Пользователи и доступ к Defender для IoT CLI
В этой статье приведены общие сведения об интерфейсе командной строки Microsoft Defender для Интернета вещей(CLI). Интерфейс командной строки — это текстовый пользовательский интерфейс, позволяющий получать доступ к датчикам OT и локальным консоль управления для расширенной настройки, устранения неполадок и поддержки.
Чтобы получить доступ к Интерфейсу командной строки Defender для Интернета вещей, вам потребуется доступ к датчику или локальному консоль управления.
- Для датчиков OT или локальных консоль управления необходимо войти в систему в качестве привилегированного пользователя.
- Для датчиков Enterprise IoT вы можете войти как любой пользователь.
Внимание
Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT и локальных консоль управления. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.
Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.
Привилегированный доступ пользователей для мониторинга OT
Используйте пользователя поддержки при использовании Интерфейса командной строки Defender для Интернета вещей, которая является учетной записью администратора с доступом ко всем командам CLI. В локальной консоль управления используйте службу поддержки или пользователя cyberx.
В версиях программного обеспечения датчика раньше 23.1.x также доступны киберкс и cyberx_host привилегированных пользователей. В версиях 23.1.x и более поздних версиях кибер-x и cyberx_host пользователи доступны, но не включены по умолчанию. Чтобы включить этих дополнительных привилегированных пользователей, измените пароли.
Другие пользователи ИНТЕРФЕЙСА командной строки не могут быть добавлены.
В следующей таблице описан доступ для каждого привилегированного пользователя:
| Имя | подключается к | Разрешения |
|---|---|---|
| support | Датчик OT или локальный консоль управленияconfiguration shell |
Мощная административная учетная запись с доступом к: — Все команды CLI — возможность управления файлами журнала — Запуск и остановка служб У этого пользователя нет доступа к файловой системе |
| киберкс | Датчик OT или локальный консоль управленияterminal (root) |
Служит корневым пользователем и имеет неограниченные права на (модуль). Используется только для следующих задач: — изменение паролей по умолчанию -Устранение неполадок — доступ к файловой системе |
| cyberx_host | Ос узла датчика OT terminal (root) |
Служит корневым пользователем и имеет неограниченные привилегии в ос (модуль) узла. Используется для: — конфигурация сети — элемент управления контейнерами приложений — доступ к файловой системе |
Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Поддерживаемые пользователи действиями CLI
В следующих таблицах перечислены действия, доступные интерфейсом командной строки и привилегированными пользователями, поддерживаемыми для каждого действия. Пользователи cyberx и cyberx_host поддерживаются только в версиях выше 23.1.x.
Команды обслуживания устройства
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Работоспособности датчика | поддержка, киберс | Проверка работоспособности служб мониторинга OT |
| Перезапуск и завершение работы | поддержка, киберс, cyberx_host | Перезапуск (модуль) Завершение работы (модуль) |
| Версии программного обеспечения | поддержка, киберс | Отображение установленной версии программного обеспечения Обновление версии программного обеспечения |
| Дата и время | поддержка, киберс, cyberx_host | Отображение текущей даты и времени системы |
| NTP | поддержка, киберс | Включение синхронизации времени NTP Отключение синхронизации времени NTP |
Команды резервного копирования и восстановления
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Файлы резервных копий | поддержка, киберс | Вывод списка текущих файлов резервного копирования Запуск немедленной незапланированного резервного копирования |
| Восстановление | поддержка, киберс | Восстановление данных из последней резервной копии |
| Место на диске резервного копирования | киберкс | Отображение выделения места на диске резервного копирования |
Команды TLS/SSL-сертификата
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Управление сертификатами | киберкс | Импорт SSL-сертификатов в датчик OT Восстановление самозаверяющего сертификата по умолчанию |
Команды управления локальными пользователями
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Управление паролями | cyberx, cyberx_host | Изменение паролей локального пользователя |
| Конфигурация входа | поддержка, киберс, cyberx_host | Управление временем ожидания сеанса пользователя |
| Конфигурация входа | киберкс | Определение максимального числа неудачных входов |
Команды конфигурации сети
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Конфигурация параметров сети | cyberx_host | Изменение конфигурации сети или переназначение ролей сетевого интерфейса |
| Конфигурация параметров сети | support | Проверка и отображение конфигурации сетевого интерфейса |
| Сетевое соединение | поддержка, киберс | Проверка сетевого подключения с датчика OT |
| Сетевое соединение | киберкс | Проверка текущей нагрузки сетевого интерфейса Проверка подключения к Интернету |
| Ограничение пропускной способности сети | киберкс | Установка ограничения пропускной способности для сетевого интерфейса управления |
| Управление физическими интерфейсами | support | Поиск физического порта путем мигания индикаторов интерфейса |
| Управление физическими интерфейсами | поддержка, киберс | Перечисление подключенных физических интерфейсов |
Команды фильтра отслеживания трафика
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Управление фильтрами записи | поддержка, киберс | Создание базового фильтра для всех компонентов Создание расширенного фильтра для определенных компонентов Вывод списка текущих фильтров отслеживания для определенных компонентов Сброс всех фильтров записи |
Команды оповещений
| Область обслуживания | Пользователи | Действия |
|---|---|---|
| Тестирование функциональных возможностей оповещений | киберкс | Активация тестового оповещения |
| Правила исключения оповещений | поддержка, киберс | Отображение текущих правил исключения оповещений Создание правила исключения оповещений Изменение правила исключения оповещений Удаление правила исключения оповещений |
Доступ к Интерфейсу командной строки Defender для Интернета вещей
Чтобы получить доступ к Интерфейсу командной строки Defender для Интернета вещей, войдите в датчик OT или Enterprise IoT или локальный консоль управления с помощью эмулятора терминала и SSH.
- В системе Windows используйте PuTTY или другое аналогичное приложение.
- В системе Mac используйте терминал.
- В виртуальной (модуль) перейдите к интерфейсу командной строки через SSH, клиент vSphere или диспетчер Hyper-V. Подключение на IP-адрес интерфейса управления виртуальной (модуль) через порт 22.
Каждая команда CLI на сетевом датчике OT или локальной консоль управления поддерживает другой набор привилегированных пользователей, как указано в соответствующих описаниях CLI. Убедитесь, что вы войте в качестве пользователя, необходимого для выполнения команды. Дополнительные сведения см. в разделе "Привилегированный доступ пользователей" для мониторинга OT.
Доступ к корневому каталогу системы в качестве пользователя поддержки
При входе в систему от имени пользователя поддержки выполните следующую команду, чтобы получить доступ к хост-компьютеру в качестве корневого пользователя. Доступ к хост-компьютеру в качестве корневого пользователя позволяет выполнять команды CLI, недоступные пользователю поддержки .
Запустить:
system shell
Выход из интерфейса командной строки
Не забудьте правильно выйти из интерфейса командной строки после завершения работы с ним. После неактивного периода в 300 секунд вы автоматически вошли в систему.
Чтобы выйти вручную на датчик OT или локальный консоль управления, выполните одну из следующих команд:
| User | Команда |
|---|---|
| support | logout |
| киберкс | cyberx-xsense-logout |
| cyberx_host | logout |
Следующие шаги
Вы также можете контролировать и отслеживать подключенные к облаку датчики на странице "Сайты и датчики Defender для Интернета вещей". Дополнительные сведения см. в разделе "Управление датчиками с помощью Defender для Интернета вещей в портале Azure".