Freigeben über


CLI-Befehlsreferenz für OT-Netzwerksensoren

In diesem Artikel werden die CLI-Befehle aufgeführt, die für OT-Netzwerksensoren von Defender for IoT verfügbar sind.

Achtung

Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter für den OT-Netzwerksensor und die lokale Verwaltungskonsole unterstützt. Nehmen Sie keine Änderungen an nicht dokumentierten Konfigurationsparametern oder Systemeigenschaften vor, da Änderungen zu unerwartetem Verhalten und zu Systemfehlern führen können.

Das Entfernen von Paketen aus Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.

Voraussetzungen

Damit Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie als privilegierter Benutzer Zugriff auf die CLI Ihres OT-Netzwerksensors.

Während in diesem Artikel die Befehlssyntax für jeden Benutzer aufgeführt wird, empfehlen wir die Verwendung des Administratorbenutzers für alle CLI-Befehle, in denen der Administratorbenutzer unterstützt wird.

Weitere Informationen finden Sie unter Zugreifen auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.

Appliancewartung

Überprüfen der Integrität der OT-Überwachungsdienste

Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender for IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.

Integritätsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung beim Sensor.

User Get-Help Vollständige Befehlssyntax
admin system sanity Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-sanity Keine Attribute

Das folgende Beispiel zeigt die Befehlssyntax und die Antwort für den Administratorbenutzer :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Neustarten einer Appliance

Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance neu zu starten:

User Get-Help Vollständige Befehlssyntax
admin system reboot Keine Attribute
cyberx_host oder Administrator mit Stammzugriff sudo reboot Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> system reboot

Herunterfahren einer Appliance

Verwenden Sie die folgenden Befehle, um die OT-Sensorappliance herunterzufahren:

User Get-Help Vollständige Befehlssyntax
admin system shutdown Keine Attribute
cyberx_host oder Administrator mit Stammzugriff sudo shutdown -r now Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> system shutdown

Anzeigen der installierten Softwareversion

Verwenden Sie die folgenden Befehle, um die auf Ihrem OT-Sensor installierte Defender for IoT-Softwareversion aufzuführen:

User Get-Help Vollständige Befehlssyntax
admin system version Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-version Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> system version
Version: 22.2.5.9-r-2121448

Anzeigen des aktuellen Systemdatums/der aktuellen Systemzeit

Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Systemzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen:

User Get-Help Vollständige Befehlssyntax
admin date Keine Attribute
Cyberx oder Administrator mit Stammzugriff date Keine Attribute
cyberx_host oder Administrator mit Stammzugriff date Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Aktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu aktivieren:

Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:

  • Der NTP-Server kann über den Applianceverwaltungsport erreicht werden.
  • Sie verwenden denselben NTP-Server, um alle Sensorappliances und die lokale Verwaltungskonsole zu synchronisieren.
User Get-Help Vollständige Befehlssyntax
admin ntp enable <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-ntp-enable <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.

Beispiel: Für den Administratorbenutzer :

shell> ntp enable 129.6.15.28
shell>

Deaktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliancezeit mit einem NTP-Server zu deaktivieren:

User Get-Help Vollständige Befehlssyntax
admin ntp disable <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-ntp-disable <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-NTP-Servers mit Port 123.

Beispiel: Für den Administratorbenutzer :

shell> ntp disable 129.6.15.28
shell>

Sichern und Wiederherstellen

In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen einer Systemmomentaufnahme Ihres OT-Netzwerksensors unterstützt werden.

Sicherungsdateien enthalten eine vollständige Momentaufnahme des Sensorzustands, einschließlich Konfigurationseinstellungen, Baselinewerten, Bestandsdaten und Protokollen.

Achtung

Unterbrechen Sie einen Systemsicherungs- oder Wiederherstellungsvorgang nicht, da dies dazu führen kann, dass das System nicht mehr verwendet werden kann.

Starten einer sofortigen, nicht geplanten Sicherung

Verwenden Sie den folgenden Befehl, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.

Achtung

Stellen Sie sicher, dass die Appliance beim Sichern von Daten nicht beendet oder ausgeschaltet wird.

User Get-Help Vollständige Befehlssyntax
admin system backup create Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-backup Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Auflisten der aktuellen Sicherungsdateien

Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit in Ihrem OT-Netzwerksensor gespeichert sind:

User Get-Help Vollständige Befehlssyntax
admin system backup list Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-backup-list Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Wiederherstellen von Daten aus der letzten Sicherung

Verwenden Sie den folgenden Befehl, um Daten auf Ihrem OT-Netzwerksensor mithilfe der neuesten Sicherungsdatei wiederherzustellen. Bestätigen Sie bei Aufforderung, dass Sie den Vorgang fortsetzen möchten.

Achtung

Stellen Sie sicher, dass die Appliance beim Wiederherstellen von Daten nicht beendet oder ausgeschaltet wird.

User Get-Help Vollständige Befehlssyntax
admin system restore Keine Attribute
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-system-restore -f <filename>

Beispiel: Für den Administratorbenutzer :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Anzeigen der Speicherbelegung auf dem Sicherungsdatenträger

Der folgende Befehl listet die aktuelle Speicherbelegung auf dem Sicherungsdatenträger auf, einschließlich der folgenden Details:

  • Speicherort des Ordners
  • Größe des Sicherungsordners
  • Einschränkungen des Sicherungsordners
  • Zeitpunkt des letzten Sicherungsvorgangs
  • Für Sicherungen verfügbarer freier Speicherplatz
User Get-Help Vollständige Befehlssyntax
admin cyberx-backup-memory-check Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Lokale Benutzerverwaltung

Ändern der Kennwörter von lokalen Benutzern

Verwenden Sie die folgenden Befehle, um Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern. Das neue Kennwort muss mindestens 8 Zeichen lang sein, enthält Klein- und Großbuchstaben, alphabetische Zeichen, Zahlen und Symbole.

Wenn Sie das Kennwort für den Administrator ändern, wird das Kennwort sowohl für SSH als auch für den Webzugriff geändert.

User Get-Help Vollständige Befehlssyntax
admin system password <username>

Das folgende Beispiel zeigt das Ändern des Kennworts durch den Administratorbenutzer . Das neue Kennwort wird beim Eingeben nicht auf dem Bildschirm angezeigt, stellen Sie sicher, dass Sie schreiben, um eine Notiz davon zu erstellen, und stellen Sie sicher, dass es korrekt eingegeben wird, wenn Sie aufgefordert werden, das Kennwort erneut einzugeben.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Netzwerkkonfiguration

Ändern der Netzwerkkonfiguration oder erneutes Zuweisen von Netzwerkschnittstellenrollen

Verwenden Sie den folgenden Befehl, um den Assistenten zur Konfiguration der OT-Überwachungssoftware erneut auszuführen, mit dem Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:

  • Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
  • Konfigurieren von Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
  • Zuweisen eines Sicherungsverzeichnisses
User Get-Help Vollständige Befehlssyntax
admin sudo dpkg-reconfigure iot-sensor Keine Attribute

Beispiel: Mit dem Administratorbenutzer :

shell> sudo dpkg-reconfigure iot-sensor

Der Konfigurations-Assistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.

Überprüfen und Anzeigen der Netzwerkschnittstellenkonfiguration

Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu überprüfen und anzuzeigen:

User Get-Help Vollständige Befehlssyntax
admin network validate Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Überprüfen der Netzwerkkonnektivität über den OT-Sensor

Verwenden Sie den folgenden Befehl, um eine Pingnachricht vom OT-Sensor zu senden.

User Get-Help Vollständige Befehlssyntax
admin ping <IP address> Keine Attribute
Cyberx oder Administrator mit Stammzugriff ping <IP address> Keine Attribute

In diesen Befehlen ist <IP address> die IP-Adresse eines gültigen IPv4-Netzwerkhosts, auf den über den Verwaltungsport Ihres OT-Sensors zugegriffen werden kann.

Ermitteln eines physischen Ports mithilfe blinkender Schnittstellenleuchten

Verwenden Sie den folgenden Befehl, um nach einer bestimmten physischen Schnittstelle zu suchen, indem Sie ein Blinken der Schnittstellenleuchten verursachen.

User Get-Help Vollständige Befehlssyntax
admin network blink <INT> Keine Attribute

In diesem Befehl ist <INT> ein physischer Ethernet-Port auf der Appliance.

Das folgende Beispiel zeigt den Administratorbenutzer , der die Eth0-Schnittstelle blinkt:

shell> network blink eth0
Blinking interface for 20 seconds ...

Auflisten verbundener physischer Schnittstellen

Verwenden Sie den folgenden Befehl, um die verbundenen physischen Schnittstellen auf Ihrem OT-Sensor auflisten.

User Get-Help Vollständige Befehlssyntax
admin network list Keine Attribute
Cyberx oder Administrator mit Stammzugriff ifconfig Keine Attribute

Beispiel: Für den Administratorbenutzer :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filter für die Datenverkehrserfassung

Um Warnungsermüdung zu reduzieren und Ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle bei Defender for IoT eingeht. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf Hardwareebene blockieren und so sowohl die Leistung der Appliance als auch die Ressourcennutzung optimieren.

Verwenden Sie Einschluss- und/oder Ausschlusslisten, um Erfassungsfilter für Ihre OT-Netzwerksensoren zu erstellen und konfigurieren. Stellen Sie sicher, dass Sie den zu überwachenden Datenverkehr nicht blockieren.

Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender for IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender for IoT-Komponenten konfigurieren:

  • horizon: Erfasst DPI-Daten (Deep Packet Inspection, eingehende Paketuntersuchung)
  • collector: Erfasst PCAP-Daten
  • traffic-monitor: Erfasst Kommunikationsstatistiken

Hinweis

  • Erfassungsfilter gelten nicht für Defender for IoT-Schadsoftwarewarnungen, die für den gesamten erkannten Netzwerkdatenverkehr ausgelöst werden.

  • Der Befehl capture filter hat einen Grenzwert für die Zeichenlänge, der sich nach der Komplexität der Definition des Erfassungsfilters und den verfügbaren Fähigkeiten der Netzwerkkarte richtet. Wenn Ihr angeforderter Filterbefehl fehlschlägt, versuchen Sie, Subnetze in größeren Bereichen zu gruppieren und einen kürzeren Erfassungsfilterbefehl zu verwenden.

Erstellen eines einfachen Filters für alle Komponenten

Die zum Konfigurieren eines einfachen Erfassungsfilters verwendete Methode unterscheidet sich je nach Benutzer, der den Befehl ausführt:

  • Benutzer cyberx: Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um den Erfassungsfilter zu konfigurieren.
  • Administratorbenutzer : Führen Sie den angegebenen Befehl aus, und geben Sie dann Werte ein, wie sie von der CLI aufgefordert werden, und bearbeiten Sie Ihre Listen in einem Nano-Editor, und schließen Sie sie aus.

Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:

User Get-Help Vollständige Befehlssyntax
admin network capture-filter Keine Attribute.
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Unterstützte Attribute für den Benutzer cyberx sind wie folgt definiert:

attribute BESCHREIBUNG
-h, --help Zeigt die Hilfemeldung an; dann wird der Vorgang beendet.
-i <INCLUDE>, --include <INCLUDE> Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie einschließen möchten, wobei <INCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei.
-x EXCLUDE, --exclude EXCLUDE Der Pfad zu einer Datei, die die Geräte und Subnetzmasken enthält, die Sie ausschließen möchten, wobei <EXCLUDE> der Pfad zur Datei ist. Weitere Informationen finden Sie beispielsweise unter Beispiel: Einschluss- oder Ausschlussdatei.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Schließt TCP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_TCP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Schließt UDP-Datenverkehr an allen angegebenen Ports aus, wobei <EXCLUDE_UDP_PORT> die Ports definiert, die Sie ausschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Schließt TCP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_TCP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Schließt UDP-Datenverkehr an allen angegebenen Ports ein, wobei <INCLUDE_UDP_PORT> die Ports definiert, die Sie einschließen möchten. Trennen Sie mehrere Ports durch Komma ohne Leerzeichen.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Schließt VLAN-Datenverkehr anhand der angegebenen VLAN-IDs ein. <INCLUDE_VLAN_IDS> definiert die VLAN-IDs, die Sie einschließen möchten. Trennen Sie mehrere VLAN-IDs durch Komma ohne Leerzeichen.
-p <PROGRAM>, --program <PROGRAM> Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten. Verwenden Sie all für einfache Anwendungsfälle, um einen einzelnen Erfassungsfilter für alle Komponenten zu erstellen.

Erstellen Sie für erweiterte Anwendungsfälle separate Erfassungsfilter für die einzelnen Komponenten. Weitere Informationen finden Sie unter Erstellen eines erweiterten Filters für bestimmte Komponenten.
-m <MODE>, --mode <MODE> Definiert einen Einschlusslistenmodus und ist nur relevant, wenn eine Einschlussliste verwendet wird. Verwenden Sie einen der folgenden Werte:

- internal: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel
- all-connected: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.

Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.

Beispiel: Einschluss- oder Ausschlussdatei

Eine Einschluss- oder Ausschlussdatei .txt kann beispielsweise die folgenden Einträge beinhalten:

192.168.50.10
172.20.248.1

Erstellen eines einfachen Erfassungsfilters mithilfe des Administratorbenutzers

Wenn Sie einen einfachen Erfassungsfilter als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Antworten Sie wie folgt auf die angezeigten Eingabeaufforderungen:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Wählen Sie Y aus, um eine neue Einschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie in den überwachten Datenverkehr einschließen möchten. Jeder andere Datenverkehr, der nicht in der Einschlussdatei aufgeführt ist, wird nicht in Defender for IoT erfasst.

    Die Einschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Einschlussdatei wie folgt Geräte, Kanäle und Subnetze:

    type Beschreibung Beispiel
    Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1 schließt den gesamten Datenverkehr für dieses Gerät ein.
    Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2 schließt den gesamten Datenverkehr für diesen Kanal ein.
    Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1 schließt den gesamten Datenverkehr für dieses Subnetz ein.

    Listen Sie mehrere Argumente in separaten Zeilen auf.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Wählen Sie Y aus, um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das bzw. den Sie aus dem überwachten Datenverkehr ausschließen möchten. Jeder andere Datenverkehr, der nicht in der Ausschlussdatei aufgeführt ist, wird in Defender for IoT erfasst.

    Die Ausschlussdatei wird im Nano-Text-Editor geöffnet. Definieren Sie in der Ausschlussdatei wie folgt Geräte, Kanäle und Subnetze:

    type Beschreibung Beispiel
    Device Definieren Sie ein Gerät anhand seiner IP-Adresse. 1.1.1.1 schließt den gesamten Datenverkehr für dieses Gerät aus.
    Kanal Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma. 1.1.1.1,2.2.2.2 schließt den gesamten Datenverkehr zwischen diesen Geräten aus.
    Kanal nach Port Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte sowie den Datenverkehrsport. 1.1.1.1,2.2.2.2,443 schließt den gesamten Datenverkehr zwischen diesen Geräten und unter Verwendung des angegebenen Ports aus.
    Subnetz Definieren Sie ein Subnetz anhand seiner Netzwerkadresse. 1.1.1 schließt den gesamten Datenverkehr für dieses Subnetz aus.
    Subnetzkanal Definieren Sie die Netzwerkadressen des Subnetzkanals für die Quell- und Zielsubnetze. 1.1.1,2.2.2 schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.

    Listen Sie mehrere Argumente in separaten Zeilen auf.

  3. Antworten Sie auf die folgenden Aufforderungen, um TCP- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Komma, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Geben Sie mehrere Ports beispielsweise wie folgt an: 502,443.

  4. In which component do you wish to apply this capture filter?

    Geben Sie all für einen einfachen Erfassungsfilter ein. Erstellen Sie für erweiterte Anwendungsfälle separat Erfassungsfilter für die einzelnen Defender for IoT-Komponenten.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Mit dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Gültigkeitsbereich befindet. Legen Sie fest, ob Sie Datenverkehr sammeln möchten, wenn sich beide Endpunkte im Gültigkeitsbereich befinden oder wenn sich nur einer davon im angegebenen Subnetz befindet. Unterstützte Werte sind:

    • internal: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem angegebenen Ziel
    • all-connected: Umfasst die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten.

    Wenn Sie beispielsweise den Modus internal für die Endpunkte A und B verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
    Wenn Sie den Modus all-connected verwenden, umfasst der eingeschlossene Datenverkehr hingegen die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.

    Der Standardmodus ist internal. Um den Modus all-connected zu verwenden, wählen Sie Y an der Eingabeaufforderung aus, und geben Sie dann all-connected ein.

Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, die einen Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x und Port 9000: erstellen.

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Erstellen eines erweiterten Filters für bestimmte Komponenten

Beim Konfigurieren von erweiterten Erfassungsfiltern für bestimmte Komponenten können Sie Ihre anfänglichen Ein- und Ausschlussdateien als Basis- oder Vorlagenerfassungsfilter verwenden. Konfigurieren Sie dann zusätzlich zum Basisfilter ggf. weitere Filter für die einzelnen Komponenten.

Um einen Erfassungsfilter für die einzelnen Komponente zu erstellen, müssen Sie den gesamten Prozess für die einzelnen Komponenten wiederholen.

Hinweis

Wenn Sie verschiedene Erfassungsfilter für verschiedene Komponenten erstellt haben, wird die Modusauswahl für alle Komponenten verwendet. Das Definieren des Erfassungsfilters für eine Komponente als internal und des Erfassungsfilters für eine andere Komponente als all-connected wird nicht unterstützt.

User Get-Help Vollständige Befehlssyntax
admin network capture-filter Keine Attribute.
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Die folgenden zusätzlichen Attribute werden für den Benutzer cyberx verwendet, um Erfassungsfilter für die einzelnen Komponenten separat zu erstellen:

attribute BESCHREIBUNG
-p <PROGRAM>, --program <PROGRAM> Definiert die Komponente, für die Sie einen Erfassungsfilter konfigurieren möchten, wobei <PROGRAM> die folgenden unterstützten Werte hat:
- traffic-monitor
- collector
- horizon
- all: Erstellt einen einzelnen Erfassungsfilter für alle Komponenten. Weitere Informationen finden Sie unter Erstellen eines einfachen Filters für alle Komponenten.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Definiert einen Basiserfassungsfilter für die Komponente horizon. Dabei ist <BASE_HORIZON> der Filter, den Sie verwenden möchten.
Standardwert = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Definiert einen Basiserfassungsfilter für die Komponente traffic-monitor.
Standardwert = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Definiert einen Basiserfassungsfilter für die Komponente collector.
Standardwert = ""

Andere Attributwerte weisen die gleichen Beschreibungen auf wie im zuvor beschriebenen einfachen Anwendungsfall.

Erstellen eines erweiterten Erfassungsfilters mithilfe des Administratorbenutzers

Wenn Sie einen Aufnahmefilter für jede Komponente separat als Administratorbenutzer erstellen, werden keine Attribute im ursprünglichen Befehl übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Die meisten Eingabeaufforderungen sind mit denen für den einfachen Anwendungsfall identisch. Reagieren Sie auf die folgenden zusätzlichen Eingabeaufforderungen wie folgt:

  1. In which component do you wish to apply this capture filter?

    Geben Sie je nach der zu filternden Komponente einen der folgenden Werte ein:

    • horizon
    • traffic-monitor
    • collector
  2. Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Diese Option verwendet den Erfassungsfilter, den Sie in den vorherigen Schritten als Basis oder Vorlage konfiguriert haben, und Sie können zusätzlich zur Basis weitere Konfigurationen hinzufügen.

    Wenn Sie beispielsweise im vorherigen Schritt das Konfigurieren eines Erfassungsfilters für die Komponente collector ausgewählt haben, wird folgende Eingabeaufforderung angezeigt: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Geben Sie Y ein, um die Vorlage für die angegebene Komponente anzupassen, oder N, um den zuvor konfigurierten Erfassungsfilter unverändert zu verwenden.

Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im einfachen Anwendungsfall fort.

Auflisten der aktuellen Erfassungsfilter für bestimmte Komponenten

Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.

User Get-Help Vollständige Befehlssyntax
admin Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen:

- horizon: edit-config horizon_parser/horizon.properties
- traffic-monitor: edit-config traffic_monitor/traffic-monitor
- collector: edit-config dumpark.properties
Keine Attribute
Cyberx oder Administrator mit Stammzugriff Verwenden Sie die folgenden Befehle, um die Erfassungsfilter für die einzelnen Komponenten anzuzeigen:

-horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector: nano /var/cyberx/properties/dumpark.properties
Keine Attribute

Mit diesen Befehlen werden die folgenden Dateien geöffnet, in denen die Erfassungsfilter aufgelistet werden, die für die einzelnen Komponenten konfiguriert sind:

Name Datei Eigenschaft
horizon /var/cyberx/properties/horizon.properties horizon.processor.filter
traffic-monitor /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
Sammlung /var/cyberx/properties/dumpark.properties dumpark.network.filter

Beispiel: mit dem Administratorbenutzer, mit einem für die Sammlungskomponente definierten Aufnahmefilter, der Subnetz 192.168.x.x und Port 9000 ausschließt:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Zurücksetzen aller Erfassungsfilter

Verwenden Sie den folgenden Befehl, um Ihren Sensor auf die Standarderfassungskonfiguration mit dem Benutzer cyberx zurückzusetzen und alle Erfassungsfilter zu entfernen:

User Get-Help Vollständige Befehlssyntax
Cyberx oder Administrator mit Stammzugriff cyberx-xsense-capture-filter -p all -m all-connected Keine Attribute

Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den vorherigen Befehl erneut mit neuen Attributwerten aus.

Um alle Aufnahmefilter mithilfe des Administratorbenutzers zurückzusetzen, führen Sie den früheren Befehl erneut aus, und reagieren Sie auf N alle Eingabeaufforderungen , um alle Aufnahmefilter zurückzusetzen.

Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Benutzer cyberx:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Nächste Schritte