Aracılığıyla paylaş

OT ağ algılayıcılarından CLI komut başvurusu

  • Makale

Bu makalede, IoT ot ağ algılayıcıları için Defender'da kullanılabilen CLI komutları listelenir.

Dikkat

Müşteri yapılandırması için yalnızca OT ağ algılayıcısı ve şirket içi yönetim konsolunda belgelenmiş yapılandırma parametreleri desteklenir. Değişiklikler beklenmeyen davranışlara ve sistem hatalarına neden olabileceğinden, belgelenmemiş yapılandırma parametrelerini veya sistem özelliklerini değiştirmeyin.

Microsoft onayı olmadan algılayıcınızdan paketlerin kaldırılması beklenmeyen sonuçlara neden olabilir. Algılayıcıya yüklenen tüm paketler doğru algılayıcı işlevselliği için gereklidir.

Önkoşullar

Aşağıdaki CLI komutlarından herhangi birini çalıştırabilmeniz için önce OT ağ algılayıcınızdaki CLI'ye ayrıcalıklı kullanıcı olarak erişmeniz gerekir.

Bu makalede her kullanıcı için komut söz dizimi listelense de, yönetici kullanıcının desteklendiği tüm CLI komutları için yönetici kullanıcıyı kullanmanızı öneririz.

Daha fazla bilgi için bkz. OT izleme için CLI ve Ayrıcalıklı kullanıcı erişimine erişme.

Alet bakımı

OT izleme hizmetlerinin durumunu denetleme

OT algılayıcısı üzerindeki IoT için Defender uygulamasının web konsolu ve trafik analizi işlemleri de dahil olmak üzere düzgün çalıştığını doğrulamak için aşağıdaki komutları kullanın.

Sistem durumu denetimleri OT algılayıcı konsolundan da kullanılabilir. Daha fazla bilgi için bkz . Algılayıcı sorunlarını giderme.

User Command Tam komut söz dizimi
Admin system sanity Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-sanity Öznitelik yok

Aşağıdaki örnekte yönetici kullanıcı için komut söz dizimi ve yanıtı gösterilmektedir:

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Aleti yeniden başlatma

OT algılayıcı aletini yeniden başlatmak için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin system reboot Öznitelik yok
cyberx_host veya kök erişimi olan yönetici sudo reboot Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> system reboot

Aleti kapatma

OT algılayıcı aletini kapatmak için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin system shutdown Öznitelik yok
cyberx_host veya kök erişimi olan yönetici sudo shutdown -r now Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> system shutdown

Yüklü yazılım sürümünü göster

OT algılayıcınızda yüklü Olan IoT için Defender yazılım sürümünü listelemek için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin system version Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-version Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> system version
Version: 22.2.5.9-r-2121448

Geçerli sistem tarihini/saatini göster

OT ağ algılayıcınızdaki geçerli sistem tarih ve saatini GMT biçiminde göstermek için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin date Öznitelik yok
cyberx veya kök erişimi olan yönetici date Öznitelik yok
cyberx_host veya kök erişimi olan yönetici date Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

NTP zaman eşitlemesini açma

Bir NTP sunucusuyla alet zamanı eşitlemesini açmak için aşağıdaki komutları kullanın.

Bu komutları kullanmak için şunlardan emin olun:

  • NTP sunucusuna alet yönetimi bağlantı noktasından ulaşılabilir
  • Tüm algılayıcı gereçlerini ve şirket içi yönetim konsolunu eşitlemek için aynı NTP sunucusunu kullanırsınız
User Command Tam komut söz dizimi
Admin ntp enable <IP address> Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-ntp-enable <IP address> Öznitelik yok

Bu komutlarda, <IP address> 123 numaralı bağlantı noktasını kullanan geçerli bir IPv4 NTP sunucusunun IP adresidir.

Örneğin, yönetici kullanıcı için:

shell> ntp enable 129.6.15.28
shell>

NTP zaman eşitlemesini kapatma

Bir NTP sunucusuyla alet zamanı eşitlemesini kapatmak için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin ntp disable <IP address> Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-ntp-disable <IP address> Öznitelik yok

Bu komutlarda, <IP address> 123 numaralı bağlantı noktasını kullanan geçerli bir IPv4 NTP sunucusunun IP adresidir.

Örneğin, yönetici kullanıcı için:

shell> ntp disable 129.6.15.28
shell>

Yedekleme ve geri yükleme

Aşağıdaki bölümlerde OT ağ algılayıcınızın sistem anlık görüntüsünü yedeklemek ve geri yüklemek için desteklenen CLI komutları açıklanmaktadır.

Yedekleme dosyaları yapılandırma ayarları, temel değerler, envanter verileri ve günlükler dahil olmak üzere algılayıcı durumunun tam anlık görüntüsünü içerir.

Dikkat

Sistemin kullanılamaz duruma gelmesine neden olabileceğinden, sistem yedekleme veya geri yükleme işlemini kesintiye uğratmayın.

Anında, zamanlanmamış bir yedekleme başlatma

OT algılayıcınızdaki verilerin hemen, zamanlanmamış bir yedeğini başlatmak için aşağıdaki komutu kullanın. Daha fazla bilgi için bkz . Dosyaları yedekleme ve geri yükleme ayarlama.

Dikkat

Verileri yedeklerken aleti durdurmamaya veya kapatmamaya dikkat edin.

User Command Tam komut söz dizimi
Admin system backup create Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-system-backup Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Geçerli yedekleme dosyalarını listeleme

OT ağ algılayıcınızda depolanan yedekleme dosyalarını listelemek için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin system backup list Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-system-backup-list Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

En son yedeklemeden verileri geri yükleme

Ot ağ algılayıcınızdaki verileri en son yedekleme dosyasını kullanarak geri yüklemek için aşağıdaki komutu kullanın. İstendiğinde devam etmek istediğinizi onaylayın.

Dikkat

Verileri geri yüklerken aleti durdurmamaya veya kapatmamaya dikkat edin.

User Command Tam komut söz dizimi
Admin system restore Öznitelik yok
cyberx veya kök erişimi olan yönetici cyberx-xsense-system-restore -f <filename>

Örneğin, yönetici kullanıcı için:

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Yedekleme disk alanı ayırmayı görüntüleme

Aşağıdaki komut, aşağıdaki ayrıntılar da dahil olmak üzere geçerli yedekleme disk alanı ayırmayı listeler:

  • Yedekleme klasörü konumu
  • Yedekleme klasörü boyutu
  • Yedekleme klasörü sınırlamaları
  • Son yedekleme işlemi zamanı
  • Yedeklemeler için kullanılabilir boş disk alanı
User Command Tam komut söz dizimi
Admin cyberx-backup-memory-check Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Yerel kullanıcı yönetimi

Yerel kullanıcı parolalarını değiştirme

OT algılayıcınızdaki yerel kullanıcıların parolalarını değiştirmek için aşağıdaki komutları kullanın. Yeni parola en az 8 karakter olmalı, küçük ve büyük harfli, alfabetik karakterler, sayılar ve simgeler içermelidir.

Yöneticinin parolasını değiştirdiğinizde, parola hem SSH hem de web erişimi için değiştirilir.

User Command Tam komut söz dizimi
Admin system password <username>

Aşağıdaki örnekte yönetici kullanıcının parolayı değiştirmesi gösterilmektedir. Yeni parolayı yazarken ekranda görünmez, not almak için yazdığınızdan emin olun ve parolayı yeniden girmeniz istendiğinde doğru yazıldığından emin olun.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Ağ yapılandırması

Ağ yapılandırmasını değiştirme veya ağ arabirimi rollerini yeniden atama

Aşağıdaki ot algılayıcı ayarlarını tanımlamanıza veya yeniden yapılandırmanıza yardımcı olan OT izleme yazılımı yapılandırma sihirbazını yeniden çalıştırmak için aşağıdaki komutu kullanın:

  • SPAN izleme arabirimlerini etkinleştirme/devre dışı bırakma
  • Yönetim arabirimi için ağ ayarlarını yapılandırma (IP, alt ağ, varsayılan ağ geçidi, DNS)
  • Yedekleme dizini atama
User Command Tam komut söz dizimi
Admin sudo dpkg-reconfigure iot-sensor Öznitelik yok

Örneğin, yönetici kullanıcıyla:

shell> sudo dpkg-reconfigure iot-sensor

Bu komutu çalıştırdıktan sonra yapılandırma sihirbazı otomatik olarak başlatılır. Daha fazla bilgi için bkz . OT izleme yazılımını yükleme.

Ağ arabirimi yapılandırmasını doğrulama ve gösterme

OT algılayıcısının geçerli ağ arabirimi yapılandırmasını doğrulamak ve göstermek için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin network validate Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

OT algılayıcısından ağ bağlantısını denetleme

OT algılayıcısından ping iletisi göndermek için aşağıdaki komutu kullanın.

User Command Tam komut söz dizimi
Admin ping <IP address> Öznitelik yok
cyberx veya kök erişimi olan yönetici ping <IP address> Öznitelik yok

Bu komutlarda, <IP address> OT algılayıcınızdaki yönetim bağlantı noktasından erişilebilen geçerli bir IPv4 ağ konağının IP adresidir.

Arabirim ışıklarını yanıp sönerek fiziksel bağlantı noktasını bulma

Arabirim ışıklarının yanıp sönmesine neden olarak belirli bir fiziksel arabirimi bulmak için aşağıdaki komutu kullanın.

User Command Tam komut söz dizimi
Admin network blink <INT> Öznitelik yok

Bu komutta, <INT> alet üzerindeki fiziksel bir Ethernet bağlantı noktasıdır.

Aşağıdaki örnek, yönetici kullanıcının eth0 arabirimini yanıp sönerken gösterir:

shell> network blink eth0
Blinking interface for 20 seconds ...

Bağlı fiziksel arabirimleri listeleme

OT algılayıcınızdaki bağlı fiziksel arabirimleri listelemek için aşağıdaki komutu kullanın.

User Command Tam komut söz dizimi
Admin network list Öznitelik yok
cyberx veya kök erişimi olan yönetici ifconfig Öznitelik yok

Örneğin, yönetici kullanıcı için:

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Trafik yakalama filtreleri

Uyarı yorgunluğunu azaltmak ve ağ izlemenizi yüksek öncelikli trafiğe odaklamanız için, kaynakta IoT için Defender'a akış yapan trafiği filtrelemeye karar vekleyebilirsiniz. Yakalama filtreleri, donanım katmanında yüksek bant genişliğine sahip trafiği engellemenize olanak tanıyarak hem alet performansını hem de kaynak kullanımını iyileştirebilirsiniz.

OT ağ algılayıcılarınızda yakalama filtreleri oluşturup yapılandırmak için ekleme/veya hariç tutma listelerini kullanın ve izlemek istediğiniz trafiğin hiçbirini engellemediğinizden emin olun.

Yakalama filtreleri için temel kullanım örneği, tüm IoT için Defender bileşenleri için aynı filtreyi kullanır. Ancak, gelişmiş kullanım örnekleri için aşağıdaki IoT için Defender bileşenlerinin her biri için ayrı filtreler yapılandırmak isteyebilirsiniz:

  • horizon: Derin paket inceleme (DPI) verilerini yakalar
  • collector: PCAP verilerini yakalar
  • traffic-monitor: İletişim istatistiklerini yakalar

Not

  • Yakalama filtreleri, algılanan tüm ağ trafiğinde tetiklenen IoT için Defender kötü amaçlı yazılım uyarılarına uygulanmaz.

  • Yakalama filtresi komutunun, yakalama filtresi tanımının karmaşıklığına ve kullanılabilir ağ arabirimi kartı özelliklerine dayalı bir karakter uzunluğu sınırı vardır. İstediğiniz filtre komutu başarısız olursa alt ağları daha büyük kapsamlarda gruplandırmayı ve daha kısa bir yakalama filtresi komutu kullanmayı deneyin.

Tüm bileşenler için temel filtre oluşturma

Temel yakalama filtresini yapılandırmak için kullanılan yöntem, komutu gerçekleştiren kullanıcıya bağlı olarak farklılık gösterir:

  • cyberx kullanıcısı: Yakalama filtrenizi yapılandırmak için belirli özniteliklerle belirtilen komutu çalıştırın.
  • admin user: Belirtilen komutu çalıştırın ve cli tarafından istendiği gibi değerleri girin, ekleme ve dışlama listelerinizi nano düzenleyicide düzenler.

Yeni bir yakalama filtresi oluşturmak için aşağıdaki komutları kullanın:

User Command Tam komut söz dizimi
Admin network capture-filter Öznitelik yok.
cyberx veya kök erişimi olan yönetici cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Cyberx kullanıcısı için desteklenen öznitelikler aşağıdaki gibi tanımlanır:

Öznitelik Açıklama
-h, --help Yardım iletisini gösterir ve çıkar.
-i <INCLUDE>, --include <INCLUDE> Eklemek istediğiniz cihazları ve alt ağ maskelerini içeren bir dosyanın yolu; burada <INCLUDE> dosyanın yoludur. Örneğin, bkz . Örnek ekleme veya dışlama dosyası.
-x EXCLUDE, --exclude EXCLUDE Dışlamak istediğiniz cihazları ve alt ağ maskelerini içeren bir dosyanın yolu; burada <EXCLUDE> dosyanın yoludur. Örneğin, bkz . Örnek ekleme veya dışlama dosyası.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Belirtilen bağlantı noktalarındaki TCP trafiğini dışlar; burada <EXCLUDE_TCP_PORT> , dışlamak istediğiniz bağlantı noktasını veya bağlantı noktalarını tanımlar. Birden çok bağlantı noktasını boşluk olmadan virgülle ayırın.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Belirtilen bağlantı noktalarında UDP trafiğini dışlar; burada <EXCLUDE_UDP_PORT> , dışlamak istediğiniz bağlantı noktasını veya bağlantı noktalarını tanımlar. Birden çok bağlantı noktasını boşluk olmadan virgülle ayırın.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Belirtilen herhangi bir bağlantı noktasında TCP trafiğini içerir; burada <INCLUDE_TCP_PORT> , eklemek istediğiniz bağlantı noktasını veya bağlantı noktalarını tanımlar. Birden çok bağlantı noktasını boşluk olmadan virgülle ayırın.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Belirtilen herhangi bir bağlantı noktasında UDP trafiğini içerir; burada <INCLUDE_UDP_PORT> , eklemek istediğiniz bağlantı noktasını veya bağlantı noktalarını tanımlar. Birden çok bağlantı noktasını boşluk olmadan virgülle ayırın.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Belirtilen VLAN kimliklerine göre VLAN trafiğini içerir, <INCLUDE_VLAN_IDS> dahil etmek istediğiniz VLAN kimliğini veya kimliklerini tanımlar. Birden çok VLAN kimliklerini boşluk olmadan virgülle ayırın.
-p <PROGRAM>, --program <PROGRAM> Yakalama filtresi yapılandırmak istediğiniz bileşeni tanımlar. Tüm bileşenler için tek bir yakalama filtresi oluşturmak üzere temel kullanım örnekleri için kullanın all .

Gelişmiş kullanım örnekleri için her bileşen için ayrı yakalama filtreleri oluşturun. Daha fazla bilgi için bkz . Belirli bileşenler için gelişmiş filtre oluşturma.
-m <MODE>, --mode <MODE> Ekleme listesi modunu tanımlar ve yalnızca ekleme listesi kullanıldığında geçerlidir. Aşağıdaki değerlerden birini kullanın:

- internal: Belirtilen kaynak ve hedef arasındaki tüm iletişimi içerir
- all-connected: Belirtilen uç noktalardan biriyle dış uç noktalar arasındaki tüm iletişimi içerir.

Örneğin, A ve B uç noktaları için modu kullanırsanızinternal, eklenen trafik yalnızca A ve B uç noktaları arasındaki iletişimi içerir.
Ancak modu kullanırsanız, dahil edilen all-connected trafik A veya B ile diğer dış uç noktalar arasındaki tüm iletişimleri içerir.

Örnek ekleme veya hariç tutma dosyası

Örneğin, ekleme veya dışlama .txt dosyası aşağıdaki girdileri içerebilir:

192.168.50.10
172.20.248.1

Yönetici kullanıcıyı kullanarak temel yakalama filtresi oluşturma

Yönetici kullanıcı olarak temel bir yakalama filtresi oluşturuyorsanız, özgün komutta hiçbir öznitelik geçirilmemiş demektir. Bunun yerine, yakalama filtresini etkileşimli olarak oluşturmanıza yardımcı olacak bir dizi istem görüntülenir.

Aşağıdaki gibi görüntülenen istemleri yanıtlayın:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    İzlenen trafiğe eklemek istediğiniz bir cihaz, kanal ve/veya alt ağ ekleyebileceğiniz yeni bir ekleme dosyası açmak için seçin Y . Ekleme dosyanızda listelenmeyen diğer trafik, IoT için Defender'a alınmaz.

    Ekleme dosyası Nano metin düzenleyicisinde açılır. Ekleme dosyasında cihazları, kanalları ve alt ağları aşağıdaki gibi tanımlayın:

    Type Açıklama Örnek
    Cihaz Cihazı IP adresine göre tanımlayın. 1.1.1.1 bu cihaz için tüm trafiği içerir.
    Kanal Kanalı kaynak ve hedef cihazlarının IP adreslerine göre virgülle ayırarak tanımlayın. 1.1.1.1,2.2.2.2 bu kanal için tüm trafiği içerir.
    Alt ağ Bir alt ağı ağ adresine göre tanımlayın. 1.1.1 bu alt ağ için tüm trafiği içerir.

    Birden çok bağımsız değişkeni ayrı satırlarda listeleyin.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    İzlenen trafikten dışlamak istediğiniz bir cihaz, kanal ve/veya alt ağ ekleyebileceğiniz yeni bir dışlama dosyası açmak için seçin Y . Dışlama dosyanızda listelenmeyen diğer tüm trafik, IoT için Defender'a eklenir.

    Dışlama dosyası Nano metin düzenleyicisinde açılır. Dışlama dosyasında cihazları, kanalları ve alt ağları aşağıdaki gibi tanımlayın:

    Type Açıklama Örnek
    Cihaz Cihazı IP adresine göre tanımlayın. 1.1.1.1 bu cihaz için tüm trafiği dışlar.
    Kanal Kanalı kaynak ve hedef cihazlarının IP adreslerine göre virgülle ayırarak tanımlayın. 1.1.1.1,2.2.2.2 bu cihazlar arasındaki tüm trafiği dışlar.
    Bağlantı noktasına göre kanal Bir kanalı kaynak ve hedef cihazlarının IP adreslerine ve trafik bağlantı noktasına göre tanımlayın. 1.1.1.1,2.2.2.2,443 bu cihazlar arasındaki ve belirtilen bağlantı noktasını kullanan tüm trafiği dışlar.
    Alt ağ Bir alt ağı ağ adresine göre tanımlayın. 1.1.1 bu alt ağ için tüm trafiği dışlar.
    Alt ağ kanalı Kaynak ve hedef alt ağlar için alt ağ kanalı ağ adreslerini tanımlayın. 1.1.1,2.2.2 bu alt ağlar arasındaki tüm trafiği dışlar.

    Birden çok bağımsız değişkeni ayrı satırlarda listeleyin.

  3. Eklenecek veya dışlanan TCP veya UDP bağlantı noktalarını tanımlamak için aşağıdaki istemleri yanıtlayın. Birden çok bağlantı noktasını virgülle ayırın ve belirli bir istemi atlamak için ENTER tuşuna basın.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Örneğin, birden çok bağlantı noktasını aşağıdaki gibi girin: 502,443

  4. In which component do you wish to apply this capture filter?

    Temel yakalama filtresi için girin all . Gelişmiş kullanım örnekleri için her IoT için Defender bileşeni için ayrı ayrı yakalama filtreleri oluşturun.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Bu istem, hangi trafiğin kapsamda olduğunu yapılandırmanıza olanak tanır. Her iki uç noktanın da kapsamda olduğu veya yalnızca birinin belirtilen alt ağda yer aldığı trafiği toplamak isteyip istemediğinizi tanımlayın. Desteklenen değerler şunlardır:

    • internal: Belirtilen kaynak ve hedef arasındaki tüm iletişimi içerir
    • all-connected: Belirtilen uç noktalardan biriyle dış uç noktalar arasındaki tüm iletişimi içerir.

    Örneğin, A ve B uç noktaları için modu kullanırsanızinternal, eklenen trafik yalnızca A ve B uç noktaları arasındaki iletişimi içerir.
    Ancak modu kullanırsanız, dahil edilen all-connected trafik A veya B ile diğer dış uç noktalar arasındaki tüm iletişimleri içerir.

    internal, varsayılan moddur. Modu kullanmak all-connected için istemi seçin Y ve girin all-connected.

Aşağıdaki örnek, alt ağı 192.168.x.x ve bağlantı noktasını dışlamak için yakalama filtresi oluşturan bir dizi istem gösterir 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Belirli bileşenler için gelişmiş filtre oluşturma

Belirli bileşenler için gelişmiş yakalama filtrelerini yapılandırırken, ilk ekleme ve dışlama dosyalarınızı temel veya şablon yakalama filtresi olarak kullanabilirsiniz. Ardından, gerektiğinde tabanın üzerinde her bileşen için ek filtreler yapılandırın.

Her bileşen için bir yakalama filtresi oluşturmak için , her bileşen için tüm işlemi yinelediğinden emin olun.

Not

Farklı bileşenler için farklı yakalama filtreleri oluşturduysanız, mod seçimi tüm bileşenler için kullanılır. Bir bileşen için yakalama filtresini olarak internal tanımlama ve başka bir bileşen için yakalama filtresinin olarak all-connected tanımlanması desteklenmez.

User Command Tam komut söz dizimi
Admin network capture-filter Öznitelik yok.
cyberx veya kök erişimi olan yönetici cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Cyberx kullanıcısının her bileşen için ayrı ayrı yakalama filtreleri oluşturması için aşağıdaki ek öznitelikler kullanılır:

Öznitelik Açıklama
-p <PROGRAM>, --program <PROGRAM> Aşağıdaki desteklenen değerlere sahip olan yakalama filtresi <PROGRAM> yapılandırmak istediğiniz bileşeni tanımlar:
- traffic-monitor
- collector
- horizon
- all: Tüm bileşenler için tek bir yakalama filtresi oluşturur. Daha fazla bilgi için bkz . Tüm bileşenler için temel filtre oluşturma.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Bileşen için horizon bir temel yakalama filtresi tanımlar. Burada <BASE_HORIZON> , kullanmak istediğiniz filtredir.
Varsayılan değer = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Bileşen için traffic-monitor bir temel yakalama filtresi tanımlar.
Varsayılan değer = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Bileşen için collector bir temel yakalama filtresi tanımlar.
Varsayılan değer = ""

Diğer öznitelik değerleri, daha önce açıklanan temel kullanım örneğindekiyle aynı açıklamalara sahiptir.

Yönetici kullanıcıyı kullanarak gelişmiş yakalama filtresi oluşturma

Her bileşen için yönetici kullanıcı olarak ayrı ayrı yakalama filtresi oluşturuyorsanız, özgün komutta hiçbir öznitelik geçirilmemiş demektir. Bunun yerine, yakalama filtresini etkileşimli olarak oluşturmanıza yardımcı olacak bir dizi istem görüntülenir.

İstemlerin çoğu temel kullanım durumuyla aynıdır. Aşağıdaki ek istemleri aşağıdaki gibi yanıtlayın:

  1. In which component do you wish to apply this capture filter?

    Filtrelemek istediğiniz bileşene bağlı olarak aşağıdaki değerlerden birini girin:

    • horizon
    • traffic-monitor
    • collector

  2. Seçili bileşen için özel bir temel yakalama filtresi yapılandırmanız istenir. Bu seçenek, önceki adımlarda temel veya şablon olarak yapılandırdığınız yakalama filtresini kullanır ve burada tabanın üstüne ek yapılandırmalar ekleyebilirsiniz.

    Örneğin, önceki adımda bileşen için bir yakalama filtresi yapılandırmayı collector seçtiyseniz, şu sorulur: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Belirtilen bileşen için şablonu özelleştirmek veya N daha önce yapılandırdığınız yakalama filtresini kullanmak için girinY.

Temel kullanım örneğinde olduğu gibi kalan istemlerle devam edin.

Belirli bileşenler için geçerli yakalama filtrelerini listeleme

Algılayıcınız için yapılandırılan geçerli yakalama filtreleri hakkındaki ayrıntıları göstermek için aşağıdaki komutları kullanın.

User Command Tam komut söz dizimi
Admin Her bileşenin yakalama filtrelerini görüntülemek için aşağıdaki komutları kullanın:

- ufuk:edit-config horizon_parser/horizon.properties
- trafik izleyicisi: edit-config traffic_monitor/traffic-monitor
- toplayıcı: edit-config dumpark.properties		 Öznitelik yok
cyberx veya kök erişimi olan yönetici Her bileşenin yakalama filtrelerini görüntülemek için aşağıdaki komutları kullanın:

-ufuk:nano /var/cyberx/properties/horizon_parser/horizon.properties
- trafik izleyicisi: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- toplayıcı: nano /var/cyberx/properties/dumpark.properties		 Öznitelik yok

Bu komutlar, her bileşen için yapılandırılan yakalama filtrelerini listeleyen aşağıdaki dosyaları açar:

Veri Akışı Adı Dosya Özellik
ufuk /var/cyberx/properties/horizon.properties horizon.processor.filter
trafik izleyicisi /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
koleksiyoncu /var/cyberx/properties/dumpark.properties dumpark.network.filter

Örneğin yönetici kullanıcıyla, 192.168.x.x alt akını ve 9000 numaralı bağlantı noktasını dışlayan toplayıcı bileşeni için tanımlanmış bir yakalama filtresiyle:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Tüm yakalama filtrelerini sıfırla

Cyberx kullanıcısı ile algılayıcınızı varsayılan yakalama yapılandırmasına sıfırlamak için aşağıdaki komutu kullanın ve tüm yakalama filtrelerini kaldırabilirsiniz.

User Command Tam komut söz dizimi
cyberx veya kök erişimi olan yönetici cyberx-xsense-capture-filter -p all -m all-connected Öznitelik yok

Mevcut yakalama filtrelerini değiştirmek istiyorsanız, yeni öznitelik değerleriyle önceki komutu yeniden çalıştırın.

Yönetici kullanıcıyı kullanarak tüm yakalama filtrelerini sıfırlamak için önceki komutu yeniden çalıştırın ve tüm yakalama filtrelerini sıfırlamak için tüm istemlere yanıt verinN.

Aşağıdaki örnekte cyberx kullanıcısı için komut söz dizimi ve yanıtı gösterilmektedir:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Sonraki adımlar

IoT için Defender CLI komutları hakkında daha fazla bilgi edinin