора на:
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
В следующем примере показан cyberx_host пользователь, изменяющий пароль cyberx_host пользователя.
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
Управление временем ожидания сеанса пользователя
Определите время автоматического выхода пользователей из датчика OT. Определите это значение в файле свойств, сохраненном на датчике. Не то, что дополнительные сведения см. в разделе "Управление временем ожидания сеанса пользователя".
Определение максимального числа неудачных входов
Определите максимальное количество неудачных входов, прежде чем датчик OT не позволит пользователю повторно войти с того же IP-адреса. Определите это значение в файле свойств, сохраненном на датчике.
Дополнительные сведения см. в разделе "Определение максимального числа неудачных входов".
Сетевая конфигурация
Параметры сети
Изменение конфигурации сети или переназначение ролей сетевого интерфейса
Используйте следующую команду, чтобы повторно запустить мастер настройки программного обеспечения для мониторинга OT, который помогает определить или перенастроить следующие параметры датчика OT:
- Включение и отключение интерфейсов мониторинга SPAN
- Настройка параметров сети для интерфейса управления (IP, подсети, шлюза по умолчанию, DNS)
- Назначение каталога резервного копирования
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx_host или администратор с корневым доступом | sudo dpkg-reconfigure iot-sensor |
Нет атрибутов |
Например, с пользователем cyberx_host :
root@xsense:/# sudo dpkg-reconfigure iot-sensor
Мастер настройки запускается автоматически после выполнения этой команды. Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга OT".
Проверка и отображение конфигурации сетевого интерфейса
Используйте следующие команды для проверки и отображения текущей конфигурации сетевого интерфейса на датчике OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | network validate |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
Сетевое соединение
Проверка сетевого подключения с датчика OT
Используйте следующие команды, чтобы отправить сообщение с помощью датчика OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | ping <IP address> |
Нет атрибутов |
| cyberx или администратор с корневым доступом | ping <IP address> |
Нет атрибутов |
В этих командах <IP address> ip-адрес допустимого сетевого узла IPv4, доступного из порта управления на датчике OT.
Проверка текущей нагрузки сетевого интерфейса
Используйте следующую команду, чтобы отобразить сетевой трафик и пропускную способность с помощью шести секундного теста.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-nload |
Нет атрибутов |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
Проверка подключения к Интернету
Используйте следующую команду, чтобы проверка подключение к Интернету в (модуль).
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-internet-connectivity |
Нет атрибутов |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
Установка ограничения пропускной способности для сетевого интерфейса управления
Используйте следующую команду, чтобы задать ограничение исходящей пропускной способности для отправки из интерфейса управления датчика OT в портал Azure или локальную консоль управления.
Настройка ограничений исходящей пропускной способности может оказаться полезной при поддержании качества обслуживания сети (QoS). Эта команда поддерживается только в средах с ограниченными пропускной способностью, например по спутниковой или последовательной ссылке.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
В этой команде:
-hили--help: показан синтаксис справки команды--interface <INTERFACE VALUE>: интерфейс, который требуется ограничить, напримерeth0--limit <LIMIT VALUE>: ограничение, которое необходимо задать, например30kbit. Используйте один из следующих единиц:kbps: Килобайты в секундуmbps: Мегабайты в секундуkbit: Килобиты в секундуmbit: Мегабиты в секундуbpsили голое число: байт в секунду
--clear: очищает все параметры для указанного интерфейса.
Например, для кибер-пользователя :
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
Физические интерфейсы
Поиск физического порта путем мигания индикаторов интерфейса
Используйте следующую команду, чтобы найти определенный физический интерфейс, вызвав мигание индикаторов интерфейса.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | network blink <INT> |
Нет атрибутов |
В этой команде <INT> используется физический порт Ethernet на (модуль).
В следующем примере показан пользователь администратора , мигающий интерфейс eth0 :
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
Перечисление подключенных физических интерфейсов
Используйте следующие команды для перечисления подключенных физических интерфейсов на датчике OT.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | network list |
Нет атрибутов |
| cyberx или администратор с корневым доступом | ifconfig |
Нет атрибутов |
Например, для пользователя администратора :
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
Фильтры отслеживания трафика
Чтобы уменьшить усталость оповещений и сосредоточиться на мониторинге сети на трафике с высоким приоритетом, вы можете отфильтровать трафик, который передается в Defender для Интернета вещей в источнике. Фильтры отслеживания позволяют блокировать трафик высокой пропускной способности на аппаратном уровне, оптимизируя как (модуль) производительность, так и использование ресурсов.
Используйте списки включения или исключения для создания и настройки фильтров записи на сетевых датчиках OT, убедившись, что вы не блокируете какой-либо трафик, который требуется отслеживать.
Базовый вариант использования фильтров отслеживания использует один и тот же фильтр для всех компонентов Defender для Интернета вещей. Однако для расширенных вариантов использования может потребоваться настроить отдельные фильтры для каждого из следующих компонентов Defender для Интернета вещей:
horizon: записывает данные глубокой проверки пакетов (DPI)collector: записывает данные PCAPtraffic-monitor: записывает статистику связи
Примечание.
Фильтры отслеживания не применяются к оповещениям вредоносных программ Defender для Интернета вещей, которые активируются во всех обнаруженных сетевых трафиках.
Команда фильтра захвата имеет ограничение длины символов, основанное на сложности определения фильтра захвата и доступных возможностей сетевого интерфейса карта. Если запрошенный фильтр commmand завершается ошибкой, попробуйте сгруппировать подсети в более крупные область и использовать более короткую команду фильтра записи.
Создание базового фильтра для всех компонентов
Метод, используемый для настройки базового фильтра записи, отличается в зависимости от пользователя, выполняющего команду:
- пользователь cyberx : выполните указанную команду с определенными атрибутами, чтобы настроить фильтр записи.
- пользователь администратора : выполните указанную команду, а затем введите значения, как показано в интерфейсе командной строки, редактирование списков включения и исключения в редакторе nano.
Используйте следующие команды, чтобы создать новый фильтр записи:
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | network capture-filter |
Атрибуты отсутствуют. |
| cyberx или администратор с корневым доступом | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Поддерживаемые атрибуты для пользователя cyberx определяются следующим образом:
| Атрибут | Description |
|---|---|
-h, --help |
Отображает сообщение справки и выход. |
-i <INCLUDE>, --include <INCLUDE> |
Путь к файлу, который содержит маски устройств и подсети, которые необходимо включить, где <INCLUDE> находится путь к файлу. Например, см . пример файла включения или исключения. |
-x EXCLUDE, --exclude EXCLUDE |
Путь к файлу, который содержит маски устройств и подсети, которые необходимо исключить, где <EXCLUDE> находится путь к файлу. Например, см . пример файла включения или исключения. |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Исключает TCP-трафик на любых указанных портах, где <EXCLUDE_TCP_PORT> определяет порт или порты, которые необходимо исключить. Разделяйте несколько портов запятыми без пробелов. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
Исключает трафик UDP на любых указанных портах, где <EXCLUDE_UDP_PORT> определяет порт или порты, которые требуется исключить. Разделяйте несколько портов запятыми без пробелов. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
Включает TCP-трафик на любых указанных портах, где <INCLUDE_TCP_PORT> определяет порт или порты, которые требуется включить. Разделяйте несколько портов запятыми без пробелов. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
Включает трафик UDP на любых указанных портах, где <INCLUDE_UDP_PORT> определяет порт или порты, которые необходимо включить. Разделяйте несколько портов запятыми без пробелов. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
Включает трафик виртуальной локальной сети по указанным идентификаторам виртуальной локальной сети, определяет идентификатор или идентификаторы виртуальной ЛС, <INCLUDE_VLAN_IDS> которые требуется включить. Разделяйте несколько идентификаторов виртуальной локальной сети запятыми без пробелов. |
-p <PROGRAM>, --program <PROGRAM> |
Определяет компонент, для которого требуется настроить фильтр записи. Используйте all для основных вариантов использования, чтобы создать один фильтр записи для всех компонентов. Для расширенных вариантов использования создайте отдельные фильтры записи для каждого компонента. Дополнительные сведения см. в статье "Создание расширенного фильтра для определенных компонентов". |
-m <MODE>, --mode <MODE> |
Определяет режим включения списка и имеет значение, только если используется список включения. Используйте одно из следующих значений: - internal: включает все связи между указанным источником и назначением. - all-connected: включает все связи между любой из указанных конечных точек и внешними конечными точками. Например, для конечных точек A и B, если используется internal режим, включенный трафик будет включать только обмен данными между конечными точками A и B. Однако при использовании all-connected режима включен трафик будет включать все связи между A или B и другими внешними конечными точками. |
Пример файла include или exclude
Например, файл include или exclude .txt может включать следующие записи:
192.168.50.10
172.20.248.1
Создание базового фильтра записи с помощью пользователя администратора
Если вы создаете базовый фильтр записи в качестве пользователя администратора, атрибуты не передаются в исходной команде. Вместо этого отображается ряд запросов, которые помогут вам в интерактивном режиме создать фильтр записи.
Ответить на запросы, отображаемые следующим образом:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:Выберите
Y, чтобы открыть новый файл включения, где можно добавить устройство, канал и (или) подсеть, которую вы хотите включить в отслеживаемый трафик. Любой другой трафик, не указанный в файле включения, не передается в Defender для Интернета вещей.Файл включения открывается в текстовом редакторе Nano . В файле include определите устройства, каналы и подсети следующим образом:
Тип Описание Пример Устройство Определите устройство по IP-адресу. 1.1.1.1включает весь трафик для этого устройства.Канал Определите канал по IP-адресам своих исходных и конечных устройств, разделенных запятой. 1.1.1.1,2.2.2.2включает весь трафик для этого канала.Подсеть Определите подсеть по сетевому адресу. 1.1.1включает весь трафик для этой подсети.Канал подсети Определите сетевые адреса канала подсети для исходных и целевых подсетей. 1.1.1,2.2.2включает весь трафик между этими подсетями.Вывод списка нескольких аргументов в отдельных строках.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:Выберите
Y, чтобы открыть новый файл исключения, в котором можно добавить устройство, канал и (или) подсеть, которую вы хотите исключить из отслеживаемого трафика. Любой другой трафик, не указанный в файле исключения, передается в Defender для Интернета вещей.Файл исключения открывается в текстовом редакторе Nano . В файле исключения определите устройства, каналы и подсети следующим образом:
Тип Описание Пример Устройство Определите устройство по IP-адресу. 1.1.1.1исключает весь трафик для этого устройства.Канал Определите канал по IP-адресам своих исходных и конечных устройств, разделенных запятой. 1.1.1.1,2.2.2.2исключает весь трафик между этими устройствами.Канал по порту Определите канал по IP-адресам своих исходных и целевых устройств и порту трафика. 1.1.1.1,2.2.2.2,443исключает весь трафик между этими устройствами и использует указанный порт.Подсеть Определите подсеть по сетевому адресу. 1.1.1исключает весь трафик для этой подсети.Канал подсети Определите сетевые адреса канала подсети для исходных и целевых подсетей. 1.1.1,2.2.2исключает весь трафик между этими подсетями.Вывод списка нескольких аргументов в отдельных строках.
Ответ на приведенные ниже запросы на определение портов TCP или UDP для включения или исключения. Разделите несколько портов по запятой и нажмите клавишу ВВОД, чтобы пропустить любой конкретный запрос.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
Например, введите несколько портов следующим образом:
502,443In which component do you wish to apply this capture filter?Введите
allбазовый фильтр записи. Для расширенных вариантов использования создайте фильтры записи для каждого компонента Defender для Интернета вещей отдельно.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:Этот запрос позволяет настроить трафик в область. Определите, нужно ли собирать трафик, в котором обе конечные точки находятся в область, или только один из них находится в указанной подсети. Допустимые значения:
internal: включает все связи между указанным источником и назначением.all-connected: включает все связи между любой из указанных конечных точек и внешними конечными точками.
Например, для конечных точек A и B, если используется
internalрежим, включенный трафик будет включать только обмен данными между конечными точками A и B.
Однако при использованииall-connectedрежима включен трафик будет включать все связи между A или B и другими внешними конечными точками.internalявляется режимом по умолчанию. Чтобы использоватьall-connectedрежим, выберитеYв запросе и введитеall-connected.
В следующем примере показан ряд запросов, создающих фильтр записи для исключения подсети 192.168.x.x и порта. 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Создание расширенного фильтра для определенных компонентов
При настройке расширенных фильтров отслеживания для определенных компонентов можно использовать исходные файлы включения и исключения файлов в качестве базы или шаблона, фильтра записи. Затем настройте дополнительные фильтры для каждого компонента по мере необходимости.
Чтобы создать фильтр записи для каждого компонента, обязательно повторите весь процесс для каждого компонента.
Примечание.
Если вы создали различные фильтры записи для разных компонентов, выбор режима используется для всех компонентов. Определение фильтра записи для одного компонента как internal и фильтра записи для другого компонента, как all-connected не поддерживается.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | network capture-filter |
Атрибуты отсутствуют. |
| cyberx или администратор с корневым доступом | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Для создания фильтров отслеживания для каждого компонента отдельно используются следующие дополнительные атрибуты:
| Атрибут | Description |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
Определяет компонент, для которого требуется настроить фильтр записи, где <PROGRAM> имеются следующие поддерживаемые значения: - traffic-monitor - collector - horizon - all: создает один фильтр записи для всех компонентов. Дополнительные сведения см. в разделе "Создание базового фильтра для всех компонентов". |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
Определяет базовый фильтр записи для horizon компонента, где <BASE_HORIZON> используется фильтр. Значение по умолчанию = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Определяет базовый фильтр записи для traffic-monitor компонента. Значение по умолчанию = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
Определяет базовый фильтр записи для collector компонента. Значение по умолчанию = "" |
Другие значения атрибутов имеют то же описание, что и в базовом варианте использования, описанном ранее.
Создание расширенного фильтра записи с помощью пользователя администратора
Если вы создаете фильтр записи для каждого компонента отдельно от имени пользователя администратора, атрибуты не передаются в исходной команде. Вместо этого отображается ряд запросов, которые помогут вам в интерактивном режиме создать фильтр записи.
Большинство запросов идентичны базовому варианту использования. Ответить на следующие дополнительные запросы:
In which component do you wish to apply this capture filter?Введите одно из следующих значений в зависимости от компонента, который требуется отфильтровать:
horizontraffic-monitorcollector
Вам будет предложено настроить пользовательский фильтр базовой записи для выбранного компонента. Этот параметр использует фильтр отслеживания, настроенный на предыдущих шагах в качестве основы или шаблона, где можно добавить дополнительные конфигурации в верхней части базы.
Например, если вы выбрали настройку фильтра записи для
collectorкомпонента на предыдущем шаге, вам будет предложено:Would you like to supply a custom base capture filter for the collector component? [Y/N]:Введите
Y, чтобы настроить шаблон для указанного компонента илиNиспользовать фильтр записи, настроенный ранее.
Продолжайте с оставшимися запросами, как в базовом варианте использования.
Вывод списка текущих фильтров отслеживания для определенных компонентов
Используйте следующие команды, чтобы отобразить сведения о текущих фильтрах записи, настроенных для датчика.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | Используйте следующие команды для просмотра фильтров записи для каждого компонента: - horizon: edit-config horizon_parser/horizon.properties - монитор трафика: edit-config traffic_monitor/traffic-monitor - сборщик: edit-config dumpark.properties |
Нет атрибутов |
| cyberx или администратор с корневым доступом | Используйте следующие команды для просмотра фильтров записи для каждого компонента: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - монитор трафика: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - сборщик: nano /var/cyberx/properties/dumpark.properties |
Нет атрибутов |
Эти команды открывают следующие файлы, в которых перечислены фильтры записи, настроенные для каждого компонента:
| Имя. | Файл | Свойство |
|---|---|---|
| Горизонт | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| монитор трафика | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| Коллектор | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Например, с пользователем администратора с фильтром записи, определенным для компонента сборщика , который исключает подсеть 192.168.x.x.x и порт 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Сброс всех фильтров записи
Используйте следующую команду, чтобы сбросить датчик в конфигурацию записи по умолчанию с пользователем cyberx , удалив все фильтры записи.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-capture-filter -p all -m all-connected |
Нет атрибутов |
Если вы хотите изменить существующие фильтры записи, выполните предыдущую команду еще раз с новыми значениями атрибутов.
Чтобы сбросить все фильтры записи с помощью администратора, выполните предыдущую команду еще раз и ответьте N на все запросы на сброс всех фильтров записи.
В следующем примере показан синтаксис команды и ответ для пользователя cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
видны узлы
Активация тестового оповещения
Используйте следующую команду, чтобы проверить подключение и оповещение от датчика к консоль управления, включая портал Azure, локальную консоль управления Defender для Интернета вещей или стороннюю версию SIEM.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| cyberx или администратор с корневым доступом | cyberx-xsense-trigger-test-alert |
Нет атрибутов |
В следующем примере показан синтаксис команды и ответ для пользователя cyberx :
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
Правила исключения оповещений из датчика OT
Следующие команды поддерживают функции исключения оповещений на датчике OT, включая отображение текущих правил исключения, добавление и редактирование правил, а также удаление правил.
Примечание.
Правила исключения оповещений, определенные на датчике OT, могут быть перезаписаны правилами исключения оповещений, определенными в локальной консоль управления.
Отображение текущих правил исключения оповещений
Используйте следующую команду, чтобы отобразить список настроенных в настоящее время правил исключения.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| cyberx или администратор с корневым доступом | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
В следующем примере показан синтаксис команды и ответ пользователя администратора :
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
Создание правила исключения оповещений
Используйте следующие команды, чтобы создать локальное правило исключения оповещений на датчике.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| cyberx или администратор с корневым доступом | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Поддерживаемые атрибуты определяются следующим образом:
| Атрибут | Description |
|---|---|
-h, --help |
Отображает сообщение справки и выход. |
[-n <NAME>], [--name <NAME>] |
Определите имя правила. |
[-ts <TIMES>] [--time_span <TIMES>] |
Определяет интервал времени, для которого правило активно, с помощью следующего синтаксиса: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
Направление адреса для исключения. Используйте одно из следующих значений: both, srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Адреса устройств или типы адресов, которые следует исключить, используя следующий синтаксис: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Имена оповещений, которые следует исключить, по шестнадцатеричным значениям. Например: 0x00000, 0x000001 |
В следующем примере показан синтаксис команды и ответ пользователя администратора :
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Изменение правила исключения оповещений
Используйте следующие команды, чтобы изменить существующее правило исключения локального оповещения на датчике.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| cyberx или администратор с корневым доступом | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Поддерживаемые атрибуты определяются следующим образом:
| Атрибут | Description |
|---|---|
-h, --help |
Отображает сообщение справки и выход. |
[-n <NAME>], [--name <NAME>] |
Имя правила, которое требуется изменить. |
[-ts <TIMES>] [--time_span <TIMES>] |
Определяет интервал времени, для которого правило активно, с помощью следующего синтаксиса: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
Направление адреса для исключения. Используйте одно из следующих значений: both, srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Адреса устройств или типы адресов, которые следует исключить, используя следующий синтаксис: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Имена оповещений, которые следует исключить, по шестнадцатеричным значениям. Например: 0x00000, 0x000001 |
Используйте следующий синтаксис команды с пользователем администратора :
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Удаление правила исключения оповещений
Используйте следующие команды, чтобы удалить существующее правило исключения локального оповещения на датчике.
| User | Команда | Полный синтаксис команды |
|---|---|---|
| admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| cyberx или администратор с корневым доступом | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Поддерживаемые атрибуты определяются следующим образом:
| Атрибут | Description |
|---|---|
-h, --help |
Отображает сообщение справки и выход. |
[-n <NAME>], [--name <NAME>] |
Имя правила, которое требуется удалить. |
[-ts <TIMES>] [--time_span <TIMES>] |
Определяет интервал времени, для которого правило активно, с помощью следующего синтаксиса: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
Направление адреса для исключения. Используйте одно из следующих значений: both, srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
Адреса устройств или типы адресов, которые следует исключить, используя следующий синтаксис: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
Имена оповещений, которые следует исключить, по шестнадцатеричным значениям. Например: 0x00000, 0x000001 |
В следующем примере показан синтаксис команды и ответ пользователя администратора :
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]