CLI-kommandoreferens från OT-nätverkssensorer

  • Artikel

I den här artikeln visas de CLI-kommandon som är tillgängliga från Defender för IoT OT-nätverkssensorer.

Varning

Endast dokumenterade konfigurationsparametrar i OT-nätverkssensorn och den lokala hanteringskonsolen stöds för kundkonfiguration. Ändra inte några odokumenterade konfigurationsparametrar eller systemegenskaper eftersom ändringar kan orsaka oväntat beteende och systemfel.

Att ta bort paket från sensorn utan Microsofts godkännande kan orsaka oväntade resultat. Alla paket som är installerade på sensorn krävs för rätt sensorfunktionalitet.

Förutsättningar

Innan du kan köra något av följande CLI-kommandon behöver du åtkomst till CLI på din OT-nätverkssensor som en privilegierad användare.

Även om den här artikeln visar kommandosyntaxen för varje användare rekommenderar vi att du använder administratörsanvändaren för alla CLI-kommandon där administratörsanvändaren stöds.

Om du använder en äldre version av sensorprogramvaran kan du ha åtkomst till den äldre supportanvändaren . I sådana fall stöds alla kommandon som visas som stöd för administratörsanvändarenför den äldre supportanvändaren.

Mer information finns i Access the CLI and Privileged user access for OT monitoring (Åtkomst till CLI och privilegierad användaråtkomst för OT-övervakning).

Underhåll av installation

Kontrollera hälsotillståndet för OT-övervakningstjänster

Använd följande kommandon för att kontrollera att Defender for IoT-programmet på OT-sensorn fungerar korrekt, inklusive webbkonsolen och trafikanalysprocesserna.

Hälsokontroller är också tillgängliga från OT-sensorkonsolen. Mer information finns i Felsöka sensorn.

User Command Fullständig kommandosyntax
Admin system sanity Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-sanity Inga attribut

I följande exempel visas kommandosyntaxen och svaret för administratörsanvändaren:

root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Starta om och stänga av

Starta om en installation

Använd följande kommandon för att starta om OT-sensorinstallationen.

User Command Fullständig kommandosyntax
Admin system reboot Inga attribut
cyberx eller administratör med rotåtkomst sudo reboot Inga attribut
cyberx_host eller administratör med rotåtkomst sudo reboot Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: system reboot

Stäng av en apparat

Använd följande kommandon för att stänga av OT-sensorinstallationen.

User Command Fullständig kommandosyntax
Admin system shutdown Inga attribut
cyberx eller administratör med rotåtkomst sudo shutdown -r now Inga attribut
cyberx_host eller administratör med rotåtkomst sudo shutdown -r now Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: system shutdown

Programvaruversioner

Visa installerad programvaruversion

Använd följande kommandon för att visa den version av Defender for IoT-programvaran som är installerad på ot-sensorn.

User Command Fullständig kommandosyntax
Admin system version Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-version Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: system version
Version: 22.2.5.9-r-2121448

Uppdatera sensorprogramvara från CLI

Mer information finns i Uppdatera dina sensorer.

Datum, tid och NTP

Visa aktuellt systemdatum/-tid

Använd följande kommandon för att visa det aktuella systemets datum och tid på din OT-nätverkssensor i GMT-format.

User Command Fullständig kommandosyntax
Admin date Inga attribut
cyberx eller administratör med rotåtkomst date Inga attribut
cyberx_host eller administratör med rotåtkomst date Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:

Aktivera NTP-tidssynkronisering

Använd följande kommandon för att aktivera synkronisering för installationstiden med en NTP-server.

Om du vill använda dessa kommandon kontrollerar du att:

  • NTP-servern kan nås från installationshanteringsporten
  • Du använder samma NTP-server för att synkronisera alla sensorinstallationer och den lokala hanteringskonsolen
User Command Fullständig kommandosyntax
Admin ntp enable <IP address> Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-ntp-enable <IP address> Inga attribut

I dessa kommandon <IP address> är IP-adressen för en giltig IPv4 NTP-server med port 123.

Till exempel för administratörsanvändaren:

root@xsense: ntp enable 129.6.15.28
root@xsense:

Inaktivera NTP-tidssynkronisering

Använd följande kommandon för att inaktivera synkroniseringen för installationstiden med en NTP-server.

User Command Fullständig kommandosyntax
Admin ntp disable <IP address> Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-ntp-disable <IP address> Inga attribut

I dessa kommandon <IP address> är IP-adressen för en giltig IPv4 NTP-server med port 123.

Till exempel för administratörsanvändaren:

root@xsense: ntp disable 129.6.15.28
root@xsense:

Säkerhetskopiering och återställning

I följande avsnitt beskrivs DE CLI-kommandon som stöds för säkerhetskopiering och återställning av en systemögonblicksbild av din OT-nätverkssensor.

Säkerhetskopieringsfiler innehåller en fullständig ögonblicksbild av sensortillståndet, inklusive konfigurationsinställningar, baslinjevärden, inventeringsdata och loggar.

Varning

Avbryt inte en systemsäkerhetskopiering eller återställningsåtgärd eftersom detta kan leda till att systemet blir oanvändbart.

Visa en lista över aktuella säkerhetskopieringsfiler

Använd följande kommandon för att lista de säkerhetskopierade filer som för närvarande lagras på din OT-nätverkssensor.

User Command Fullständig kommandosyntax
Admin system backup-list Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-system-backup-list Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: system backup-list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:

Starta en omedelbar, oplanerad säkerhetskopia

Använd följande kommandon för att starta en omedelbar, oplanerad säkerhetskopiering av data på ot-sensorn. Mer information finns i Konfigurera säkerhetskopierings- och återställningsfiler.

Varning

Se till att inte stoppa eller stänga av apparaten när du säkerhetskopierar data.

User Command Fullständig kommandosyntax
Admin system backup Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-system-backup Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:

Återställa data från den senaste säkerhetskopieringen

Använd följande kommandon för att återställa data på din OT-nätverkssensor med hjälp av den senaste säkerhetskopieringsfilen. Bekräfta att du vill fortsätta när du uppmanas att göra det.

Varning

Se till att inte stoppa eller stänga av apparaten när du återställer data.

User Command Fullständig kommandosyntax
Admin system restore Inga attribut
cyberx eller administratör med rotåtkomst cyberx-xsense-system-restore -f <filename>

Till exempel för administratörsanvändaren:

root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:

Visa allokering av säkerhetskopieringsdiskutrymme

Följande kommando visar den aktuella allokeringen av säkerhetskopieringsdiskutrymme, inklusive följande information:

  • Plats för säkerhetskopieringsmapp
  • Storlek på säkerhetskopieringsmapp
  • Begränsningar för säkerhetskopieringsmappar
  • Senaste säkerhetskopieringsåtgärdstid
  • Ledigt diskutrymme för säkerhetskopieringar
User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-backup-memory-check Inga attribut

Till exempel för cyberx-användaren :

root@xsense:/# cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#

TLS-/SSL-certifikat

Importera TLS/SSL-certifikat till ot-sensorn

Använd följande kommando för att importera TLS/SSL-certifikat till sensorn från CLI.

Så här använder du det här kommandot:

  • Kontrollera att certifikatfilen som du vill importera är läsbar på installationen. Ladda upp certifikatfiler till installationen med hjälp av verktyg som WinSCP eller Wget.
  • Bekräfta med IT-kontoret att installationsdomänen som den visas i certifikatet är korrekt för DNS-servern och motsvarande IP-adress.

Mer information finns i Förbereda CA-signerade certifikat och Skapa SSL/TLS-certifikat för OT-enheter.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-certificate-import cyberx-xsense-certificate-import [-h] [--crt <PATH>] [--key <FILE NAME>] [--chain <PATH>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]'

I det här kommandot:

  • -h: Visar den fullständiga kommandohjälpssyntaxen

  • --crt: Sökvägen till certifikatfilen som du vill ladda upp med ett .crt tillägg

  • --key: Den \*.key fil som du vill använda för certifikatet. Nyckellängden måste vara minst 2 048 bitar

  • --chain: Sökvägen till en certifikatkedjefil. Valfritt.

  • --pass: En lösenfras som används för att kryptera certifikatet. Valfritt.

    Följande tecken stöds för att skapa en nyckel eller ett certifikat med en lösenfras:

    • ASCII-tecken, inklusive a-z, A-Z, 0-9
    • Följande specialtecken: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~

  • --passphrase-set: Oanvänd och inställd på False som standard. Ställ in på True för att använda lösenfras som medföljer det tidigare certifikatet. Valfritt.

Till exempel för cyberx-användaren :

root@xsense:/# cyberx-xsense-certificate-import

Återställa det självsignerade standardcertifikatet

Använd följande kommando för att återställa de självsignerade standardcertifikaten på sensorinstallationen. Vi rekommenderar att du endast använder den här aktiviteten för felsökning och inte i produktionsmiljöer.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-create-self-signed-certificate Inga attribut

Till exempel för cyberx-användaren :

root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#

Lokal användarhantering

Ändra lösenord för lokala användare

Använd följande kommandon för att ändra lösenord för lokala användare på ot-sensorn.

När du ändrar lösenordet för administratören, cyberx eller cyberx_host användare ändras lösenordet för både SSH och webbåtkomst.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-users-password-reset cyberx-users-password-reset -u <user> -p <password>
cyberx_host eller administratör med rotåtkomst passwd Inga attribut

I följande exempel visas cyberx-användaren som återställer administratörsanvändarens lösenord till jI8iD9kE6hB8qN0h:

root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#

I följande exempel visas cyberx_host användare som ändrar cyberx_host användarens lösenord.

cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#

Kontrollera tidsgränser för användarsessioner

Definiera den tid efter vilken användare loggas ut automatiskt från OT-sensorn. Definiera det här värdet i en egenskapsfil som sparats på sensorn. inte det Mer information finns i Kontrollera tidsgränser för användarsessioner.

Definiera maximalt antal misslyckade inloggningar

Definiera antalet maximala misslyckade inloggningar innan en OT-sensor förhindrar att användaren loggar in igen från samma IP-adress. Definiera det här värdet i en egenskapsfil som sparats på sensorn.

Mer information finns i Definiera maximalt antal misslyckade inloggningar.

Konfiguration av nätverk

Nätverksinställningar

Ändra nätverkskonfiguration eller tilldela om nätverksgränssnittsroller

Använd följande kommando för att köra guiden för konfiguration av OT-övervakningsprogram igen, vilket hjälper dig att definiera eller konfigurera om följande INSTÄLLNINGAR för OT-sensorn:

  • Aktivera/inaktivera SPAN-övervakningsgränssnitt
  • Konfigurera nätverksinställningar för hanteringsgränssnittet (IP, undernät, standardgateway, DNS)
  • Tilldela en säkerhetskopieringskatalog
User Command Fullständig kommandosyntax
cyberx_host eller administratör med rotåtkomst sudo dpkg-reconfigure iot-sensor Inga attribut

Till exempel med cyberx_host användare:

root@xsense:/# sudo dpkg-reconfigure iot-sensor

Konfigurationsguiden startar automatiskt när du har kört det här kommandot. Mer information finns i Installera OT-övervakningsprogram.

Verifiera och visa konfiguration av nätverksgränssnitt

Använd följande kommandon för att verifiera och visa den aktuella nätverksgränssnittskonfigurationen på OT-sensorn.

User Command Fullständig kommandosyntax
Admin network validate Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:

Nätverksanslutningar

Kontrollera nätverksanslutningen från OT-sensorn

Använd följande kommandon för att skicka ett pingmeddelande från OT-sensorn.

User Command Fullständig kommandosyntax
Admin ping <IP address> Inga attribut
cyberx eller administratör med rotåtkomst ping <IP address> Inga attribut

I dessa kommandon <IP address> är IP-adressen för en giltig IPv4-nätverksvärd tillgänglig från hanteringsporten på din OT-sensor.

Kontrollera aktuell belastning för nätverksgränssnittet

Använd följande kommando för att visa nätverkstrafik och bandbredd med hjälp av ett test på sex sekunder.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-nload Inga attribut 
root@xsense:/# cyberx-nload
eth0:
        Received: 66.95 KBit/s Sent: 87.94 KBit/s
        Received: 58.95 KBit/s Sent: 107.25 KBit/s
        Received: 43.67 KBit/s Sent: 107.86 KBit/s
        Received: 87.00 KBit/s Sent: 191.47 KBit/s
        Received: 79.71 KBit/s Sent: 85.45 KBit/s
        Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
        Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#

Kontrollera internetanslutningen

Använd följande kommando för att kontrollera internetanslutningen på installationen.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-internet-connectivity Inga attribut 
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#

Ange bandbreddsgräns för hanteringsnätverksgränssnittet

Använd följande kommando för att ange gränsen för utgående bandbredd för uppladdningar från OT-sensorns hanteringsgränssnitt till Azure-portalen eller en lokal hanteringskonsol.

Det kan vara bra att ange gränser för utgående bandbredd för att upprätthålla tjänstens nätverkskvalitet (QoS). Det här kommandot stöds endast i bandbreddsbegränsade miljöer, till exempel via en satellit- eller serielänk.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-limit-interface cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear]

I det här kommandot:

  • -h eller --help: Visar syntaxen för kommandohjälpen

  • --interface <INTERFACE VALUE>: Är det gränssnitt som du vill begränsa, till exempel eth0

  • --limit <LIMIT VALUE>: Den gräns som du vill ange, till exempel 30kbit. Använd någon av följande enheter:

    • kbps: Kilobyte per sekund
    • mbps: Megabyte per sekund
    • kbit: Kilobit per sekund
    • mbit: Megabitar per sekund
    • bps eller ett tomt tal: Byte per sekund

  • --clear: Rensar alla inställningar för det angivna gränssnittet

Till exempel för cyberx-användaren :

root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]

optional arguments:
  -h, --help            show this help message and exit
  --interface INTERFACE
                        interface (e.g. eth0)
  --limit LIMIT         limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
                        Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
  --clear               flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps

Fysiska gränssnitt

Hitta en fysisk port genom att blinka gränssnittsljus

Använd följande kommando för att hitta ett specifikt fysiskt gränssnitt genom att orsaka att gränssnittsbelysningen blinkar.

User Command Fullständig kommandosyntax
Admin network blink <INT> Inga attribut

I det här kommandot <INT> är en fysisk Ethernet-port på enheten.

I följande exempel visas administratörsanvändaren som blinkar i gränssnittet eth0:

root@xsense: network blink eth0
Blinking interface for 20 seconds ...

Visa en lista över anslutna fysiska gränssnitt

Använd följande kommandon för att visa en lista över anslutna fysiska gränssnitt på ot-sensorn.

User Command Fullständig kommandosyntax
Admin network list Inga attribut
cyberx eller administratör med rotåtkomst ifconfig Inga attribut

Till exempel för administratörsanvändaren:

root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@xsense:

Filter för trafikinsamling

För att minska aviseringströttheten och fokusera nätverksövervakningen på trafik med hög prioritet kan du välja att filtrera den trafik som strömmar till Defender för IoT vid källan. Med insamlingsfilter kan du blockera trafik med hög bandbredd på maskinvarulagret, vilket optimerar både installationens prestanda och resursanvändning.

Använd inkludera en/eller exkludera listor för att skapa och konfigurera avbildningsfilter på dina OT-nätverkssensorer, så att du inte blockerar någon av de trafik som du vill övervaka.

Det grundläggande användningsfallet för insamlingsfilter använder samma filter för alla Defender för IoT-komponenter. För avancerade användningsfall kanske du vill konfigurera separata filter för var och en av följande Defender för IoT-komponenter:

  • horizon: Samlar in DPI-data (deep packet inspection)
  • collector: Samlar in PCAP-data
  • traffic-monitor: Samlar in kommunikationsstatistik

Kommentar

  • Avbildningsfilter gäller inte för aviseringar om skadlig kod i Defender för IoT, som utlöses på all identifierad nätverkstrafik.

  • Avbildningsfilterkommandot har en teckenlängdsgräns som baseras på komplexiteten i avbildningsfilterdefinitionen och de tillgängliga nätverksgränssnittskortfunktionerna. Om det begärda filtret inte fungerar kan du prova att gruppera undernät i större omfång och använda ett kortare kommando för avbildningsfilter.

Skapa ett grundläggande filter för alla komponenter

Den metod som används för att konfigurera ett grundläggande avbildningsfilter skiljer sig åt beroende på vilken användare som utför kommandot:

  • cyberx-användare : Kör det angivna kommandot med specifika attribut för att konfigurera avbildningsfiltret.
  • administratörsanvändare : Kör det angivna kommandot och ange sedan värden som efterfrågas av CLI, redigera dina ta med- och exkluderingslistor i en nanoredigerare.

Använd följande kommandon för att skapa ett nytt avbildningsfilter:

User Command Fullständig kommandosyntax
Admin network capture-filter Inga attribut.
cyberx eller administratör med rotåtkomst cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Attribut som stöds för cyberx-användaren definieras på följande sätt:

Attribut beskrivning
-h, --help Visar hjälpmeddelandet och avslutas.
-i <INCLUDE>, --include <INCLUDE> Sökvägen till en fil som innehåller de enheter och undernätsmasker som du vill inkludera, där <INCLUDE> är sökvägen till filen. Se till exempel Exempel på inkludera eller exkludera fil.
-x EXCLUDE, --exclude EXCLUDE Sökvägen till en fil som innehåller de enheter och undernätsmasker som du vill exkludera, där <EXCLUDE> är sökvägen till filen. Se till exempel Exempel på inkludera eller exkludera fil.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Exkluderar TCP-trafik på alla angivna portar, där <EXCLUDE_TCP_PORT> definierar den port eller port som du vill exkludera. Avgränsa flera portar med kommatecken, utan blanksteg.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Exkluderar UDP-trafik på angivna portar, där <EXCLUDE_UDP_PORT> definierar den port eller de portar som du vill exkludera. Avgränsa flera portar med kommatecken, utan blanksteg.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Innehåller TCP-trafik på alla angivna portar, där <INCLUDE_TCP_PORT> definierar den port eller port som du vill inkludera. Avgränsa flera portar med kommatecken, utan blanksteg.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Inkluderar UDP-trafik på alla angivna portar, där <INCLUDE_UDP_PORT> definierar den port eller de portar som du vill inkludera. Avgränsa flera portar med kommatecken, utan blanksteg.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Innehåller VLAN-trafik med angivna VLAN-ID:er, <INCLUDE_VLAN_IDS> definierar det VLAN-ID eller ID som du vill inkludera. Avgränsa flera VLAN-ID:n med kommatecken, utan blanksteg.
-p <PROGRAM>, --program <PROGRAM> Definierar den komponent som du vill konfigurera ett avbildningsfilter för. Använd all för grundläggande användningsfall för att skapa ett enda avbildningsfilter för alla komponenter.

För avancerade användningsfall skapar du separata avbildningsfilter för varje komponent. Mer information finns i Skapa ett avancerat filter för specifika komponenter.
-m <MODE>, --mode <MODE> Definierar ett inkluderingslistläge och är endast relevant när en inkluderingslista används. Använd något av följande värden:

- internal: Innehåller all kommunikation mellan den angivna källan och målet
- all-connected: Innehåller all kommunikation mellan någon av de angivna slutpunkterna och externa slutpunkter.

Om du till exempel använder internal läget för slutpunkterna A och B inkluderar inkluderad trafik endast kommunikation mellan slutpunkterna A och B.
Men om du använder all-connected läget inkluderar inkluderad trafik all kommunikation mellan A eller B och andra externa slutpunkter.

Exempel på inkludera eller exkludera fil

Till exempel kan en inkludera eller exkludera .txt-fil innehålla följande poster:

192.168.50.10
172.20.248.1

Skapa ett grundläggande avbildningsfilter med administratörsanvändaren

Om du skapar ett grundläggande avbildningsfilter som administratörsanvändare skickas inga attribut i det ursprungliga kommandot. I stället visas en serie med frågor som hjälper dig att skapa insamlingsfiltret interaktivt.

Svara på de frågor som visas på följande sätt:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Välj Y att öppna en ny inkluderingsfil, där du kan lägga till en enhet, kanal och/eller undernät som du vill inkludera i övervakad trafik. All annan trafik, som inte visas i din inkluderingsfil, matas inte in i Defender för IoT.

    Inkluderingsfilen öppnas i Nano-textredigeraren . I include-filen definierar du enheter, kanaler och undernät enligt följande:

    Typ Beskrivning Exempel
    Enhet Definiera en enhet med dess IP-adress. 1.1.1.1 innehåller all trafik för den här enheten.
    Kanal Definiera en kanal med IP-adresserna för dess käll- och målenheter, avgränsade med ett kommatecken. 1.1.1.1,2.2.2.2 innehåller all trafik för den här kanalen.
    Undernät Definiera ett undernät efter dess nätverksadress. 1.1.1 innehåller all trafik för det här undernätet.
    Undernätskanal Definiera nätverksadresser för undernätskanalen för käll- och målundernäten. 1.1.1,2.2.2 innehåller all trafik mellan dessa undernät.

    Lista flera argument i separata rader.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Välj Y att öppna en ny exkluderingsfil där du kan lägga till en enhet, kanal och/eller undernät som du vill undanta från övervakad trafik. All annan trafik, som inte visas i din exkluderingsfil, matas in till Defender för IoT.

    Exkluderingsfilen öppnas i Nano-textredigeraren . I exkluderingsfilen definierar du enheter, kanaler och undernät på följande sätt:

    Typ Beskrivning Exempel
    Enhet Definiera en enhet med dess IP-adress. 1.1.1.1 utesluter all trafik för den här enheten.
    Kanal Definiera en kanal med IP-adresserna för dess käll- och målenheter, avgränsade med ett kommatecken. 1.1.1.1,2.2.2.2 utesluter all trafik mellan dessa enheter.
    Kanal efter port Definiera en kanal efter IP-adresserna för dess käll- och målenheter och trafikporten. 1.1.1.1,2.2.2.2,443 exkluderar all trafik mellan dessa enheter och använder den angivna porten.
    Undernät Definiera ett undernät efter dess nätverksadress. 1.1.1 exkluderar all trafik för det här undernätet.
    Undernätskanal Definiera nätverksadresser för undernätskanalen för käll- och målundernäten. 1.1.1,2.2.2 undantar all trafik mellan dessa undernät.

    Lista flera argument i separata rader.

  3. Svara på följande uppmaningar om att definiera eventuella TCP- eller UDP-portar som ska inkluderas eller exkluderas. Avgränsa flera portar med kommatecken och tryck på RETUR för att hoppa över en specifik fråga.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Ange till exempel flera portar enligt följande: 502,443

  4. In which component do you wish to apply this capture filter?

    Ange all för ett grundläggande avbildningsfilter. För avancerade användningsfall skapar du avbildningsfilter för varje Defender för IoT-komponent separat.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Med den här uppmaningen kan du konfigurera vilken trafik som finns i omfånget. Definiera om du vill samla in trafik där båda slutpunkterna finns i omfånget, eller om endast en av dem finns i det angivna undernätet. Värden som stöds är:

    • internal: Innehåller all kommunikation mellan den angivna källan och målet
    • all-connected: Innehåller all kommunikation mellan någon av de angivna slutpunkterna och externa slutpunkter.

    Om du till exempel använder internal läget för slutpunkterna A och B inkluderar inkluderad trafik endast kommunikation mellan slutpunkterna A och B.
    Men om du använder all-connected läget inkluderar inkluderad trafik all kommunikation mellan A eller B och andra externa slutpunkter.

    Standardläget är internal. Om du vill använda all-connected läget väljer du Y i kommandotolken och anger all-connectedsedan .

I följande exempel visas en serie med frågor som skapar ett avbildningsfilter för att exkludera undernät 192.168.x.x och port 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Skapa ett avancerat filter för specifika komponenter

När du konfigurerar avancerade avbildningsfilter för specifika komponenter kan du använda ditt första filtreringsfilter för att inkludera och exkludera filer som bas eller mall. Konfigurera sedan extra filter för varje komponent ovanpå basen efter behov.

Om du vill skapa ett avbildningsfilter för varje komponent måste du upprepa hela processen för varje komponent.

Kommentar

Om du har skapat olika avbildningsfilter för olika komponenter används valet av läge för alla komponenter. Definiera avbildningsfiltret för en komponent som internal och insamlingsfiltret för en annan komponent som all-connected inte stöds.

User Command Fullständig kommandosyntax
Admin network capture-filter Inga attribut.
cyberx eller administratör med rotåtkomst cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Följande extra attribut används för cyberx-användaren för att skapa avbildningsfilter för varje komponent separat:

Attribut beskrivning
-p <PROGRAM>, --program <PROGRAM> Definierar den komponent som du vill konfigurera ett avbildningsfilter för, där <PROGRAM> följande värden stöds:
- traffic-monitor
- collector
- horizon
- all: Skapar ett enda insamlingsfilter för alla komponenter. Mer information finns i Skapa ett grundläggande filter för alla komponenter.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definierar ett basavbildningsfilter för komponenten horizon , där <BASE_HORIZON> är det filter som du vill använda.
Standardvärde = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definierar ett basavbildningsfilter för komponenten traffic-monitor .
Standardvärde = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definierar ett basavbildningsfilter för komponenten collector .
Standardvärde = ""

Andra attributvärden har samma beskrivningar som i det grundläggande användningsfallet, som beskrevs tidigare.

Skapa ett avancerat avbildningsfilter med administratörsanvändaren

Om du skapar ett avbildningsfilter för varje komponent separat som administratörsanvändare skickas inga attribut i det ursprungliga kommandot. I stället visas en serie med frågor som hjälper dig att skapa insamlingsfiltret interaktivt.

De flesta av anvisningarna är identiska med grundläggande användningsfall. Svara på följande extra frågor på följande sätt:

  1. In which component do you wish to apply this capture filter?

    Ange något av följande värden, beroende på vilken komponent du vill filtrera:

    • horizon
    • traffic-monitor
    • collector

  2. Du uppmanas att konfigurera ett anpassat basavbildningsfilter för den valda komponenten. Det här alternativet använder det avbildningsfilter som du konfigurerade i föregående steg som bas eller mall, där du kan lägga till extra konfigurationer ovanpå basen.

    Om du till exempel har valt att konfigurera ett avbildningsfilter för komponenten collector i föregående steg uppmanas du att: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Ange Y för att anpassa mallen för den angivna komponenten eller N för att använda avbildningsfiltret som du konfigurerade tidigare som det är.

Fortsätt med de återstående anvisningarna som i det grundläggande användningsfallet.

Lista aktuella avbildningsfilter för specifika komponenter

Använd följande kommandon för att visa information om de aktuella avbildningsfilter som har konfigurerats för sensorn.

User Command Fullständig kommandosyntax
Admin Använd följande kommandon för att visa avbildningsfilter för varje komponent:

- horisont: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- insamlare: edit-config dumpark.properties		 Inga attribut
cyberx eller administratör med rotåtkomst Använd följande kommandon för att visa avbildningsfilter för varje komponent:

-horisont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- insamlare: nano /var/cyberx/properties/dumpark.properties		 Inga attribut

Dessa kommandon öppnar följande filer, som visar en lista över de avbildningsfilter som konfigurerats för varje komponent:

Name Fil Property
Horisonten /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Samlare /var/cyberx/properties/dumpark.properties dumpark.network.filter

Till exempel med administratörsanvändaren, med ett insamlingsfilter definierat för insamlarekomponenten som exkluderar undernätet 192.168.x.x och port 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Återställa alla avbildningsfilter

Använd följande kommando för att återställa sensorn till standardkonfigurationen för avbildning med cyberx-användaren och ta bort alla avbildningsfilter.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-capture-filter -p all -m all-connected Inga attribut

Om du vill ändra befintliga avbildningsfilter kör du det tidigare kommandot igen med nya attributvärden.

Om du vill återställa alla avbildningsfilter med administratörsanvändaren kör du det tidigare kommandot igen och svarar på N alla uppmaningar om att återställa alla avbildningsfilter.

I följande exempel visas kommandosyntaxen och svaret för cyberx-användaren :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Aviseringar

Utlösa en testavisering

Använd följande kommando för att testa anslutning och aviseringsvidarebefordring från sensorn till hanteringskonsoler, inklusive Azure-portalen, en lokal Defender för IoT-hanteringskonsol eller en SIEM från tredje part.

User Command Fullständig kommandosyntax
cyberx eller administratör med rotåtkomst cyberx-xsense-trigger-test-alert Inga attribut

I följande exempel visas kommandosyntaxen och svaret för cyberx-användaren :

root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.

Regler för aviseringsundantag från en OT-sensor

Följande kommandon stöder funktioner för aviseringsundantag på din OT-sensor, inklusive att visa aktuella undantagsregler, lägga till och redigera regler och ta bort regler.

Kommentar

Regler för aviseringsundantag som definierats på en OT-sensor kan skrivas över av regler för aviseringsundantag som definierats i den lokala hanteringskonsolen.

Visa aktuella regler för aviseringsundantag

Använd följande kommando för att visa en lista över för närvarande konfigurerade undantagsregler.

User Command Fullständig kommandosyntax
Admin alerts exclusion-rule-list alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx eller administratör med rotåtkomst alerts cyberx-xsense-exclusion-rule-list alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

I följande exempel visas kommandosyntaxen och svaret för administratörsanvändaren:

root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:

Skapa en ny regel för aviseringsundantag

Använd följande kommandon för att skapa en lokal regel för aviseringsundantag på sensorn.

User Command Fullständig kommandosyntax
Admin cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx eller administratör med rotåtkomst cyberx-xsense-exclusion-rule-create cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Attribut som stöds definieras på följande sätt:

Attribut beskrivning
-h, --help Visar hjälpmeddelandet och avslutas.
[-n <NAME>], [--name <NAME>] Definiera regelns namn.
[-ts <TIMES>] [--time_span <TIMES>] Definierar det tidsintervall för vilket regeln är aktiv med hjälp av följande syntax: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adressriktning som ska undantas. Använd något av följande värden: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Enhetsadresser eller adresstyper som ska undantas med hjälp av följande syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Aviseringsnamn som ska undantas, efter hexvärde. Till exempel: 0x00000, 0x000001

I följande exempel visas kommandosyntaxen och svaret för administratörsanvändaren:

alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Ändra en regel för aviseringsundantag

Använd följande kommandon för att ändra en befintlig regel för lokal aviseringsundantag på sensorn.

User Command Fullständig kommandosyntax
Admin exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx eller administratör med rotåtkomst exclusion-rule-append exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Attribut som stöds definieras på följande sätt:

Attribut beskrivning
-h, --help Visar hjälpmeddelandet och avslutas.
[-n <NAME>], [--name <NAME>] Namnet på den regel som du vill ändra.
[-ts <TIMES>] [--time_span <TIMES>] Definierar det tidsintervall för vilket regeln är aktiv med hjälp av följande syntax: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adressriktning som ska undantas. Använd något av följande värden: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Enhetsadresser eller adresstyper som ska undantas med hjälp av följande syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Aviseringsnamn som ska undantas, efter hexvärde. Till exempel: 0x00000, 0x000001

Använd följande kommandosyntax med administratörsanvändaren:

alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Ta bort en regel för aviseringsundantag

Använd följande kommandon för att ta bort en befintlig regel för lokal aviseringsundantag på sensorn.

User Command Fullständig kommandosyntax
Admin exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]
cyberx eller administratör med rotåtkomst exclusion-rule-remove exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS]

Attribut som stöds definieras på följande sätt:

Attribut beskrivning
-h, --help Visar hjälpmeddelandet och avslutas.
[-n <NAME>], [--name <NAME>] Namnet på den regel som du vill ta bort.
[-ts <TIMES>] [--time_span <TIMES>] Definierar det tidsintervall för vilket regeln är aktiv med hjälp av följande syntax: hh:mm-hh:mm, hh:mm-hh:mm
[-dir <DIRECTION>], --direction <DIRECTION> Adressriktning som ska undantas. Använd något av följande värden: both, src, dst
[-dev <DEVICES>], [--devices <DEVICES>] Enhetsadresser eller adresstyper som ska undantas med hjälp av följande syntax: ip-x.x.x.x, mac-xx:xx:xx:xx:xx:xx, subnet:x.x.x.x/x
[-a <ALERTS>], --alerts <ALERTS> Aviseringsnamn som ska undantas, efter hexvärde. Till exempel: 0x00000, 0x000001

I följande exempel visas kommandosyntaxen och svaret för administratörsanvändaren:

alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]

Nästa steg

Läs mer om Defender for IoT CLI-kommandon