OT 網路感測器的 CLI 命令參考
本文列出適用於IoT OT網路感測器的Defender提供的CLI命令。
警告
客戶設定僅支援 OT 網路感應器和內部部署管理主控台上已記載的設定參數。 請勿變更任何未記載的設定參數或系統屬性,因為變更可能會導致非預期的行為和系統失敗。
在未經 Microsoft 核准的情況下,從感應器中移除套件可能會導致非預期的結果。 安裝於感應器上的所有套件都必須有正確的感應器功能。
必要條件
您必須先以特殊許可權使用者身分存取 OT 網路感測器上的 CLI,才能執行下列任何 CLI 命令。
雖然本文列出每個使用者的命令語法,但建議針對支持系統管理員使用者的所有 CLI 命令使用系統管理員使用者。
如果您使用舊版感測器軟體,您可能可以存取舊版 支持 使用者。 在這種情況下,系統管理使用者所列出的任何命令都支援舊版支持使用者。
如需詳細資訊,請參閱 存取 CLI 和 特殊許可權使用者存取以進行 OT 監視。
設備維護
檢查 OT 監視服務健康狀態
使用下列命令來確認 OT 感測器上的適用於 IoT 的 Defender 應用程式正常運作,包括 Web 控制台和流量分析程式。
OT 感測器主控台也提供健康情況檢查。 如需詳細資訊,請參閱針對感應器進行疑難排解。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system sanity |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-sanity |
沒有屬性 |
下列範例顯示系統管理員使用者的命令語法和回應:
root@xsense: system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
重新啟動和關閉
重新啟動設備
使用下列命令重新啟動 OT 感測器設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system reboot |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | sudo reboot |
沒有屬性 |
| cyberx_host 或具有根存取權的系統管理員 | sudo reboot |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: system reboot
關閉裝置
使用下列命令來關閉 OT 感測器設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system shutdown |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | sudo shutdown -r now |
沒有屬性 |
| cyberx_host或具有根存取權的系統管理員 | sudo shutdown -r now |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: system shutdown
軟體版本
顯示安裝的軟體版本
使用下列命令來列出安裝在 OT 感測器上的適用於 IoT 的 Defender 軟體版本。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system version |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-version |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: system version
Version: 22.2.5.9-r-2121448
從 CLI 更新感測器軟體
如需詳細資訊,請參閱 更新感測器。
日期、時間和 NTP
顯示目前的系統日期/時間
使用下列命令,以 GMT 格式顯示 OT 網路感測器上的目前系統日期和時間。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | date |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | date |
沒有屬性 |
| cyberx_host 或具有根存取權的系統管理員 | date |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: date
Thu Sep 29 18:38:23 UTC 2022
root@xsense:
開啟 NTP 時間同步處理
使用下列命令,以使用NTP伺服器開啟設備時間的同步處理。
若要使用這些命令,請確定:
- 您可以從設備管理埠連線到 NTP 伺服器
- 您可以使用相同的 NTP 伺服器來同步處理所有感測器設備與內部部署管理主控台
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ntp enable <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-ntp-enable <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是使用埠 123 的有效 IPv4 NTP 伺服器的 IP 位址。
例如,針對 系統管理員 使用者:
root@xsense: ntp enable 129.6.15.28
root@xsense:
關閉 NTP 時間同步處理
使用下列命令來關閉設備時間與 NTP 伺服器的同步處理。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ntp disable <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-ntp-disable <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是使用埠 123 的有效 IPv4 NTP 伺服器的 IP 位址。
例如,針對 系統管理員 使用者:
root@xsense: ntp disable 129.6.15.28
root@xsense:
備份和還原
下列各節說明支援備份和還原 OT 網路感測器系統快照集的 CLI 命令。
備份檔包含感測器狀態的完整快照集,包括組態設定、基準值、清查數據和記錄。
警告
請勿中斷系統備份或還原作業,因為這可能會使系統變成無法使用。
列出目前的備份檔案
使用下列命令來列出目前儲存在 OT 網路感測器上的備份檔。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system backup-list |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-backup-list |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: system backup-list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
root@xsense:
開啟立即、未排程的備份
使用下列命令來啟動 OT 感測器上數據的立即未排程備份。 如需詳細資訊,請參閱設定備份與還原檔案。
警告
備份數據時,請務必不要停止或關閉設備電源。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system backup |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-backup |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: system backup
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
root@xsense:
從最新備份還原資料
使用下列命令,使用最新的備份檔還原 OT 網路感測器上的數據。 出現提示時,請確認您想要繼續。
警告
在還原數據時,請務必不要停止或關閉設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system restore |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-restore |
-f <filename> |
例如,針對 系統管理員 使用者:
root@xsense: system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
root@xsense:
顯示備份磁碟空間配置
下列命令會列出目前的備份磁碟空間配置,包括下列詳細數據:
- 備份資料夾位置
- 備份資料夾大小
- 備份資料夾限制
- 上次備份作業時間
- 備份可用的可用磁碟空間
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-backup-memory-check |
沒有屬性 |
例如,針對 cyberx 使用者:
root@xsense:/# cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
root@xsense:/#
TLS/SSL 憑證
將 TLS/SSL 憑證匯入 OT 感應器
使用下列命令,從 CLI 將 TLS/SSL 憑證匯入至感測器。
若要使用此指令:
- 確認您想要匯入的憑證檔案在設備上是可讀取的。 使用 WinSCP 或 Wget 等工具將憑證檔案上傳至設備。
- 向 IT 辦公室確認設備網域在憑證中出現時,您的 DNS 伺服器和對應的 IP 位址是正確的。
如需詳細資訊,請參閱 準備 CA 簽署的憑證 和 建立 OT 設備的 SSL/TLS 憑證。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-certificate-import |
cyberx-xsense-certificate-import [-h] [--crt <PATH] [--key <FILE NAME>] [--chain <PATH>>] [--pass PASSPHRASE>] [--passphrase-set <<VALUE>]' |
在這個命令中:
-h:顯示完整的命令說明語法--crt:您想要上傳之憑證檔案的路徑,擴展名為.crt--key\*.key:您要用於憑證的檔案。 密鑰長度必須至少為 2,048 位--chain:憑證鏈結檔案的路徑。 選擇性。--pass:用來加密憑證的複雜密碼。 選擇性。支援下列字元來建立具有複雜密碼的金鑰或憑證:
- ASCII 字元,包括 a-z、 A-Z、 0-9
- 下列特殊字元: ! # % ( ) + , - . / : = ? @ [ \ ] ^ _ { } ~
--passphrase-set:未使用且預設設定為 False 。 設定為 True 以使用先前憑證所提供的複雜密碼。 選擇性。
例如,針對 cyberx 使用者:
root@xsense:/# cyberx-xsense-certificate-import
恢復預設自我簽署憑證
使用下列命令來還原感測器設備上的預設自我簽署憑證。 建議您只使用此活動進行疑難解答,而不是在生產環境上使用。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-create-self-signed-certificate |
沒有屬性 |
例如,針對 cyberx 使用者:
root@xsense:/# cyberx-xsense-create-self-signed-certificate
Creating a self-signed certificate for Apache2...
random directory name for the new certificate is 348
Generating a RSA private key
................+++++
....................................+++++
writing new private key to '/var/cyberx/keys/certificates/348/apache.key'
-----
executing a query to add the certificate to db
finished
root@xsense:/#
本機使用者管理
變更本地使用者密碼
使用下列命令來變更 OT 感測器上本機用戶的密碼。
當您變更系統管理員、網路或cyberx_host使用者的密碼時,SSH 和 Web 存取的密碼都會變更。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-users-password-reset |
cyberx-users-password-reset -u <user> -p <password> |
| cyberx_host或具有根存取權的系統管理員 | passwd |
沒有屬性 |
下列範例顯示 cyberx 使用者將系統管理員用戶的密碼jI8iD9kE6hB8qN0h重設為 :
root@xsense:/# cyberx-users-password-reset -u admin -p jI8iD9kE6hB8qN0h
resetting the password of OS user "admin"
Sending USER_PASSWORD request to OS manager
Open UDS connection with /var/cyberx/system/os_manager.sock
Received data: b'ack'
resetting the password of UI user "admin"
root@xsense:/#
下列範例顯示 cyberx_host 用戶變更 cyberx_host 用戶的密碼。
cyberx_host@xsense:/# passwd
Changing password for user cyberx_host.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
cyberx_host@xsense:/#
控制使用者工作階段逾時
定義使用者自動註銷 OT 感測器的時間。 在儲存在感測器上的屬性檔案中定義此值。 不是,如需詳細資訊,請參閱 控制用戶會話逾時。
定義失敗的登入次數上限
定義 OT 感測器之前失敗的登入數目上限,會防止使用者從相同的 IP 位址再次登入。 在儲存在感測器上的屬性檔案中定義此值。
如需詳細資訊,請參閱 定義失敗的登入數目上限。
網路組態
網路設定
變更網路設定或重新指派網路介面角色
使用下列命令重新執行OT監視軟體組態精靈,以協助您定義或重新設定下列OT感測器設定:
- 啟用/停用SPAN監視介面
- 設定管理介面的網路設定(IP、子網、預設閘道、DNS)
- 指派備份目錄
| User | Command | 完整命令語法 |
|---|---|---|
| cyberx_host或具有根存取權的系統管理員 | sudo dpkg-reconfigure iot-sensor |
沒有屬性 |
例如,使用 cyberx_host 使用者:
root@xsense:/# sudo dpkg-reconfigure iot-sensor
執行此命令之後,組態精靈會自動啟動。 如需詳細資訊,請參閱安裝 OT 監視軟體。
驗證和顯示 eth0 VM 網路介面設定
使用下列命令來驗證並顯示 OT 感測器上的目前網路介面組態。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network validate |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
root@xsense:
網路連線
檢查 OT 感應器的網路連線能力
使用下列命令從 OT 感測器傳送 Ping 訊息。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ping <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | ping <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是可從 OT 感測器上管理埠存取之有效 IPv4 網路主機的 IP 位址。
檢查網路介面目前負載
使用下列命令,使用六秒測試來顯示網路流量和頻寬。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-nload |
沒有屬性 |
root@xsense:/# cyberx-nload
eth0:
Received: 66.95 KBit/s Sent: 87.94 KBit/s
Received: 58.95 KBit/s Sent: 107.25 KBit/s
Received: 43.67 KBit/s Sent: 107.86 KBit/s
Received: 87.00 KBit/s Sent: 191.47 KBit/s
Received: 79.71 KBit/s Sent: 85.45 KBit/s
Received: 54.68 KBit/s Sent: 48.77 KBit/s
local_listener (virtual adiot0):
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
Received: 0.0 Bit Sent: 0.0 Bit
root@xsense:/#
檢查網際網路連線
使用下列命令來檢查您設備的因特網連線能力。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-internet-connectivity |
沒有屬性 |
root@xsense:/# cyberx-xsense-internet-connectivity
Checking internet connectivity...
The machine was successfully able to connect the internet.
root@xsense:/#
設定管理網路介面的頻寬限制
使用下列命令,將 OT 感測器管理介面上傳至 Azure 入口網站 或內部部署管理主控台的輸出頻寬限制。
設定輸出頻寬限制有助於維護網路服務品質(QoS)。 此命令僅支援在頻寬限制的環境中,例如透過衛星或序列連結。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-limit-interface |
cyberx-xsense-limit-interface [-h] --interface <INTERFACE VALUE> [--limit <LIMIT VALUE] [--clear] |
在這個命令中:
-h或--help:顯示命令說明語法--interface <INTERFACE VALUE>:這是您想要限制的介面,例如eth0--limit <LIMIT VALUE>:您要設定的限制,例如30kbit。 使用下列其中一個單位:kbps:每秒 KB 數mbps:每秒 MBkbit:每秒千位mbit:每秒兆位數bps或裸機數位:每秒位元組數
--clear:清除指定介面的所有設定
例如,針對 cyberx 使用者:
root@xsense:/# cyberx-xsense-limit-interface -h
usage: cyberx-xsense-limit-interface [-h] --interface INTERFACE [--limit LIMIT] [--clear]
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
interface (e.g. eth0)
--limit LIMIT limit value (e.g. 30kbit). kbps - Kilobytes per second, mbps - Megabytes per second, kbit -
Kilobits per second, mbit - Megabits per second, bps or a bare number - Bytes per second
--clear flag, will clear settings for the given interface
root@xsense:/#
root@xsense:/# cyberx-xsense-limit-interface --interface eth0 --limit 1000mbps
setting the bandwidth limit of interface "eth0" to 1000mbps
實體介面
透過閃爍介面燈找出實體連接埠
使用下列命令來找出特定的實體介面,方法是讓介面燈閃爍。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network blink <INT> |
沒有屬性 |
在此命令中, <INT> 是設備上的實體乙太網路埠。
下列範例顯示 系統管理員 用戶閃爍 eth0 介面:
root@xsense: network blink eth0
Blinking interface for 20 seconds ...
列出連線的實體介面
使用下列命令來列出 OT 感測器上連接的實體介面。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network list |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | ifconfig |
沒有屬性 |
例如,針對 系統管理員 使用者:
root@xsense: network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@xsense:
流量擷取篩選
若要降低警示疲勞,並將網路監視聚焦在高優先順序的流量上,您可以決定篩選串流至來源適用於 IoT 的 Defender 的流量。 擷取篩選器可讓您封鎖硬體層的高頻寬流量,以優化設備效能和資源使用量。
使用 包含/或排除清單,在 OT 網路感測器上建立和設定擷取篩選器,確定您不會封鎖您想要監視的任何流量。
擷取篩選的基本使用案例會針對所有適用於IoT的Defender元件使用相同的篩選。 不過,針對進階使用案例,您可能想要針對下列適用於IoT的Defender元件設定個別篩選:
horizon:擷取深層封包檢查 (DPI) 數據collector:擷取PCAP資料traffic-monitor:擷取通訊統計數據
注意
擷取篩選器不適用於 適用於IoT的Defender惡意代碼警示,這些警示會在所有偵測到的網路流量上觸發。
擷取篩選命令具有字元長度限制,其依據擷取篩選定義的複雜度和可用的網路適配器功能。 如果要求的篩選條件失敗,請嘗試將子網分組到較大的範圍,並使用較短的擷取篩選命令。
為所有元件建立基本篩選
用來設定基本擷取篩選的方法會有所不同,視執行 命令的使用者而定:
- cyberx 使用者:使用特定屬性執行指定的命令,以設定擷取篩選條件。
- 系統管理員 使用者:執行指定的命令,然後輸入 CLI 所提示的值、編輯 Nano 編輯器中的 include 和 exclude 清單。
使用下列命令來建立新的擷取篩選:
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network capture-filter |
沒有屬性。 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
網路使用者支援的屬性定義如下:
| 屬性 | 描述 |
|---|---|
-h, --help |
顯示說明訊息並結束。 |
-i <INCLUDE>, --include <INCLUDE> |
檔案的路徑,其中包含您想要包含的裝置和子網掩碼,其中 <INCLUDE> 是檔案的路徑。 例如,請參閱 範例 include 或 exclude 檔案。 |
-x EXCLUDE, --exclude EXCLUDE |
包含您要排除之裝置和子網掩碼的檔案路徑,其中 <EXCLUDE> 是檔案的路徑。 例如,請參閱 範例 include 或 exclude 檔案。 |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
排除任何指定埠上的 TCP 流量,其中 <EXCLUDE_TCP_PORT> 會定義您要排除的埠或埠。 以逗號分隔多個埠,不含空格。 |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
排除任何指定埠上的 UDP 流量,其中 <EXCLUDE_UDP_PORT> 會定義您要排除的埠或埠。 以逗號分隔多個埠,不含空格。 |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
包含任何指定埠上的 TCP 流量,其中 <INCLUDE_TCP_PORT> 會定義您想要包含的埠或埠。 以逗號分隔多個埠,不含空格。 |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
包含任何指定埠上的 UDP 流量,其中 <INCLUDE_UDP_PORT> 會定義您想要包含的埠或埠。 以逗號分隔多個埠,不含空格。 |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
依指定的 VLAN 識別碼包含 VLAN 流量, <INCLUDE_VLAN_IDS> 定義您想要包含的 VLAN 識別碼或識別碼。 以逗號分隔多個 VLAN 識別符,不含空格。 |
-p <PROGRAM>, --program <PROGRAM> |
定義您要設定擷取篩選的元件。 用於 all 基本使用案例,為所有元件建立單一擷取篩選。 針對進階使用案例,請為每個元件建立個別的擷取篩選。 如需詳細資訊,請參閱 為特定元件建立進階篩選。 |
-m <MODE>, --mode <MODE> |
定義包含清單模式,而且只有在使用包含清單時才相關。 使用下列其中一個值: - internal:包含指定來源與目的地之間的所有通訊 - all-connected:包含指定端點與外部端點之間的所有通訊。 例如,對於端點 A 和 B,如果您使用 internal 模式,則包含的流量只會包含端點 A 與 B 之間的通訊。不過,如果您使用 all-connected 模式,包含的流量將會包含 A 或 B 與其他外部端點之間的所有通訊。 |
例如,包含或排除 .txt 檔案可能包含下列專案:
192.168.50.10
172.20.248.1
使用系統管理員使用者建立基本擷取篩選
如果您要以系統管理員使用者身分建立基本擷取篩選,則原始命令中不會傳遞任何屬性。 相反地,會顯示一系列提示,以協助您以互動方式建立擷取篩選。
回復顯示的提示,如下所示:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:選取
Y以開啟新的 Include 檔案,您可以在其中新增您想要包含在受監視流量中的裝置、通道和/或子網。 未列在包含檔案中的其他任何流量,都不會內嵌至適用於IoT的Defender。內含檔案會在 Nano 文字編輯器中開啟。 在 include 檔案中,定義裝置、通道和子網,如下所示:
類型 描述 範例 裝置 依其IP位址定義裝置。 1.1.1.1包含此裝置的所有流量。通道 依來源和目的地裝置的IP位址定義通道,並以逗號分隔。 1.1.1.1,2.2.2.2包含此通道的所有流量。子網路 依其網路位址定義子網。 1.1.1包含此子網的所有流量。列出個別數據列中的多個自變數。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:選取
Y以開啟新的排除檔案,您可以在其中新增您想要從受監視流量排除的裝置、通道和/或子網。 任何其他流量,未列在您的排除檔案中,會內嵌至適用於IoT的Defender。排除檔案會在 Nano 文字編輯器中開啟。 在排除檔案中,定義裝置、通道和子網,如下所示:
類型 描述 範例 裝置 依其IP位址定義裝置。 1.1.1.1排除此裝置的所有流量。通道 依來源和目的地裝置的IP位址定義通道,並以逗號分隔。 1.1.1.1,2.2.2.2排除這些裝置之間的所有流量。依埠的通道 依來源和目的地裝置的IP位址以及流量埠來定義通道。 1.1.1.1,2.2.2.2,443排除這些裝置與使用指定埠之間的所有流量。子網路 依其網路位址定義子網。 1.1.1排除此子網的所有流量。子網通道 定義來源和目的地子網的子網通道網路位址。 1.1.1,2.2.2排除這些子網之間的所有流量。列出個別數據列中的多個自變數。
回復下列提示,以定義要包含或排除的任何 TCP 或 UDP 連接埠。 以逗號分隔多個埠,然後按 ENTER 鍵略過任何特定提示。
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
例如,輸入多個埠,如下所示:
502,443In which component do you wish to apply this capture filter?輸入
all作為基本擷取篩選條件。 針對 進階使用案例,請分別為每個適用於IoT的Defender元件建立擷取篩選。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:此提示可讓您設定範圍中的流量。 定義您是否要收集兩個端點都在範圍的流量,或只有其中一個位於指定的子網中。 支援的值包括:
internal:包含指定來源與目的地之間的所有通訊all-connected:包含指定端點與外部端點之間的所有通訊。
例如,對於端點 A 和 B,如果您使用
internal模式,則包含的流量只會包含端點 A 與 B 之間的通訊。
不過,如果您使用all-connected模式,包含的流量將會包含 A 或 B 與其他外部端點之間的所有通訊。預設模式為
internal。 若要使用all-connected模式,請在提示字元中選取Y,然後輸入all-connected。
下列範例顯示一系列提示,這些提示會建立擷取篩選以排除子網 192.168.x.x 和埠 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
為特定元件建立進階篩選
設定特定元件的進階擷取篩選時,您可以使用初始包含和排除檔案作為基底或範本、擷取篩選。 然後,視需要針對基底上的每個元件設定額外的篩選。
若要為每個元件建立擷取篩選,請務必針對每個元件重複整個程式。
注意
如果您已為不同的元件建立不同的擷取篩選,則模式選取專案會用於所有元件。 將一個元件的擷取篩選定義為 internal ,以及不支援另一個元件的 all-connected 擷取篩選。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network capture-filter |
沒有屬性。 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
網路使用者會使用下列額外屬性,分別為每個元件建立擷取篩選:
| 屬性 | 描述 |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
定義您要設定擷取篩選的元件,其中 <PROGRAM> 具有下列支援的值:- traffic-monitor - collector - horizon - all:為所有元件建立單一擷取篩選。 如需詳細資訊,請參閱 為所有元件建立基本篩選。 |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
定義元件的基底擷取篩選 horizon ,其中 <BASE_HORIZON> 是您想要使用的篩選。 預設值 = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
定義元件的基底擷取篩選 traffic-monitor 。 預設值 = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
定義元件的基底擷取篩選 collector 。 預設值 = "" |
其他屬性值的描述與稍早所述的基本使用案例相同。
使用系統管理員使用者建立進階擷取篩選
如果您要個別建立每個元件的擷取篩選作為系統管理員使用者,則原始命令中不會傳遞任何屬性。 相反地,會顯示一系列提示,以協助您以互動方式建立擷取篩選。
大部分的提示都與 基本使用案例相同。 回復下列額外提示,如下所示:
In which component do you wish to apply this capture filter?根據您要篩選的元件,輸入下列其中一個值:
horizontraffic-monitorcollector
系統會提示您為選取的元件設定自定義基底擷取篩選。 此選項會使用您在先前步驟中設定的擷取篩選器作為基底或範本,您可以在基底之上新增額外的設定。
例如,如果您已選取以在上一個步驟中設定
collector元件的擷取篩選,系統會提示您:Would you like to supply a custom base capture filter for the collector component? [Y/N]:輸入
Y以自定義指定元件的範本,或使用N您稍早設定的擷取篩選。
繼續進行其餘的提示,如基本使用案例所示。
列出特定元件的目前擷取篩選
使用下列命令來顯示針對感測器所設定之目前擷取篩選器的詳細數據。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | 使用下列命令來檢視每個元件的擷取篩選: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - 收集器: edit-config dumpark.properties |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | 使用下列命令來檢視每個元件的擷取篩選: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - 收集器: nano /var/cyberx/properties/dumpark.properties |
沒有屬性 |
這些命令會開啟下列檔案,其中列出針對每個元件設定的擷取篩選:
| 名稱 | 檔案 | 屬性 |
|---|---|---|
| 地平線 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| 收藏家 | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
例如, 使用系統管理員 使用者,針對排除子網 192.168.x.x 和埠 9000 的 收集器 元件定義擷取篩選:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
重設所有擷取篩選
使用下列命令,將感測器重設為網路 x 用戶的預設擷取組態,並移除所有擷取篩選器。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter -p all -m all-connected |
沒有屬性 |
如果您想要修改現有的擷取篩選條件,請使用新的屬性值再次執行 先前的 命令。
若要使用 系統管理員 使用者重設所有擷取篩選,請再次執行 先前的 命令,並回應 N 所有 提示 來重設所有擷取篩選條件。
下列範例顯示 cyberx 使用者的命令語法和回應:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#
警示
觸發測試警示
使用下列命令來測試從感測器到管理控制台的連線能力和警示轉送,包括 Azure 入口網站、適用於IoT的Defender內部部署管理控制台或第三方 SIEM。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-trigger-test-alert |
沒有屬性 |
下列範例顯示 cyberx 使用者的命令語法和回應:
root@xsense:/# cyberx-xsense-trigger-test-alert
Triggering Test Alert...
Test Alert was successfully triggered.
OT 感測器的警示排除規則
下列命令支援 OT 感測器上的警示排除功能,包括顯示目前的排除規則、新增和編輯規則,以及刪除規則。
注意
您可以在內部部署管理控制臺上定義的警示排除規則覆寫 OT 感測器上定義的警示排除規則。
顯示目前警示排除規則
使用下列命令來顯示目前設定的排除規則清單。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | alerts exclusion-rule-list |
alerts exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| 網路x 或具有根存取權的系統管理員 | alerts cyberx-xsense-exclusion-rule-list |
alerts cyberx-xsense-exclusion-rule-list [-h] -n NAME [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
下列範例顯示系統管理員使用者的命令語法和回應:
root@xsense: alerts exclusion-rule-list
starting "/usr/local/bin/cyberx-xsense-exclusion-rule-list"
root@xsense:
建立新警示排除規則
使用下列命令,在您的感測器上建立本機警示排除規則。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-exclusion-rule-create |
cyberx-xsense-exclusion-rule-create [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
支援的屬性定義如下:
| 屬性 | 描述 |
|---|---|
-h, --help |
顯示說明訊息並結束。 |
[-n <NAME>], [--name <NAME>] |
定義規則的名稱。 |
[-ts <TIMES>] [--time_span <TIMES>] |
使用下列語法定義規則作用中的時間範圍: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
要排除的位址方向。 使用下列其中一個值:both、、 srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
使用下列語法排除的裝置地址或地址類型:ip-x.x.x.x、、 mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
依十六進位值排除的警示名稱。 例如:0x00000, 0x000001 |
下列範例顯示系統管理員使用者的命令語法和回應:
alerts exclusion-rule-create [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
修改建立警示排除規則
使用下列命令來修改感測器上現有的本機警示排除規則。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| 網路x 或具有根存取權的系統管理員 | exclusion-rule-append |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
支援的屬性定義如下:
| 屬性 | 描述 |
|---|---|
-h, --help |
顯示說明訊息並結束。 |
[-n <NAME>], [--name <NAME>] |
您要修改的規則名稱。 |
[-ts <TIMES>] [--time_span <TIMES>] |
使用下列語法定義規則作用中的時間範圍: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
要排除的位址方向。 使用下列其中一個值:both、、 srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
使用下列語法排除的裝置地址或地址類型:ip-x.x.x.x、、 mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
依十六進位值排除的警示名稱。 例如:0x00000, 0x000001 |
使用下列命令語法搭配 系統管理員 使用者:
alerts exclusion-rule-append [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]
刪除建立警示排除規則
使用下列命令來刪除感測器上現有的本機警示排除規則。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
| 網路x 或具有根存取權的系統管理員 | exclusion-rule-remove |
exclusion-rule-append [-h] [-n NAME] [-ts TIMES] [-dir DIRECTION] [-dev DEVICES] [-a ALERTS] |
支援的屬性定義如下:
| 屬性 | 描述 |
|---|---|
-h, --help |
顯示說明訊息並結束。 |
[-n <NAME>], [--name <NAME>] |
您要刪除的規則名稱。 |
[-ts <TIMES>] [--time_span <TIMES>] |
使用下列語法定義規則作用中的時間範圍: hh:mm-hh:mm, hh:mm-hh:mm |
[-dir <DIRECTION>], --direction <DIRECTION> |
要排除的位址方向。 使用下列其中一個值:both、、 srcdst |
[-dev <DEVICES>], [--devices <DEVICES>] |
使用下列語法排除的裝置地址或地址類型:ip-x.x.x.x、、 mac-xx:xx:xx:xx:xx:xxsubnet:x.x.x.x/x |
[-a <ALERTS>], --alerts <ALERTS> |
依十六進位值排除的警示名稱。 例如:0x00000, 0x000001 |
下列範例顯示系統管理員使用者的命令語法和回應:
alerts exclusion-rule-remove [-h] -n NAME [-ts TIMES] [-dir DIRECTION]
[-dev DEVICES] [-a ALERTS]