Referencia de los comandos de la CLI desde sensores de red de OT

En este artículo se enumeran los comandos de la CLI disponibles en los sensores de red de OT de Defender para IoT.

Requisitos previos

Para poder ejecutar cualquiera de los siguientes comandos de la CLI, necesitará acceso a la CLI en el sensor de red de OT como usuario con privilegios.

Aunque en este artículo se muestra la sintaxis de comandos para cada usuario, se recomienda usar el usuario administrador para todos los comandos de la CLI en los que se admita el usuario administrador .

Para más información, consulte Acceso a la CLI y Acceso de usuario con privilegios para la supervisión de OT.

Mantenimiento del dispositivo

Comprobación del estado de los servicios de supervisión de OT

Use los siguientes comandos para comprobar que la aplicación Defender para IoT del sensor de OT funciona correctamente, incluidos los procesos de análisis de tráfico y de la consola web.

Las comprobaciones de estado también están disponibles en la consola del sensor de OT. Para más información, consulte Solución de problemas con el sensor.

Usuario	Get-Help	Sintaxis completa del comando
admin	system sanity	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-sanity	Sin atributos

En el ejemplo siguiente se muestra la sintaxis y la respuesta del comando para el usuario administrador :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Reinicio de un dispositivo

Use los siguientes comandos para reiniciar el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	system reboot	Sin atributos
cyberx_host o administrador con acceso raíz	sudo reboot	Sin atributos

Por ejemplo, para el usuario administrador :

shell> system reboot

Apagado de un dispositivo

Use los siguientes comandos para apagar el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	system shutdown	Sin atributos
cyberx_host o administrador con acceso raíz	sudo shutdown -r now	Sin atributos

Por ejemplo, para el usuario administrador :

shell> system shutdown

Visualización de la versión de software instalada

Use los siguientes comandos para mostrar la versión de software de Defender para IoT instalada en el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	system version	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-version	Sin atributos

Por ejemplo, para el usuario administrador :

shell> system version
Version: 22.2.5.9-r-2121448

Visualización de la fecha y hora actuales del sistema

Use los siguientes comandos para mostrar la fecha y hora actuales del sistema en el sensor de red de OT, en formato GMT.

Usuario	Get-Help	Sintaxis completa del comando
admin	date	Sin atributos
cyberx o administrador con acceso raíz	date	Sin atributos
cyberx_host o administrador con acceso raíz	date	Sin atributos

Por ejemplo, para el usuario administrador :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Activación de la sincronización de la hora NTP

Use los siguientes comandos para activar la sincronización de la hora del dispositivo con un servidor NTP.

Para usar estos comandos, asegúrese de lo siguiente:

• Se puede acceder al servidor NTP desde el puerto de administración del dispositivo.
• Se usa el mismo servidor NTP para sincronizar todos los sensores y la consola de administración local.

Usuario	Get-Help	Sintaxis completa del comando
admin	ntp enable <IP address>	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-ntp-enable <IP address>	Sin atributos

En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que usa el puerto 123.

Por ejemplo, para el usuario administrador :

shell> ntp enable 129.6.15.28
shell>

Desactivación de la sincronización de la hora NTP

Use los siguientes comandos para desactivar la sincronización de la hora del dispositivo con un servidor NTP.

Usuario	Get-Help	Sintaxis completa del comando
admin	ntp disable <IP address>	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-ntp-disable <IP address>	Sin atributos

En estos comandos, <IP address> es la dirección IP de un servidor NTP IPv4 válido que usa el puerto 123.

Por ejemplo, para el usuario administrador :

shell> ntp disable 129.6.15.28
shell>

Copia de seguridad y restauración

En las secciones siguientes se describen los comandos de la CLI admitidos para realizar copias de seguridad y restaurar una instantánea del sistema del sensor de red de OT.

Los archivos de copia de seguridad incluyen una instantánea completa del estado del sensor, incluidos los valores de configuración, los valores de referencia, los datos de inventario y los registros.

Inicio de una copia de seguridad inmediata no programada

Use el siguiente comando para iniciar una copia de seguridad inmediata y no programada de los datos en el sensor de OT. Para más información, consulte Configuración de archivos de copia de seguridad y restauración.

Usuario	Get-Help	Sintaxis completa del comando
admin	system backup create	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-system-backup	Sin atributos

Por ejemplo, para el usuario administrador :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Enumeración de los archivos de copia de seguridad actuales

Use los siguientes comandos para enumerar los archivos de copia de seguridad almacenados actualmente en el sensor de red de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	system backup list	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-system-backup-list	Sin atributos

Por ejemplo, para el usuario administrador :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Restauración de datos a partir de la copia de seguridad más reciente

Use el siguiente comando para restaurar datos en el sensor de red de OT mediante el archivo de copia de seguridad más reciente. Cuando se le solicite, confirme que quiere continuar.

Usuario	Get-Help	Sintaxis completa del comando
admin	system restore	Sin atributos
cyberx o administrador con acceso raíz	cyberx-xsense-system-restore	-f <filename>

Por ejemplo, para el usuario administrador :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Visualización de la asignación de espacio en disco de la copia de seguridad

El siguiente comando enumera la asignación actual de espacio en disco de la copia de seguridad, incluidos los detalles siguientes:

• Ubicación de la carpeta de copia de seguridad
• Tamaño de la carpeta de copia de seguridad
• Limitaciones de la carpeta de copia de seguridad
• Hora de la última copia de seguridad
• Espacio libre en disco disponible para copias de seguridad

Usuario	Get-Help	Sintaxis completa del comando
admin	cyberx-backup-memory-check	Sin atributos

Por ejemplo, para el usuario administrador :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Administración de usuarios locales

Cambio de contraseñas de usuario locales

Use los siguientes comandos para cambiar las contraseñas de los usuarios locales en el sensor de OT. La nueva contraseña debe tener al menos 8 caracteres, contener minúsculas y mayúsculas, caracteres alfabéticos, números y símbolos.

Al cambiar la contraseña del administrador , la contraseña se cambia para el acceso ssh y web.

Usuario	Get-Help	Sintaxis completa del comando
admin	system password	<username>

En el ejemplo siguiente se muestra el cambio de contraseña del usuario administrador . La nueva contraseña no aparece en la pantalla al escribirla, asegúrese de escribir para anotarla y asegurarse de que está correctamente tipada cuando se le pida que vuelva a escribir la contraseña.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Configuración de red

Cambio de la configuración de la conexión en red o reasignación de los roles de interfaz de red

Use el siguiente comando para volver a ejecutar el asistente para la configuración del software de supervisión de OT; le ayudará a definir o volver a configurar la siguiente configuración del sensor de OT:

• Habilitación o deshabilitación de interfaces de supervisión de SPAN
• Configuración de la red para la interfaz de administración (IP, subred, puerta de enlace predeterminada, DNS)
• Asignación de un directorio de copia de seguridad

Usuario	Get-Help	Sintaxis completa del comando
admin	sudo dpkg-reconfigure iot-sensor	Sin atributos

Por ejemplo, con el usuario administrador :

shell> sudo dpkg-reconfigure iot-sensor

El asistente para la configuración se inicia automáticamente después de ejecutar este comando. Para obtener más información, consulte Instalación de software de supervisión de OT.

Validación y visualización de la configuración de la interfaz de red

Use los siguientes comandos para validar y mostrar la configuración de la interfaz de red actual en el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	network validate	Sin atributos

Por ejemplo, para el usuario administrador :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Comprobación de la conectividad de red desde el sensor de OT

Use el siguiente comando para enviar un mensaje de ping desde el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	ping <IP address>	Sin atributos
cyberx o administrador con acceso raíz	ping <IP address>	Sin atributos

En estos comandos, <IP address> es la dirección IP de un host de red IPv4 válido al que se accede desde el puerto de administración del sensor de OT.

Búsqueda de un puerto físico mediante luces de la interfaz parpadeantes

Use el siguiente comando para buscar una interfaz física específica haciendo que las luces de la interfaz parpadeen.

Usuario	Get-Help	Sintaxis completa del comando
admin	network blink <INT>	Sin atributos

En este comando, <INT> es un puerto Ethernet físico del dispositivo.

En el ejemplo siguiente se muestra que el usuario administrador parpadea en la interfaz eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Enumeración de las interfaces físicas conectadas

Use el siguiente comando para enumerar las interfaces físicas conectadas en el sensor de OT.

Usuario	Get-Help	Sintaxis completa del comando
admin	network list	Sin atributos
cyberx o administrador con acceso raíz	ifconfig	Sin atributos

Por ejemplo, para el usuario administrador :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtros de captura de tráfico

Para reducir el desgaste de las alertas y centrar la supervisión de la red en el tráfico de alta prioridad, puede decidir filtrar el tráfico que transmite a Defender para IoT en el origen. Los filtros de captura permiten bloquear el tráfico con ancho de banda elevado en la capa de hardware, lo que optimiza el rendimiento del dispositivo y el uso de los recursos.

Use listas de inclusión y exclusión para crear y configurar filtros de captura en los sensores de red de OT, asegurándose de que no bloquea el tráfico que desee supervisar.

El caso de uso básico para los filtros de captura usa el mismo filtro para todos los componentes de Defender para IoT. Sin embargo, para los casos de uso avanzados, es posible que desee configurar filtros independientes para cada uno de los siguientes componentes de Defender para IoT:

• horizon: captura datos de inspección profunda de paquetes (DPI).
• collector: captura datos de PCAP.
• traffic-monitor: captura las estadísticas de comunicación.

Creación de un filtro básico para todos los componentes

El método utilizado para configurar un filtro de captura básico difiere en función del usuario que realice el comando:

• Usuario cyberx: ejecute el comando especificado con atributos concretos para configurar el filtro de captura.
• usuario administrador : ejecute el comando especificado y, a continuación, escriba los valores que le solicite la CLI, editando las listas de inclusión y exclusión en un editor nano.

Use los siguientes comandos para crear un filtro de captura:

Usuario	Get-Help	Sintaxis completa del comando
admin	network capture-filter	Sin atributos.
cyberx o administrador con acceso raíz	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Los atributos admitidos para el usuario cyberx se definen de la siguiente manera:

Atributo	Descripción
-h, --help	Muestra el mensaje de ayuda y se cierra.
-i <INCLUDE>, --include <INCLUDE>	Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea incluir, donde <INCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Ejemplo de archivo de inclusión o exclusión.
-x EXCLUDE, --exclude EXCLUDE	Ruta de acceso a un archivo que contiene los dispositivos y máscaras de subred que desea excluir, donde <EXCLUDE> es la ruta de acceso al archivo. Por ejemplo, vea Ejemplo de archivo de inclusión o exclusión.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT>	Excluye el tráfico TCP en los puertos especificados, donde <EXCLUDE_TCP_PORT> define el puerto o los puertos que desea excluir. Delimite los distintos puertos con comas, sin espacios.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT>	Excluye el tráfico UDP en los puertos especificados, donde <EXCLUDE_UDP_PORT> define el puerto o los puertos que desea excluir. Delimite los distintos puertos con comas, sin espacios.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT>	Incluye el tráfico TCP en los puertos especificados, donde <INCLUDE_TCP_PORT> define el puerto o los puertos que desea incluir. Delimite los distintos puertos con comas, sin espacios.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT>	Incluye el tráfico UDP en los puertos especificados, donde <INCLUDE_UDP_PORT> define el puerto o los puertos que desea incluir. Delimite los distintos puertos con comas, sin espacios.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS>	Incluye el tráfico de VLAN por los identificadores de VLAN especificados, <INCLUDE_VLAN_IDS> define los identificadores de VLAN que desea incluir. Delimite los distintos identificadores de VLAN con comas, sin espacios.
-p <PROGRAM>, --program <PROGRAM>	Define el componente para el que desea configurar un filtro de captura. Use all en los casos de uso básicos para crear un único filtro de captura para todos los componentes. Para casos de uso avanzados, cree filtros de captura independientes para cada componente. Para más información, consulte Creación de un filtro avanzado para componentes específicos.
-m <MODE>, --mode <MODE>	Define un modo de lista de inclusión y solo procede cuando se usa una lista de inclusión. Utilice uno de los valores siguientes: - internal: incluye toda la comunicación entre el origen y el destino especificados. - all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos. Por ejemplo, para los puntos de conexión A y B, si usa el modo internal, el tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B. Sin embargo, si usa el modo all-connected, el tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.

Archivo de inclusión o exclusión de ejemplo

Por ejemplo, un archivo .txt de exclusión o inclusión podría contener las siguientes entradas:

192.168.50.10
172.20.248.1

Creación de un filtro de captura básico mediante el usuario administrador

Si va a crear un filtro de captura básico como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.

Responda a las indicaciones que se muestran de la siguiente manera:

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   Seleccione Y para abrir un nuevo archivo de inclusión donde agregar un dispositivo, un canal o una subred que desee incluir en el tráfico supervisado. El resto del tráfico, no incluido en el archivo de inclusión, no se ingerirá en Defender para IoT.

   El archivo de inclusión se abre en el editor de texto Nano. En el archivo de inclusión, defina los dispositivos, los canales y las subredes de la siguiente manera:

   Tipo	Descripción	Ejemplo
   Dispositivo	Defina un dispositivo por su dirección IP.	1.1.1.1 incluye todo el tráfico de este dispositivo.
   Canal	Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma.	1.1.1.1,2.2.2.2 incluye todo el tráfico de este canal.
   Subred	Defina una subred por su dirección de red.	1.1.1 incluye todo el tráfico de esta subred.

   Enumere varios argumentos en filas distintas.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   Seleccione Y para abrir un nuevo archivo de exclusión donde agregar un dispositivo, un canal o una subred que desee excluir del tráfico supervisado. El resto del tráfico, no incluido en el archivo de exclusión, se ingerirá en Defender para IoT.

   El archivo de exclusión se abre en el editor de texto Nano. En el archivo de exclusión, defina los dispositivos, los canales y las subredes de la siguiente manera:

   Tipo	Descripción	Ejemplo
   Dispositivo	Defina un dispositivo por su dirección IP.	1.1.1.1 excluye todo el tráfico de este dispositivo.
   Canal	Defina un canal por las direcciones IP de sus dispositivos de origen y destino, separados por una coma.	1.1.1.1,2.2.2.2 excluye todo el tráfico entre estos dispositivos.
   Canal por puerto	Defina un canal por las direcciones IP de sus dispositivos de origen y destino, y el puerto para el tráfico.	1.1.1.1,2.2.2.2,443 excluye todo el tráfico entre estos dispositivos y el uso del puerto especificado.
   Subred	Defina una subred por su dirección de red.	1.1.1 excluye todo el tráfico de esta subred.
   Canal de subred	Defina las direcciones de red del canal de subred para las subredes de origen y de destino.	1.1.1,2.2.2 excluye todo el tráfico entre estas subredes.

   Enumere varios argumentos en filas distintas.

3. Responda a las siguientes indicaciones para definir los puertos TCP o UDP que se van a incluir o excluir. Separe los puertos por comas y presione ENTRAR para omitir cualquier solicitud específica.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   Por ejemplo, escriba varios puertos de la manera siguiente: 502,443.

4. In which component do you wish to apply this capture filter?

   Escriba all para un filtro de captura básico. Para casos de uso avanzados, cree filtros de captura para cada componente de Defender para IoT.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   Este aviso permite configurar el tráfico del ámbito. Defina si desea recopilar el tráfico de los dos puntos de conexión dentro del ámbito o de solo uno de ellos que esté en la subred especificada. Los valores admitidos son:

   • internal: incluye toda la comunicación entre el origen y el destino especificados.
   • all-connected: incluye toda la comunicación entre cualquiera de los puntos de conexión especificados y los puntos de conexión externos.

   Por ejemplo, para los puntos de conexión A y B, si usa el modo internal, el tráfico incluido solo incluirá las comunicaciones entre los puntos de conexión A y B.
   Sin embargo, si usa el modo all-connected, el tráfico incluido incluirá todas las comunicaciones entre A o B y otros puntos de conexión externos.

   El modo predeterminado es internal. Para usar el modo all-connected, seleccione Y en la indicación y escriba all-connected.

En el ejemplo siguiente se muestra una serie de mensajes para crear un filtro de captura donde se excluya la subred 192.168.x.x y el puerto 9000:.

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Creación de un filtro avanzado para componentes específicos

Al configurar filtros de captura avanzados para componentes específicos, puede usar los archivos de inclusión y exclusión iniciales como referencia, una plantilla o un filtro de captura. A continuación, configure otros filtros para cada componente partiendo de las referencias, según proceda.

Para crear un filtro de captura para cada componente, asegúrese de repetir todo el proceso con cada uno.

Usuario	Get-Help	Sintaxis completa del comando
admin	network capture-filter	Sin atributos.
cyberx o administrador con acceso raíz	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Los siguientes atributos adicionales se usan para que el usuario cyberx cree filtros de captura para cada componente por separado:

Atributo	Descripción
-p <PROGRAM>, --program <PROGRAM>	Define el componente para el que desea configurar un filtro de captura, donde <PROGRAM> tiene los siguientes valores admitidos: - traffic-monitor - collector - horizon - all: crea un único filtro de captura para todos los componentes. Para más información, consulte Creación de un filtro básico para todos los componentes.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON>	Define un filtro de captura de referencia para el componente horizon, donde <BASE_HORIZON> es el filtro que desea usar. Valor predeterminado: "".
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR	Define un filtro de captura de referencia para el componente traffic-monitor. Valor predeterminado: "".
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR	Define un filtro de captura de referencia para el componente collector. Valor predeterminado: "".

Otros valores de atributo tienen las mismas descripciones que en el caso de uso básico, que se describió anteriormente.

Creación de un filtro de captura avanzado mediante el usuario administrador

Si va a crear un filtro de captura para cada componente por separado como usuario administrador , no se pasan atributos en el comando original. En su lugar, se muestra una serie de mensajes para ayudarle a crear el filtro de captura de forma interactiva.

La mayoría de las solicitudes son idénticas a las del caso de uso básico. Responda a estas indicaciones adicionales de la siguiente manera:

1. In which component do you wish to apply this capture filter?

   Escriba uno de los valores siguientes, según el componente que desee filtrar:

   • horizon
   • traffic-monitor
   • collector

2. Se le pedirá que configure un filtro de captura de referencia personalizado para el componente seleccionado. Esta opción usa el filtro de captura que configuró en los pasos anteriores como referencia o plantilla donde agregar configuraciones adicionales partiendo de ella.

   Por ejemplo, si ha seleccionado configurar un filtro de captura para el componente collector en el paso anterior, se le pedirá Would you like to supply a custom base capture filter for the collector component? [Y/N]:.

   Escriba Y para personalizar la plantilla para el componente especificado o N para usar el filtro de captura que configurara anteriormente tal cual.

Continúe con los mensajes restantes, como en el caso de uso básico.

Enumeración de los filtros de captura actuales para componentes específicos

Use los siguientes comandos para mostrar los detalles de los filtros de captura actuales configurados para el sensor.

Usuario	Get-Help	Sintaxis completa del comando
admin	Use los siguientes comandos para ver los filtros de captura de cada componente: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties	Sin atributos
cyberx o administrador con acceso raíz	Use los siguientes comandos para ver los filtros de captura de cada componente: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties	Sin atributos

Estos comandos abren los siguientes archivos, que enumeran los filtros de captura configurados para cada componente:

Nombre	Archivo	Propiedad
horizon (horizonte)	/var/cyberx/properties/horizon.properties	horizon.processor.filter
traffic-monitor	/var/cyberx/properties/traffic-monitor.properties	horizon.processor.filter
recopilador	/var/cyberx/properties/dumpark.properties	dumpark.network.filter

Por ejemplo, con el usuario administrador, con un filtro de captura definido para el componente del recopilador que excluye la subred 192.168.x.x y el puerto 9000:

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Restablecimiento de todos los filtros de captura

Use el siguiente comando para restablecer el sensor a la configuración de captura predeterminada con el usuario cyberx y eliminar todos los filtros de captura.

Usuario	Get-Help	Sintaxis completa del comando
cyberx o administrador con acceso raíz	cyberx-xsense-capture-filter -p all -m all-connected	Sin atributos

Si desea modificar los filtros de captura existentes, vuelva a ejecutar el comando anterior, con nuevos valores de atributo.

Para restablecer todos los filtros de captura mediante el usuario administrador, vuelva a ejecutar el comando anterior y responda N a todas las indicaciones para restablecer todos los filtros de captura.

En el ejemplo siguiente se muestra la sintaxis del comando y la respuesta para el usuario cyberx:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Pasos siguientes