Dokumentacja poleceń interfejsu wiersza polecenia z czujników sieci OT
W tym artykule wymieniono polecenia interfejsu wiersza polecenia dostępne z czujników sieciowych usługi Defender for IoT OT.
Uwaga
Tylko udokumentowane parametry konfiguracji w czujniku sieci OT i lokalnej konsoli zarządzania są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.
Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.
Wymagania wstępne
Przed uruchomieniem dowolnego z następujących poleceń interfejsu wiersza polecenia musisz mieć dostęp do interfejsu wiersza polecenia w czujniku sieci OT jako użytkownik uprzywilejowany.
Chociaż w tym artykule wymieniono składnię poleceń dla każdego użytkownika, zalecamy użycie użytkownika administratora dla wszystkich poleceń interfejsu wiersza polecenia, w których jest obsługiwany użytkownik administracyjny .
Jeśli używasz starszej wersji oprogramowania czujnika, być może masz dostęp do starszego użytkownika pomocy technicznej . W takich przypadkach wszystkie polecenia wymienione jako obsługiwane dla użytkownika administracyjnego są obsługiwane przez starszego użytkownika pomocy technicznej.
Aby uzyskać więcej informacji, zobacz Access the CLI and Privileged user access for OT monitoring (Uzyskiwanie dostępu do interfejsu wiersza polecenia i dostępu uprzywilejowanego użytkownika do monitorowania ot).
Konserwacja urządzenia
Sprawdzanie kondycji usług monitorowania ot
Użyj następujących poleceń, aby sprawdzić, czy aplikacja Defender for IoT w czujniku OT działa prawidłowo, w tym konsoli internetowej i procesów analizy ruchu.
Testy kondycji są również dostępne w konsoli czujnika OT. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z czujnikiem.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system sanity |
Brak atrybutów |
cyberx lub administrator z dostępem głównym | cyberx-xsense-sanity |
Brak atrybutów |
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
Ponowne uruchamianie i zamykanie
Ponowne uruchamianie urządzenia
Użyj następujących poleceń, aby ponownie uruchomić urządzenie czujnika OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system reboot |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | sudo reboot |
Brak atrybutów |
cyberx_host lub administrator z dostępem głównym | sudo reboot |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: system reboot
Zamykanie urządzenia
Użyj następujących poleceń, aby zamknąć urządzenie czujnika OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system shutdown |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | sudo shutdown -r now |
Brak atrybutów |
cyberx_host lub administrator z dostępem głównym | sudo shutdown -r now |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: system shutdown
Wersje oprogramowania
Pokaż zainstalowaną wersję oprogramowania
Użyj następujących poleceń, aby wyświetlić listę wersji oprogramowania Defender for IoT zainstalowanej na czujniku OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system version |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | cyberx-xsense-version |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: system version
Version: 22.2.5.9-r-2121448
Aktualizowanie oprogramowania czujnika za pomocą interfejsu wiersza polecenia
Aby uzyskać więcej informacji, zobacz Aktualizowanie czujników.
Data, godzina i NTP
Pokaż bieżącą datę/godzinę systemu
Użyj następujących poleceń, aby wyświetlić bieżącą datę i godzinę systemu w czujniku sieci OT w formacie GMT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | date |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | date |
Brak atrybutów |
cyberx_host lub administrator z dostępem głównym | date |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
Włączanie synchronizacji czasu NTP
Użyj następujących poleceń, aby włączyć synchronizację czasu urządzenia z serwerem NTP.
Aby użyć tych poleceń, upewnij się, że:
- Serwer NTP można uzyskać z portu zarządzania urządzeniem
- Ten sam serwer NTP służy do synchronizowania wszystkich urządzeń czujników i lokalnej konsoli zarządzania
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | ntp enable <IP address> |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | cyberx-xsense-ntp-enable <IP address> |
Brak atrybutów |
W tych poleceniach <IP address>
jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.
Na przykład dla użytkownika administratora :
root@xsense: ntp enable 129.6.15.28
root@xsense:
Wyłączanie synchronizacji czasu NTP
Użyj następujących poleceń, aby wyłączyć synchronizację czasu urządzenia z serwerem NTP.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | ntp disable <IP address> |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | cyberx-xsense-ntp-disable <IP address> |
Brak atrybutów |
W tych poleceniach <IP address>
jest adres IP prawidłowego serwera IPv4 NTP przy użyciu portu 123.
Na przykład dla użytkownika administratora :
root@xsense: ntp disable 129.6.15.28
root@xsense:
Tworzenie kopii zapasowej i przywracanie
W poniższych sekcjach opisano polecenia interfejsu wiersza polecenia obsługiwane do tworzenia kopii zapasowych i przywracania migawki systemu czujnika sieciowego OT.
Pliki kopii zapasowej obejmują pełną migawkę stanu czujnika, w tym ustawienia konfiguracji, wartości punktu odniesienia, dane spisu i dzienniki.
Uwaga
Nie przerywaj operacji tworzenia kopii zapasowej lub przywracania systemu, ponieważ może to spowodować, że system stanie się bezużyteczny.
Wyświetlanie listy bieżących plików kopii zapasowej
Użyj następujących poleceń, aby wyświetlić listę plików kopii zapasowych przechowywanych obecnie w czujniku sieci OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system backup-list |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | cyberx-xsense-system-backup-list |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
Uruchamianie natychmiastowej, nieplanowanej kopii zapasowej
Użyj następujących poleceń, aby uruchomić natychmiastową, nieplanowaną kopię zapasową danych na czujniku OT. Aby uzyskać więcej informacji, zobacz Konfigurowanie plików kopii zapasowych i przywracania.
Uwaga
Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas tworzenia kopii zapasowej danych.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system backup |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | cyberx-xsense-system-backup |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
Przywracanie danych z najnowszej kopii zapasowej
Użyj następujących poleceń, aby przywrócić dane z czujnika sieciowego OT przy użyciu najnowszego pliku kopii zapasowej. Po wyświetleniu monitu potwierdź, że chcesz kontynuować.
Uwaga
Pamiętaj, aby nie zatrzymywać ani wyłączać urządzenia podczas przywracania danych.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | system restore |
Brak atrybutów |
cyberx lub administrator z dostępem głównym | cyberx-xsense-system-restore |
-f <filename> |
Na przykład dla użytkownika administratora :
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
Wyświetlanie alokacji miejsca na dysku kopii zapasowej
Następujące polecenie zawiera listę bieżącej alokacji miejsca na dysku kopii zapasowej, w tym następujące szczegóły:
- Lokalizacja folderu kopii zapasowej
- Rozmiar folderu kopii zapasowej
- Ograniczenia folderu kopii zapasowej
- Czas ostatniej operacji tworzenia kopii zapasowej
- Wolne miejsce na dysku dostępne dla kopii zapasowych
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-backup-memory-check |
Brak atrybutów |
Na przykład dla użytkownika cyberx :
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
Certyfikat TLS/SSL
Importowanie certyfikatów TLS/SSL do czujnika OT
Użyj następującego polecenia, aby zaimportować certyfikaty TLS/SSL do czujnika z interfejsu wiersza polecenia.
Aby użyć tego polecenia:
- Sprawdź, czy plik certyfikatu, który chcesz zaimportować, można odczytać na urządzeniu. Przekaż pliki certyfikatów do urządzenia przy użyciu narzędzi, takich jak WinSCP lub Wget.
- Potwierdź w biurze IT, że domena urządzenia wyświetlana w certyfikacie jest poprawna dla serwera DNS i odpowiedniego adresu IP.
Aby uzyskać więcej informacji, zobacz Przygotowywanie certyfikatów podpisanych przez urząd certyfikacji i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH] [--key <FILE NAME>] [--chain <PATH>>] [--pass <PASSPHRASE>] [--passphrase-set <VALUE>]" |
W tym poleceniu:
-h
: Wyświetla pełną składnię pomocy polecenia--crt
: ścieżka do pliku certyfikatu, który chcesz przekazać, z.crt
rozszerzeniem--key
\*.key
: plik, którego chcesz użyć dla certyfikatu. Długość klucza musi wynosić co najmniej 2048 bitów--chain
: ścieżka do pliku łańcucha certyfikatów. Opcjonalny.--pass
: hasło używane do szyfrowania certyfikatu. Opcjonalny.Następujące znaki są obsługiwane w przypadku tworzenia klucza lub certyfikatu przy użyciu hasła:
- Znaki ASCII, w tym a-z, A-Z, 0-9
- Następujące znaki specjalne: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set
: Nieużywane i domyślnie ustawione na wartość False . Ustaw wartość True , aby użyć hasła dostarczonego z poprzednim certyfikatem. Opcjonalny.
Na przykład dla użytkownika cyberx :
root@xsense:/# cyberx-xsense-certificate-import
Przywracanie domyślnego certyfikatu z podpisem własnym
Użyj następującego polecenia, aby przywrócić domyślne certyfikaty z podpisem własnym na urządzeniu czujnika. Zalecamy użycie tego działania tylko do rozwiązywania problemów, a nie w środowiskach produkcyjnych.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-create-self-signed-certificate |
Brak atrybutów |
Na przykład dla użytkownika cyberx :
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
Lokalne zarządzanie użytkownikami
Zmienianie haseł użytkowników lokalnych
Użyj następujących poleceń, aby zmienić hasła dla użytkowników lokalnych w czujniku OT.
Po zmianie hasła administratora, cyberx lub użytkownika cyberx_host hasło zostanie zmienione zarówno dla protokołu SSH, jak i dostępu do internetu.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx , lub administrator z dostępem głównym | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
cyberx_host lub administrator z dostępem głównym | passwd |
Brak atrybutów |
W poniższym przykładzie pokazano, jak użytkownik cyberx resetuje hasło użytkownika administratora do elementu jI8iD9kE6hB8qN0h
:
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
W poniższym przykładzie przedstawiono cyberx_host użytkownika zmieniającego hasło użytkownika cyberx_host .
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
Kontrolowanie limitów czasu sesji użytkownika
Zdefiniuj czas, po którym użytkownicy są automatycznie wylogowani z czujnika OT. Zdefiniuj tę wartość w pliku właściwości zapisanym na czujniku. nie, aby uzyskać więcej informacji, zobacz Kontrolowanie limitów czasu sesji użytkownika.
Definiowanie maksymalnej liczby logowanych zakończonych niepowodzeniem
Zdefiniuj maksymalnie nieudane logowania, zanim czujnik OT uniemożliwi użytkownikowi ponowne zalogowanie się z tego samego adresu IP. Zdefiniuj tę wartość w pliku właściwości zapisanym na czujniku.
Aby uzyskać więcej informacji, zobacz Definiowanie maksymalnej liczby nieudanych logowania.
Konfiguracja sieci
Ustawienia sieciowe
Zmienianie konfiguracji sieci lub ponowne przypisywanie ról interfejsu sieciowego
Użyj następującego polecenia, aby ponownie uruchomić kreatora konfiguracji oprogramowania do monitorowania ot, który pomaga zdefiniować lub ponownie skonfigurować następujące ustawienia czujnika OT:
- Włączanie/wyłączanie interfejsów monitorowania SPAN
- Konfigurowanie ustawień sieci dla interfejsu zarządzania (ADRES IP, podsieć, brama domyślna, DNS)
- Przypisywanie katalogu kopii zapasowej
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx_host lub administrator z dostępem głównym | sudo dpkg-reconfigure iot-sensor |
Brak atrybutów |
Na przykład w przypadku użytkownika cyberx_host :
root@xsense:/# sudo dpkg-reconfigure iot-sensor
Kreator konfiguracji jest uruchamiany automatycznie po uruchomieniu tego polecenia. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania OT.
Weryfikowanie i wyświetlanie konfiguracji interfejsu sieciowego
Użyj następujących poleceń, aby zweryfikować i wyświetlić bieżącą konfigurację interfejsu sieciowego na czujniku OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | network validate |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
Łączność sieciowa
Sprawdzanie łączności sieciowej z czujnika OT
Użyj następujących poleceń, aby wysłać komunikat ping z czujnika OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | ping <IP address> |
Brak atrybutów |
cyberx , lub administrator z dostępem głównym | ping <IP address> |
Brak atrybutów |
W tych poleceniach <IP address>
jest adres IP prawidłowego hosta sieciowego IPv4 dostępnego z portu zarządzania na czujniku OT.
Sprawdzanie bieżącego obciążenia interfejsu sieciowego
Użyj następującego polecenia, aby wyświetlić ruch sieciowy i przepustowość przy użyciu sześciosekundowego testu.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx , lub administrator z dostępem głównym | cyberx-nload |
Brak atrybutów |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
Sprawdzanie połączenia internetowego
Użyj następującego polecenia, aby sprawdzić łączność z Internetem na urządzeniu.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-internet-connectivity |
Brak atrybutów |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
Ustawianie limitu przepustowości dla interfejsu sieciowego zarządzania
Użyj następującego polecenia, aby ustawić limit przepustowości ruchu wychodzącego dla przekazywania z interfejsu zarządzania czujnika OT do witryny Azure Portal lub lokalnej konsoli zarządzania.
Ustawienie limitów przepustowości ruchu wychodzącego może być pomocne w utrzymaniu jakości usług (QoS). To polecenie jest obsługiwane tylko w środowiskach ograniczonych przepustowości, takich jak za pośrednictwem satelity lub łącza szeregowego.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
W tym poleceniu:
-h
lub--help
: Wyświetla składnię pomocy polecenia--interface <INTERFACE VALUE>
: czy interfejs, który chcesz ograniczyć, na przykładeth0
--limit <LIMIT VALUE>
: limit, który chcesz ustawić, na przykład30kbit
. Użyj jednej z następujących jednostek:kbps
: Kilobajty na sekundęmbps
: Megabajty na sekundękbit
: Kilobity na sekundęmbit
: Megabity na sekundębps
lub liczba nagie: bajty na sekundę
--clear
: czyści wszystkie ustawienia określonego interfejsu
Na przykład dla użytkownika cyberx :
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
Interfejsy fizyczne
Lokalizowanie portu fizycznego przez świateł interfejsu
Użyj następującego polecenia, aby zlokalizować określony interfejs fizyczny, powodując świateł interfejsu.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | network blink <INT> |
Brak atrybutów |
W tym poleceniu <INT>
znajduje się fizyczny port ethernet na urządzeniu.
W poniższym przykładzie pokazano, jak administrator interfejs eth0 :
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
Wyświetlanie listy połączonych interfejsów fizycznych
Użyj następujących poleceń, aby wyświetlić listę połączonych interfejsów fizycznych w czujniku OT.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | network list |
Brak atrybutów |
cyberx lub administrator z dostępem głównym | ifconfig |
Brak atrybutów |
Na przykład dla użytkownika administratora :
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
Filtry przechwytywania ruchu
Aby zmniejszyć zmęczenie alertami i skoncentrować monitorowanie sieci na ruchu o wysokim priorytcie, możesz zdecydować się na filtrowanie ruchu przesyłanego strumieniowo do usługi Defender dla IoT w źródle. Filtry przechwytywania umożliwiają blokowanie ruchu o wysokiej przepustowości w warstwie sprzętowej, optymalizowanie wydajności i użycia zasobów urządzenia.
Użyj list dołączania/lub wykluczania, aby utworzyć i skonfigurować filtry przechwytywania w czujnikach sieci OT, upewniając się, że nie blokujesz żadnego ruchu, który chcesz monitorować.
Podstawowy przypadek użycia filtrów przechwytywania używa tego samego filtru dla wszystkich składników usługi Defender dla IoT. Jednak w przypadku zaawansowanych przypadków użycia można skonfigurować oddzielne filtry dla każdego z następujących składników usługi Defender dla IoT:
horizon
: przechwytuje szczegółowe dane inspekcji pakietów (DPI)collector
: przechwytuje dane protokołu PCAPtraffic-monitor
: przechwytuje statystyki komunikacji
Uwaga
Filtry przechwytywania nie mają zastosowania do alertów złośliwego oprogramowania usługi Defender dla IoT, które są wyzwalane we wszystkich wykrytych ruchach sieciowych.
Polecenie filtru przechwytywania ma limit długości znaków oparty na złożoności definicji filtru przechwytywania i dostępnych możliwości karty sieciowej. Jeśli żądany filtr nie powiedzie się, spróbuj zgrupować podsieci w większe zakresy i użyć krótszego polecenia filtru przechwytywania.
Tworzenie podstawowego filtru dla wszystkich składników
Metoda używana do konfigurowania podstawowego filtru przechwytywania różni się w zależności od użytkownika wykonującego polecenie:
- cyberx użytkownik: uruchom określone polecenie z określonymi atrybutami, aby skonfigurować filtr przechwytywania.
- administrator: uruchom określone polecenie, a następnie wprowadź wartości w wierszu polecenia, edytując listy dołączania i wykluczania w edytorze nano.
Użyj następujących poleceń, aby utworzyć nowy filtr przechwytywania:
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | network capture-filter |
Brak atrybutów. |
cyberx lub administrator z dostępem głównym | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
Obsługiwane atrybuty dla użytkownika cyberx są definiowane w następujący sposób:
Atrybut | opis |
---|---|
-h , --help |
Wyświetla komunikat pomocy i kończy działanie. |
-i <INCLUDE> , --include <INCLUDE> |
Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz uwzględnić, gdzie <INCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania. |
-x EXCLUDE , --exclude EXCLUDE |
Ścieżka do pliku zawierającego urządzenia i maski podsieci, które chcesz wykluczyć, gdzie <EXCLUDE> jest ścieżką do pliku. Na przykład zobacz Przykładowy plik dołączania lub wykluczania. |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
Wyklucza ruch TCP na dowolnych określonych portach, gdzie <EXCLUDE_TCP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji. |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
Wyklucza ruch UDP na dowolnych określonych portach, gdzie <EXCLUDE_UDP_PORT> definiuje port lub porty, które chcesz wykluczyć. Ogranicz wiele portów przecinkami bez spacji. |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
Obejmuje ruch TCP na dowolnych określonych portach, gdzie <INCLUDE_TCP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji. |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
Obejmuje ruch UDP na dowolnych określonych portach, gdzie <INCLUDE_UDP_PORT> definiuje port lub porty, które chcesz uwzględnić. Ogranicz wiele portów przecinkami bez spacji. |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
Zawiera ruch sieci VLAN według określonych identyfikatorów sieci VLAN, <INCLUDE_VLAN_IDS> definiuje identyfikator sieci VLAN lub identyfikatory, które chcesz uwzględnić. Ogranicz wiele identyfikatorów sieci VLAN według przecinków bez spacji. |
-p <PROGRAM> , --program <PROGRAM> |
Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania. Użyj all w przypadku podstawowych przypadków użycia, aby utworzyć jeden filtr przechwytywania dla wszystkich składników. W przypadku zaawansowanych przypadków użycia utwórz oddzielne filtry przechwytywania dla każdego składnika. Aby uzyskać więcej informacji, zobacz Tworzenie zaawansowanego filtru dla określonych składników. |
-m <MODE> , --mode <MODE> |
Definiuje tryb listy dołączania i ma zastosowanie tylko wtedy, gdy jest używana lista dołączania. Użyj jednej z następujących wartości: - internal : obejmuje całą komunikację między określonym źródłem a miejscem docelowym - all-connected : obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych. Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B. Jeśli jednak używasz all-connected trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi. |
Przykładowy plik dołączania lub wykluczania
Na przykład plik dołączania lub wykluczania .txt może zawierać następujące wpisy:
192.168.50.10
172.20.248.1
Tworzenie podstawowego filtru przechwytywania przy użyciu użytkownika administratora
Jeśli tworzysz podstawowy filtr przechwytywania jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.
Odpowiedz na monity wyświetlane w następujący sposób:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Wybierz
Y
, aby otworzyć nowy plik dołączania, w którym możesz dodać urządzenie, kanał i/lub podsieć, które chcesz uwzględnić w monitorowanych ruchu. Żaden inny ruch, nie wymieniony w pliku dołączania, nie jest pozyskiwany do usługi Defender dla IoT.Plik dołączania jest otwierany w edytorze tekstów Nano . W pliku dołączania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:
Type Opis Przykład Device Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1
obejmuje cały ruch dla tego urządzenia.Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2
zawiera cały ruch dla tego kanału.Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1
zawiera cały ruch dla tej podsieci.Wyświetl wiele argumentów w oddzielnych wierszach.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Wybierz
Y
, aby otworzyć nowy plik wykluczania, w którym można dodać urządzenie, kanał i/lub podsieć, które chcesz wykluczyć z monitorowanego ruchu. Każdy inny ruch, który nie znajduje się w pliku wykluczania, jest pozyskiwany do usługi Defender dla IoT.Plik wykluczania jest otwierany w edytorze tekstów Nano . W pliku wykluczania zdefiniuj urządzenia, kanały i podsieci w następujący sposób:
Type Opis Przykład Device Zdefiniuj urządzenie według jego adresu IP. 1.1.1.1
wyklucza cały ruch dla tego urządzenia.Kanał Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych rozdzielonych przecinkami. 1.1.1.1,2.2.2.2
wyklucza cały ruch między tymi urządzeniami.Kanał według portu Zdefiniuj kanał według adresów IP swoich urządzeń źródłowych i docelowych oraz portu ruchu. 1.1.1.1,2.2.2.2,443
wyklucza cały ruch między tymi urządzeniami i używa określonego portu.Podsieć Zdefiniuj podsieć według jego adresu sieciowego. 1.1.1
wyklucza cały ruch dla tej podsieci.Kanał podsieci Zdefiniuj adresy sieciowe kanału podsieci dla podsieci źródłowych i docelowych. 1.1.1,2.2.2
Wyklucza cały ruch między tymi podsieciami.Wyświetl wiele argumentów w oddzielnych wierszach.
Odpowiedz na następujące monity, aby zdefiniować wszystkie porty TCP lub UDP do uwzględnienia lub wykluczenia. Oddziel wiele portów przecinkami i naciśnij ENTER, aby pominąć dowolny konkretny monit.
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
Na przykład wprowadź wiele portów w następujący sposób:
502,443
In which component do you wish to apply this capture filter?
Wprowadź
all
wartość dla podstawowego filtru przechwytywania. W przypadku zaawansowanych przypadków użycia utwórz filtry przechwytywania dla każdego składnika usługi Defender dla IoT oddzielnie.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
Ten monit umożliwia skonfigurowanie ruchu w zakresie. Określ, czy chcesz zbierać ruch, w którym znajdują się oba punkty końcowe, czy tylko jeden z nich znajduje się w określonej podsieci. Obsługiwane wartości to:
internal
: obejmuje całą komunikację między określonym źródłem a miejscem docelowymall-connected
: obejmuje całą komunikację między jednym z określonych punktów końcowych i zewnętrznych punktów końcowych.
Na przykład w przypadku punktów końcowych A i B, jeśli używasz
internal
trybu, uwzględniony ruch będzie obejmować tylko komunikację między punktami końcowymi A i B.
Jeśli jednak używaszall-connected
trybu, uwzględniony ruch będzie zawierać całą komunikację między A lub B i innymi zewnętrznymi punktami końcowymi.internal
to tryb domyślny. Aby użyćall-connected
trybu, wybierzY
w wierszu polecenia, a następnie wprowadź .all-connected
W poniższym przykładzie przedstawiono serię monitów, które tworzą filtr przechwytywania w celu wykluczenia podsieci 192.168.x.x
i portu 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
Tworzenie zaawansowanego filtru dla określonych składników
Podczas konfigurowania zaawansowanych filtrów przechwytywania dla określonych składników można użyć początkowego dołączania i wykluczania plików jako podstawowego lub szablonu filtru przechwytywania. Następnie skonfiguruj dodatkowe filtry dla każdego składnika na podstawie zgodnie z potrzebami.
Aby utworzyć filtr przechwytywania dla każdego składnika, pamiętaj, aby powtórzyć cały proces dla każdego składnika.
Uwaga
Jeśli utworzono różne filtry przechwytywania dla różnych składników, wybór trybu jest używany dla wszystkich składników. Definiowanie filtru przechwytywania dla jednego składnika jako internal
i filtr przechwytywania dla innego składnika, który all-connected
nie jest obsługiwany.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | network capture-filter |
Brak atrybutów. |
cyberx lub administrator z dostępem głównym | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
Następujące dodatkowe atrybuty są używane dla użytkownika cyberx do tworzenia filtrów przechwytywania dla każdego składnika oddzielnie:
Atrybut | opis |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
Definiuje składnik, dla którego chcesz skonfigurować filtr przechwytywania, gdzie <PROGRAM> mają następujące obsługiwane wartości: - traffic-monitor - collector - horizon - all : Tworzy jeden filtr przechwytywania dla wszystkich składników. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowego filtru dla wszystkich składników. |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
Definiuje filtr przechwytywania podstawowego horizon dla składnika, w którym <BASE_HORIZON> jest filtr, którego chcesz użyć. Wartość domyślna = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
Definiuje podstawowy filtr przechwytywania traffic-monitor dla składnika. Wartość domyślna = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
Definiuje podstawowy filtr przechwytywania collector dla składnika. Wartość domyślna = "" |
Inne wartości atrybutów mają takie same opisy jak w podstawowym przypadku użycia opisanym wcześniej.
Tworzenie zaawansowanego filtru przechwytywania przy użyciu użytkownika administratora
Jeśli tworzysz filtr przechwytywania dla każdego składnika oddzielnie jako administrator, żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego zostanie wyświetlona seria monitów, aby ułatwić interaktywne tworzenie filtru przechwytywania.
Większość monitów jest identyczna z podstawowym przypadkiem użycia. Odpowiedz na następujące dodatkowe monity w następujący sposób:
In which component do you wish to apply this capture filter?
Wprowadź jedną z następujących wartości, w zależności od składnika, który chcesz filtrować:
horizon
traffic-monitor
collector
Zostanie wyświetlony monit o skonfigurowanie niestandardowego filtru przechwytywania podstawowego dla wybranego składnika. Ta opcja używa filtru przechwytywania skonfigurowanego w poprzednich krokach jako podstawy lub szablonu, w którym można dodać dodatkowe konfiguracje na podstawie.
Jeśli na przykład wybrano opcję skonfigurowania filtru przechwytywania dla
collector
składnika w poprzednim kroku, zostanie wyświetlony monit:Would you like to supply a custom base capture filter for the collector component? [Y/N]:
Wprowadź wartość
Y
, aby dostosować szablon dla określonego składnika lubN
użyć wcześniej skonfigurowanego filtru przechwytywania.
Kontynuuj od pozostałych monitów, tak jak w podstawowym przypadku użycia.
Wyświetlanie listy bieżących filtrów przechwytywania dla określonych składników
Użyj następujących poleceń, aby wyświetlić szczegółowe informacje o bieżących filtrach przechwytywania skonfigurowanych dla czujnika.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika: - horyzont: edit-config horizon_parser/horizon.properties - monitor ruchu: edit-config traffic_monitor/traffic-monitor - moduł zbierający: edit-config dumpark.properties |
Brak atrybutów |
cyberx lub administrator z dostępem głównym | Użyj następujących poleceń, aby wyświetlić filtry przechwytywania dla każdego składnika: -horyzont: nano /var/cyberx/properties/horizon_parser/horizon.properties - monitor ruchu: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - moduł zbierający: nano /var/cyberx/properties/dumpark.properties |
Brak atrybutów |
Te polecenia otwierają następujące pliki, które zawierają listę filtrów przechwytywania skonfigurowanych dla każdego składnika:
Nazwisko | Plik | Właściwości |
---|---|---|
horyzont | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
monitor ruchu | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
kolekcjoner | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
Na przykład w przypadku użytkownika administratora z filtrem przechwytywania zdefiniowanym dla składnika modułu zbierającego , który wyklucza podsieć 192.168.x.x i port 9000:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
Resetuj wszystkie filtry przechwytywania
Użyj następującego polecenia, aby zresetować czujnik do domyślnej konfiguracji przechwytywania z użytkownikiem cyberx , usuwając wszystkie filtry przechwytywania.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-capture-filter -p all -m all-connected |
Brak atrybutów |
Jeśli chcesz zmodyfikować istniejące filtry przechwytywania, uruchom ponownie wcześniejsze polecenie z nowymi wartościami atrybutów.
Aby zresetować wszystkie filtry przechwytywania przy użyciu użytkownika administratora, uruchom ponownie wcześniejsze polecenie i odpowiedz na N
wszystkie monity, aby zresetować wszystkie filtry przechwytywania.
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
Alerty
Wyzwalanie alertu testowego
Użyj następującego polecenia, aby przetestować łączność i przekazywanie alertów z czujnika do konsoli zarządzania, w tym witryny Azure Portal, lokalnej konsoli zarządzania usługi Defender for IoT lub rozwiązania SIEM innej firmy.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
cyberx lub administrator z dostępem głównym | cyberx-xsense-trigger-test-alert |
Brak atrybutów |
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
Reguły wykluczania alertów z czujnika OT
Następujące polecenia obsługują funkcje wykluczania alertów w czujniku OT, w tym wyświetlanie bieżących reguł wykluczania, dodawanie i edytowanie reguł oraz usuwanie reguł.
Uwaga
Reguły wykluczania alertów zdefiniowane na czujniku OT można zastąpić za pomocą reguł wykluczania alertów zdefiniowanych w lokalnej konsoli zarządzania.
Pokaż bieżące reguły wykluczania alertów
Użyj następującego polecenia, aby wyświetlić listę aktualnie skonfigurowanych reguł wykluczania.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx , lub administrator z dostępem głównym | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
Tworzenie nowej reguły wykluczania alertów
Użyj następujących poleceń, aby utworzyć lokalną regułę wykluczania alertów na czujniku.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx lub administrator z dostępem głównym | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Obsługiwane atrybuty są definiowane w następujący sposób:
Atrybut | opis |
---|---|
-h , --help |
Wyświetla komunikat pomocy i kończy działanie. |
[-n <NAME>] , [--name <NAME>] |
Zdefiniuj nazwę reguły. |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both , , src dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x , , mac-xx:xx:xx:xx:xx:xx subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001 . |
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Modyfikowanie reguły wykluczania alertów
Użyj następujących poleceń, aby zmodyfikować istniejącą lokalną regułę wykluczania alertów w czujniku.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx lub administrator z dostępem głównym | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Obsługiwane atrybuty są definiowane w następujący sposób:
Atrybut | opis |
---|---|
-h , --help |
Wyświetla komunikat pomocy i kończy działanie. |
[-n <NAME>] , [--name <NAME>] |
Nazwa reguły, którą chcesz zmodyfikować. |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both , , src dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x , , mac-xx:xx:xx:xx:xx:xx subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001 . |
Użyj następującej składni polecenia z użytkownikiem administratora :
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
Usuwanie reguły wykluczania alertów
Użyj następujących poleceń, aby usunąć istniejącą lokalną regułę wykluczania alertów w czujniku.
User | Polecenie | Pełna składnia polecenia |
---|---|---|
Admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
cyberx lub administrator z dostępem głównym | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
Obsługiwane atrybuty są definiowane w następujący sposób:
Atrybut | opis |
---|---|
-h , --help |
Wyświetla komunikat pomocy i kończy działanie. |
[-n <NAME>] , [--name <NAME>] |
Nazwa reguły, którą chcesz usunąć. |
[-ts <TIMES>] [--time_span <TIMES>] |
Definiuje przedział czasu, dla którego reguła jest aktywna, przy użyciu następującej składni: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>] , --direction <DIRECTION> |
Kierunek adresu do wykluczenia. Użyj jednej z następujących wartości: both , , src dst |
[-dev <DEVICES>] , [--devices <DEVICES>] |
Adresy urządzeń lub typy adresów do wykluczenia przy użyciu następującej składni: ip-x.x.x.x , , mac-xx:xx:xx:xx:xx:xx subnet:x.x.x.x/x |
[-a <ALERTS>] , --alerts <ALERTS> |
Nazwy alertów do wykluczenia według wartości szesnastkowej. Na przykład: 0x00000, 0x000001 . |
W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administracyjnego:
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]