Megosztás a következőn keresztül:

PARANCSSOR-parancshivatkozás az OT hálózati érzékelőktől

  • Cikk

Ez a cikk az IoT OT-hálózati érzékelőkhöz készült Defender parancssori felületi parancsait sorolja fel.

Figyelemfelhívás

Az ügyfélkonfiguráció csak dokumentált konfigurációs paramétereket támogat az OT hálózati érzékelőn. Ne módosítsa a nem dokumentált konfigurációs paramétereket vagy rendszertulajdonságokat, mert a módosítások váratlan viselkedést és rendszerhibákat okozhatnak.

A csomagok Microsoft-jóváhagyás nélküli eltávolítása váratlan eredményeket okozhat az érzékelőből. Az érzékelőre telepített összes csomagra szükség van a megfelelő érzékelőfunkcióhoz.

Előfeltételek

A következő PARANCSSOR-parancsok futtatásához jogosultsággal rendelkező felhasználóként hozzá kell férnie az OT hálózati érzékelő parancssori felületéhez.

Bár ez a cikk felsorolja az egyes felhasználók parancsszintaxisát, javasoljuk, hogy használja a rendszergazda felhasználót az összes olyan parancssori felületi parancshoz, amelyben a rendszergazdai felhasználó támogatott.

További információ: Access the CLI and Privileged user access for OT monitoring.

Berendezés karbantartása

Az OT monitorozási szolgáltatások állapotának ellenőrzése

Az alábbi parancsokkal ellenőrizheti, hogy a Defender for IoT-alkalmazás megfelelően működik-e az OT-érzékelőn, beleértve a webkonzolt és a forgalomelemzési folyamatokat is.

Az állapot-ellenőrzések az OT-érzékelő konzoljáról is elérhetők. További információ: Az érzékelő hibaelhárítása.

User Parancs Teljes parancsszintaxis
Admin system sanity Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-sanity Nincsenek attribútumok

Az alábbi példa a rendszergazda felhasználó parancsszintaxisát és válaszát mutatja be:

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Berendezés újraindítása

A következő parancsokkal indítsa újra az OT érzékelő berendezést.

User Parancs Teljes parancsszintaxis
Admin system reboot Nincsenek attribútumok
cyberx_host vagy rendszergazda gyökérszintű hozzáféréssel sudo reboot Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> system reboot

Berendezés leállítása

A következő parancsokkal állítsa le az OT érzékelő berendezést.

User Parancs Teljes parancsszintaxis
Admin system shutdown Nincsenek attribútumok
cyberx_host vagy rendszergazda gyökérszintű hozzáféréssel sudo shutdown -r now Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> system shutdown

Telepített szoftververzió megjelenítése

Az alábbi parancsokkal listázhatja az OT-érzékelőre telepített Defender for IoT szoftververziót.

User Parancs Teljes parancsszintaxis
Admin system version Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-version Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> system version
Version: 22.2.5.9-r-2121448

Aktuális rendszerdátum/idő megjelenítése

Az alábbi parancsokkal megjelenítheti az aktuális rendszerdátumot és időpontot az OT hálózati érzékelőn GMT formátumban.

User Parancs Teljes parancsszintaxis
Admin date Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel date Nincsenek attribútumok
cyberx_host vagy rendszergazda gyökérszintű hozzáféréssel date Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Az NTP időszinkronizálásának bekapcsolása

Az alábbi parancsokkal bekapcsolhatja a készülékidő szinkronizálását egy NTP-kiszolgálóval.

Az alábbi parancsok használatához győződjön meg arról, hogy:

  • Az NTP-kiszolgáló a berendezés felügyeleti portjáról érhető el
  • Ugyanazzal az NTP-kiszolgálóval szinkronizálja az összes érzékelőberendezést
User Parancs Teljes parancsszintaxis
Admin ntp enable <IP address> Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-ntp-enable <IP address> Nincsenek attribútumok

Ezekben a parancsokban <IP address> egy érvényes IPv4 NTP-kiszolgáló IP-címe a 123-es portot használva.

Például a rendszergazda felhasználó számára:

shell> ntp enable 129.6.15.28
shell>

Az NTP időszinkronizálásának kikapcsolása

Az alábbi parancsokkal kikapcsolhatja a berendezésidő szinkronizálását egy NTP-kiszolgálóval.

User Parancs Teljes parancsszintaxis
Admin ntp disable <IP address> Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-ntp-disable <IP address> Nincsenek attribútumok

Ezekben a parancsokban <IP address> egy érvényes IPv4 NTP-kiszolgáló IP-címe a 123-es portot használva.

Például a rendszergazda felhasználó számára:

shell> ntp disable 129.6.15.28
shell>

Biztonsági mentés és visszaállítás

Az alábbi szakaszok az OT hálózati érzékelő rendszerképének biztonsági mentéséhez és visszaállításához támogatott CLI-parancsokat ismertetik.

A biztonsági mentési fájlok tartalmazzák az érzékelő állapotának teljes pillanatképét, beleértve a konfigurációs beállításokat, az alapértékeket, a leltáradatokat és a naplókat.

Figyelemfelhívás

Ne szakítsa meg a rendszer biztonsági mentési vagy visszaállítási műveletét, mert ez a rendszer használhatatlanná válását okozhatja.

Azonnali, nem ütemezett biztonsági mentés indítása

Az alábbi paranccsal azonnali, nem ütemezett biztonsági mentést indíthat az OT-érzékelőn lévő adatokról. További információ: Biztonsági mentés és fájlok visszaállítása.

Figyelemfelhívás

Ügyeljen arra, hogy az adatok biztonsági mentésekor ne állítsa le vagy kapcsolja ki a berendezést.

User Parancs Teljes parancsszintaxis
Admin system backup create Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-system-backup Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Aktuális biztonsági mentési fájlok listázása

Az alábbi parancsokkal listázhatja az ot hálózati érzékelőn jelenleg tárolt biztonsági mentési fájlokat.

User Parancs Teljes parancsszintaxis
Admin system backup list Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-system-backup-list Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Adatok visszaállítása a legutóbbi biztonsági mentésből

Az alábbi paranccsal visszaállíthatja az ADATOKAT az OT hálózati érzékelőn a legújabb biztonsági mentési fájl használatával. Amikor a rendszer kéri, ellenőrizze, hogy folytatja-e a műveletet.

Figyelemfelhívás

Ügyeljen arra, hogy az adatok visszaállítása közben ne állítsa le vagy kapcsolja ki a berendezést.

User Parancs Teljes parancsszintaxis
Admin system restore Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-system-restore -f <filename>

Például a rendszergazda felhasználó számára:

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Biztonsági mentési lemezterület lefoglalásának megjelenítése

Az alábbi parancs felsorolja a biztonsági mentési lemezterület aktuális lefoglalását, beleértve a következő részleteket:

  • Biztonsági mentési mappa helye
  • Biztonsági mentési mappa mérete
  • Biztonsági mentési mappa korlátozásai
  • Legutóbbi biztonsági mentési művelet ideje
  • Szabad lemezterület a biztonsági mentésekhez
User Parancs Teljes parancsszintaxis
Admin cyberx-backup-memory-check Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Helyi felhasználókezelés

Helyi felhasználói jelszavak módosítása

Az alábbi parancsokkal módosíthatja a helyi felhasználók jelszavát az OT-érzékelőn. Az új jelszónak legalább 8 karakter hosszúságúnak kell lennie, kis- és nagybetűket, betűrendes karaktereket, számokat és szimbólumokat kell tartalmaznia.

Ha módosítja a rendszergazda jelszavát, a jelszó SSH-ra és webes hozzáférésre is módosul.

User Parancs Teljes parancsszintaxis
Admin system password <username>

Az alábbi példa azt mutatja be, hogy a rendszergazda felhasználó módosítja a jelszót. Az új jelszó nem jelenik meg a képernyőn, amikor beírja, mindenképpen írjon, hogy jegyezze fel, és ellenőrizze, hogy helyesen van-e begépelve, amikor a jelszó újraküldésére kérik.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Hálózati konfiguráció

Hálózati konfiguráció módosítása vagy hálózati adapterszerepkörök újbóli hozzárendelése

A következő paranccsal futtassa újra az OT monitorozási szoftverkonfigurációs varázslót, amely segít meghatározni vagy újrakonfigurálni a következő OT-érzékelőbeállításokat:

  • SPAN monitorozási felületek engedélyezése/letiltása
  • A felügyeleti felület hálózati beállításainak konfigurálása (IP, alhálózat, alapértelmezett átjáró, DNS)
  • Biztonsági mentési címtár hozzárendelése
User Parancs Teljes parancsszintaxis
Admin network reconfigure Nincsenek attribútumok
cyberx python3 -m cyberx.config.configure Nincsenek attribútumok

Például a rendszergazdai felhasználóval:

shell> network reconfigure

A parancs futtatása után a konfigurációs varázsló automatikusan elindul. További információ: Ot monitorozási szoftver telepítése.

Hálózati adapter konfigurációjának ellenőrzése és megjelenítése

Az alábbi parancsokkal ellenőrizheti és megjelenítheti a hálózati adapter aktuális konfigurációját az OT-érzékelőn.

User Parancs Teljes parancsszintaxis
Admin network validate Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Hálózati kapcsolat ellenőrzése az OT-érzékelőről

Az alábbi paranccsal pingüzenetet küldhet az OT-érzékelőről.

User Parancs Teljes parancsszintaxis
Admin ping <IP address> Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel ping <IP address> Nincsenek attribútumok

Ezekben a parancsokban <IP address> egy érvényes IPv4-hálózati gazdagép IP-címe érhető el az OT-érzékelő felügyeleti portjáról.

Fizikai port megkeresése villogó illesztőfények segítségével

Az alábbi paranccsal megkereshet egy adott fizikai felületet úgy, hogy az illesztő fényei villognak.

User Parancs Teljes parancsszintaxis
Admin network blink <INT> Nincsenek attribútumok

Ebben a parancsban <INT> egy fizikai Ethernet-port található a berendezésen.

Az alábbi példa az eth0 felületet villogó rendszergazdai felhasználót mutatja be:

shell> network blink eth0
Blinking interface for 20 seconds ...

Csatlakoztatott fizikai adapterek listázása

Az alábbi paranccsal listázhatja a csatlakoztatott fizikai adaptereket az OT-érzékelőn.

User Parancs Teljes parancsszintaxis
Admin network list Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel ifconfig Nincsenek attribútumok

Például a rendszergazda felhasználó számára:

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Forgalomrögzítési szűrők

A riasztások kifáradtságának csökkentése és a hálózati monitorozás magas prioritású forgalomra való összpontosítása érdekében dönthet úgy, hogy a forrásnál lévő Defender for IoT-be streamelt forgalmat szűri. A rögzítési szűrők lehetővé teszik a nagy sávszélességű forgalom letiltását a hardverrétegen, így optimalizálva a berendezés teljesítményét és az erőforrás-használatot is.

Használjon egy/vagy kizáró listát a rögzítési szűrők létrehozásához és konfigurálásához az OT-hálózati érzékelőkön, ügyelve arra, hogy ne tiltsa le a figyelni kívánt forgalmat.

A rögzítési szűrők alapszintű használati esete ugyanazt a szűrőt használja az összes Defender for IoT-összetevőhöz. Speciális használati esetek esetén azonban érdemes lehet külön szűrőket konfigurálni az alábbi Defender for IoT-összetevők mindegyikéhez:

  • horizon: Mély csomagvizsgálati (DPI)-adatokat rögzít
  • collector: PCAP-adatok rögzítése
  • traffic-monitor: Rögzíti a kommunikációs statisztikákat

Feljegyzés

  • A rögzítési szűrők nem vonatkoznak a Defender for IoT kártevőriasztásokra, amelyek minden észlelt hálózati forgalom esetén aktiválódnak.

  • A rögzítési szűrő parancs karakterhossz-korlátja a rögzítési szűrő definíciójának összetettségén és az elérhető hálózati adapterkártya-képességeken alapul. Ha a kért szűrőparancs sikertelen, próbáljon meg nagyobb hatókörökbe csoportosítani az alhálózatokat, és használjon rövidebb rögzítési szűrőparancsot.

Alapszintű szűrő létrehozása az összes összetevőhöz

Az alapszintű rögzítési szűrő konfigurálásához használt módszer a parancsot végrehajtó felhasználótól függően eltérő:

  • cyberx-felhasználó : A rögzített szűrő konfigurálásához futtassa a megadott parancsot adott attribútumokkal.
  • rendszergazdai felhasználó: Futtassa a megadott parancsot, majd adja meg az értékeket a parancssori felület kérésének megfelelően, szerkessze a belefoglalási és kizárási listákat egy nanoszerkesztőben.

Az alábbi parancsokkal hozzon létre egy új rögzítési szűrőt:

User Parancs Teljes parancsszintaxis
Admin network capture-filter Nincsenek attribútumok.
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

A cyberx-felhasználó által támogatott attribútumok a következőképpen vannak definiálva:

Attribútum Leírás
-h, --help Megjeleníti a súgóüzenetet és a kilépéseket.
-i <INCLUDE>, --include <INCLUDE> A felvenni kívánt eszközöket és alhálózati maszkokat tartalmazó fájl elérési útja, ahol <INCLUDE> a fájl elérési útja található. Lásd például a Fájl belefoglalása vagy kizárása minta című témakört.
-x EXCLUDE, --exclude EXCLUDE A kizárni kívánt eszközöket és alhálózati maszkokat tartalmazó fájl elérési útja, ahol <EXCLUDE> a fájl elérési útja található. Lásd például a Fájl belefoglalása vagy kizárása minta című témakört.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Kizárja a TCP-forgalmat a megadott portokon, ahol a <EXCLUDE_TCP_PORT> kizárni kívánt portot vagy portokat határozza meg. Több port elválasztójele vesszővel, szóközök nélkül.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Kizárja az UDP-forgalmat a megadott portokon, ahol a <EXCLUDE_UDP_PORT> ki szeretné zárni a portot vagy portokat. Több port elválasztójele vesszővel, szóközök nélkül.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> A TCP-forgalmat minden megadott porton tartalmazza, ahol a <INCLUDE_TCP_PORT> megadott port vagy port határozza meg a felvenni kívánt portot. Több port elválasztójele vesszővel, szóközök nélkül.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Az UDP-forgalmat minden megadott porton tartalmazza, ahol az <INCLUDE_UDP_PORT> határozza meg a felvenni kívánt portot vagy portokat. Több port elválasztójele vesszővel, szóközök nélkül.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> A megadott VLAN-azonosítók szerinti VLAN-forgalmat tartalmazza, <INCLUDE_VLAN_IDS> meghatározza a felvenni kívánt VLAN-azonosítókat vagy azonosítókat. Több VLAN-azonosító vesszővel elválasztható, szóközök nélkül.
-p <PROGRAM>, --program <PROGRAM> Meghatározza azt az összetevőt, amelyhez a rögzítési szűrőt konfigurálni szeretné. Az all alapszintű használati esetekhez használva egyetlen rögzítési szűrőt hozhat létre az összes összetevőhöz.

Speciális használati esetek esetén hozzon létre külön rögzítési szűrőket az egyes összetevőkhöz. További információ: Speciális szűrő létrehozása adott összetevőkhöz.
-m <MODE>, --mode <MODE> A belefoglalási lista mód definiálása, és csak a belefoglalási lista használata esetén releváns. Használja az alábbi értékek egyikét:

- internal: Tartalmazza a megadott forrás és cél közötti összes kommunikációt
- all-connected: A megadott végpontok és külső végpontok közötti összes kommunikációt tartalmazza.

Ha például az A és a B végpontot használja, a belefoglalt forgalom csak az internal A és a B végpont közötti kommunikációt foglalja magában.
Ha azonban a módot használja, a all-connected belefoglalt forgalom az A vagy B és más külső végpontok közötti kommunikációt is magában foglalja.

Fájl belefoglalása vagy kizárása minta

Például egy .txt fájl belefoglalása vagy kizárása a következő bejegyzéseket tartalmazhatja:

192.168.50.10
172.20.248.1

Alapszintű rögzítési szűrő létrehozása a rendszergazdai felhasználóval

Ha rendszergazdai felhasználóként hoz létre alapszintű rögzítési szűrőt, az eredeti parancs nem ad át attribútumokat. Ehelyett egy sor üzenet jelenik meg, amelyek segítenek interaktívan létrehozni a rögzítési szűrőt.

Válaszoljon a megjelenő kérdésekre az alábbiak szerint:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Válassza ki Y egy új belefoglalási fájl megnyitásához, ahol hozzáadhat egy eszközt, csatornát és/vagy alhálózatot, amelyet a figyelt forgalomba szeretne belefoglalni. A belefoglalt fájlban nem szereplő egyéb forgalom nem lesz betöltve az IoT-hez készült Defenderbe.

    A belefoglalási fájl meg van nyitva a Nano szövegszerkesztőben. A belefoglalási fájlban határozza meg az eszközöket, csatornákat és alhálózatokat az alábbiak szerint:

    Típus Leírás Példa
    Eszköz Definiáljon egy eszközt az IP-címe alapján. 1.1.1.1 az eszköz összes forgalmát tartalmazza.
    Csatorna Adjon meg egy csatornát a forrás- és céleszközök IP-címei alapján, vesszővel elválasztva. 1.1.1.1,2.2.2.2 A csatorna összes forgalmát tartalmazza.
    Alhálózat Alhálózat meghatározása a hálózati cím alapján. 1.1.1 az alhálózat összes forgalmát tartalmazza.

    Több argumentum listázása külön sorokban.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Itt Y megnyithat egy új kizáró fájlt, amelyben hozzáadhat egy eszközt, csatornát és/vagy alhálózatot, amelyet ki szeretne zárni a figyelt forgalomból. A kizárási fájlban nem szereplő egyéb forgalom a Defender for IoT-be kerül.

    A kizárási fájl megnyílik a Nano szövegszerkesztőben. A kizárási fájlban határozza meg az eszközöket, csatornákat és alhálózatokat az alábbiak szerint:

    Típus Leírás Példa
    Eszköz Definiáljon egy eszközt az IP-címe alapján. 1.1.1.1 Kizárja az eszköz összes forgalmát.
    Csatorna Adjon meg egy csatornát a forrás- és céleszközök IP-címei alapján, vesszővel elválasztva. 1.1.1.1,2.2.2.2 kizárja az eszközök közötti összes forgalmat.
    Csatorna port szerint Adjon meg egy csatornát a forrás- és céleszközök IP-címei, valamint a forgalmi port alapján. 1.1.1.1,2.2.2.2,443 kizárja az eszközök közötti összes forgalmat és a megadott portot.
    Alhálózat Alhálózat meghatározása a hálózati cím alapján. 1.1.1 Kizárja az alhálózat összes forgalmát.
    Alhálózati csatorna Alhálózati csatorna hálózati címeinek meghatározása a forrás- és célalhálózatokhoz. 1.1.1,2.2.2 kizárja az alhálózatok közötti összes forgalmat.

    Több argumentum listázása külön sorokban.

  3. Válaszoljon a következő kérdésekre, és adja meg a belefoglalni vagy kizárni kívánt TCP- vagy UDP-portokat. Több portot vesszővel elválaszthat, és az ENTER billentyűt lenyomva kihagyhat egy adott kérdést.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Adjon meg például több portot az alábbiak szerint: 502,443

  4. In which component do you wish to apply this capture filter?

    Adjon meg all egy alapszintű rögzítési szűrőt. Speciális használati esetek esetén külön hozzon létre rögzítési szűrőket az egyes Defender for IoT-összetevőkhöz.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Ez a kérés lehetővé teszi annak konfigurálását, hogy melyik forgalom van hatókörben. Megadhatja, hogy olyan forgalmat szeretne-e gyűjteni, amelyben mindkét végpont hatókörben van, vagy csak az egyik van a megadott alhálózatban. A támogatott értékek a következők:

    • internal: Tartalmazza a megadott forrás és cél közötti összes kommunikációt
    • all-connected: A megadott végpontok és külső végpontok közötti összes kommunikációt tartalmazza.

    Ha például az A és a B végpontot használja, a belefoglalt forgalom csak az internal A és a B végpont közötti kommunikációt foglalja magában.
    Ha azonban a módot használja, a all-connected belefoglalt forgalom az A vagy B és más külső végpontok közötti kommunikációt is magában foglalja.

    Az alapértelmezett mód a internal. A all-connected mód használatához válassza a Y parancssort, majd írja be a következőt all-connected:

Az alábbi példa egy olyan kéréssorozatot mutat be, amely létrehoz egy rögzítési szűrőt az alhálózat 192.168.x.x és a port kizárásához 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Speciális szűrő létrehozása adott összetevőkhöz

Ha speciális rögzítési szűrőket konfigurál bizonyos összetevőkhöz, használhatja a kezdeti belefoglalási és kizárási fájlokat alapként vagy sablonként, rögzítési szűrőként. Ezután szükség szerint konfiguráljon további szűrőket az egyes összetevőkhöz az alap tetején.

Ha minden összetevőhöz létre szeretne hozni egy rögzítési szűrőt, mindenképpen ismételje meg az egyes összetevők teljes folyamatát.

Feljegyzés

Ha különböző rögzítési szűrőket hozott létre a különböző összetevőkhöz, a rendszer az összes összetevőhöz használja a módválasztást. Az egyik összetevő internal rögzítési szűrőjének és egy másik összetevő rögzítési szűrőjének definiálása, ahogyan all-connected az nem támogatott.

User Parancs Teljes parancsszintaxis
Admin network capture-filter Nincsenek attribútumok.
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

A cyberx-felhasználó az alábbi extra attribútumokat használja az egyes összetevők rögzítési szűrőinek külön-külön történő létrehozásához:

Attribútum Leírás
-p <PROGRAM>, --program <PROGRAM> Meghatározza azt az összetevőt, amelyhez a rögzítési szűrőt konfigurálni szeretné, ahol <PROGRAM> a következő támogatott értékek találhatók:
- traffic-monitor
- collector
- horizon
- all: Egyetlen rögzítési szűrőt hoz létre az összes összetevőhöz. További információ: Alapszintű szűrő létrehozása az összes összetevőhöz.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Meghatározza az összetevő alaprögzítési szűrőjét horizon , ahol <BASE_HORIZON> a használni kívánt szűrő található.
Alapértelmezett érték = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Meghatározza az összetevő alaprögzítési szűrőjét traffic-monitor .
Alapértelmezett érték = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Meghatározza az összetevő alaprögzítési szűrőjét collector .
Alapértelmezett érték = ""

Más attribútumértékek leírása megegyezik a korábban ismertetett alapszintű használati eset leírásával.

Speciális rögzítési szűrő létrehozása a rendszergazdai felhasználóval

Ha minden összetevőhöz külön,rendszergazdai felhasználóként hoz létre rögzítési szűrőt, az eredeti parancs nem ad át attribútumokat. Ehelyett egy sor üzenet jelenik meg, amelyek segítenek interaktívan létrehozni a rögzítési szűrőt.

A legtöbb kérés azonos az alapszintű használati esetekkel. Válaszoljon a következő további kérdésekre az alábbiak szerint:

  1. In which component do you wish to apply this capture filter?

    Adja meg az alábbi értékek egyikét a szűrni kívánt összetevőtől függően:

    • horizon
    • traffic-monitor
    • collector

  2. A rendszer kéri, hogy konfiguráljon egy egyéni alaprögzítési szűrőt a kiválasztott összetevőhöz. Ez a beállítás az előző lépésekben alapként vagy sablonként konfigurált rögzítési szűrőt használja, ahol további konfigurációkat adhat hozzá az alaphoz.

    Ha például az előző lépésben kiválasztotta egy rögzítési szűrő konfigurálását az collector összetevőhöz, a rendszer a következőt kéri: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Adja meg Y a sablon testreszabását a megadott összetevőhöz, vagy N használja a korábban konfigurált rögzítési szűrőt.

Folytassa a többi kéréssel, mint az alapszintű használati esetben.

Adott összetevők aktuális rögzítési szűrőinek listázása

Az alábbi parancsokkal megjelenítheti az érzékelőhöz konfigurált aktuális rögzítési szűrők részleteit.

User Parancs Teljes parancsszintaxis
Admin Az egyes összetevők rögzítési szűrőinek megtekintéséhez használja az alábbi parancsokat:

- horizont: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- gyűjtő: edit-config dumpark.properties		 Nincsenek attribútumok
cyberx vagy rendszergazda gyökérszintű hozzáféréssel Az egyes összetevők rögzítési szűrőinek megtekintéséhez használja az alábbi parancsokat:

-horizont: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- gyűjtő: nano /var/cyberx/properties/dumpark.properties		 Nincsenek attribútumok

Ezek a parancsok a következő fájlokat nyitják meg, amelyek felsorolják az egyes összetevőkhöz konfigurált rögzítési szűrőket:

Név Fájl Tulajdonság
horizont /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
gyűjtő /var/cyberx/properties/dumpark.properties dumpark.network.filter

Például a rendszergazda felhasználónál, a gyűjtő összetevőhöz definiált rögzítési szűrővel, amely kizárja a 192.168.x.x alhálózatot és a 9000-s portot:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Az összes rögzítési szűrő alaphelyzetbe állítása

Az alábbi paranccsal állítsa vissza az érzékelőt az alapértelmezett rögzítési konfigurációra a cyberx-felhasználóval, és távolítsa el az összes rögzítési szűrőt.

User Parancs Teljes parancsszintaxis
cyberx vagy rendszergazda gyökérszintű hozzáféréssel cyberx-xsense-capture-filter -p all -m all-connected Nincsenek attribútumok

Ha módosítani szeretné a meglévő rögzítési szűrőket, futtassa újra a korábbi parancsot új attribútumértékekkel.

Ha az összes rögzítési szűrőt alaphelyzetbe szeretné állítani a rendszergazdai felhasználóval, futtassa újra a korábbi parancsot, és válaszoljon N az összes kérdésre az összes rögzítési szűrő alaphelyzetbe állításához.

Az alábbi példa a cyberx-felhasználó parancsszintaxisát és válaszát mutatja be:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Következő lépések

További információ a Defender for IoT CLI-parancsokról