이 문서에는 Defender for IoT OT 네트워크 센서에서 사용할 수 있는 CLI 명령이 나열되어 있습니다.
주의
OT 네트워크 센서의 문서화된 구성 매개 변수만 고객 구성에 지원됩니다. 변경으로 인해 예기치 않은 동작과 시스템 오류가 발생할 수 있으므로 문서화되지 않은 구성 매개 변수 또는 시스템 속성을 변경하지 마세요.
Microsoft 승인 없이 센서에서 패키지를 제거하면 예기치 않은 결과가 발생할 수 있습니다. 센서에 설치된 모든 패키지는 올바른 센서 기능에 필요합니다.
필수 조건
다음 CLI 명령을 실행하려면 먼저 권한 있는 사용자로 OT 네트워크 센서의 CLI에 액세스해야 합니다.
이 문서에서는 각 사용자에 대한 명령 구문을 나열하지만 관리자 사용자가 지원되는 모든 CLI 명령에 대해 관리자 사용자를 사용하는 것이 좋습니다.
자세한 내용은 CLI 액세스 및 OT 모니터링을 위한 권한 있는 사용자 액세스를 참조하세요.
사용 가능한 명령 목록
| 카테고리 | 명령어 |
|---|---|
| 환경 설정 | 환경 설정 |
| 시스템 | 백업 날짜 호스트 이름 NTP 비밀번호 재부팅 온전성 쉘 종료 syslog 버전 |
| 네트워크 |
깜박임 capture-filter list ping reconfigure statistics validate |
범주의 명령 나열
범주의 명령을 나열하려면 을 입력합니다 help. 다음은 그 예입니다.
shell> help
config:
network:
system:
shell> help system
backup:
date:
ntp:
셸 및 범주 수준의 명령
셸 또는 범주 수준에서 명령을 입력할 수 있습니다.
셸 수준에서 category<>명령<>매개 변수를< 입력합니다>.
또는 범주<를 >입력하고 Enter 키를 누릅니다. 셸이 범주 이름으로 변경된 다음 command<>매개 변수를< 입력합니다>. 다음은 그 예입니다.
shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable
기기 유지 보수
OT 모니터링 서비스 상태 확인
다음 명령을 사용하여 웹 콘솔 및 트래픽 분석 프로세스를 포함하여 OT 센서의 Defender for IoT 애플리케이션이 올바르게 작동하는지 확인합니다.
상태 검사는 OT 센서 콘솔에서도 사용할 수 있습니다. 자세한 내용은 센서 문제 해결을 참조하세요.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system sanity |
속성 없음 |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-sanity |
속성 없음 |
다음 예는 admin 사용자에 대한 명령 구문 및 응답을 보여줍니다.
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
어플라이언스 다시 시작
다음 명령을 사용하여 OT 센서 어플라이언스를 다시 시작합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system reboot |
속성 없음 |
| cyberx_host 또는 루트 액세스 권한이 있는 관리자 | sudo reboot |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system reboot
어플라이언스 종료
다음 명령을 사용하여 OT 센서 어플라이언스를 종료합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system shutdown |
속성 없음 |
| cyberx_host 또는 루트 액세스 권한이 있는 관리자 | sudo shutdown -r now |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system shutdown
설치된 소프트웨어 버전 표시
다음 명령을 사용하여 OT 센서에 설치된 Defender for IoT 소프트웨어 버전을 나열합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system version |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-version |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system version
Version: 22.2.5.9-r-2121448
현재 시스템 날짜/시간 표시
다음 명령을 사용하여 OT 네트워크 센서의 현재 시스템 날짜 및 시간을 GMT 형식으로 표시합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system date |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | date |
속성 없음 |
| cyberx_host 또는 루트 액세스 권한이 있는 관리자 | date |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>
NTP 시간 동기화 켜기
다음 명령을 사용하여 NTP 서버와의 어플라이언스 시간에 대한 동기화를 켭니다.
이러한 명령을 사용하려면 다음을 확인합니다.
- NTP 서버는 어플라이언스 관리 포트에서 연결할 수 있습니다
- 동일한 NTP 서버를 사용하여 모든 센서 어플라이언스를 동기화합니다
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system ntp enable <IP address> |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-ntp-enable <IP address> |
속성 없음 |
이러한 명령 <IP address> 에서는 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system ntp enable 129.6.15.28
NTP 시간 동기화 끄기
다음 명령을 사용하여 NTP 서버와의 어플라이언스 시간에 대한 동기화를 끕니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system ntp disable <IP address> |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-ntp-disable <IP address> |
속성 없음 |
이러한 명령 <IP address> 에서는 포트 123을 사용하는 유효한 IPv4 NTP 서버의 IP 주소입니다.
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system ntp disable 129.6.15.28
백업 및 복원
다음 섹션에서는 OT 네트워크 센서의 시스템 스냅샷을 백업하고 복원하는 데 지원되는 CLI 명령에 대해 설명합니다.
백업 파일에는 구성 설정, 기준 값, 인벤토리 데이터 및 로그를 포함한 센서 상태의 전체 스냅샷이 포함됩니다.
주의
시스템 백업 또는 복원 작업을 중단하면 시스템을 사용할 수 없게 될 수 있으므로 중단하지 마십시오.
예정되지 않은 즉각적인 백업 시작
다음 명령을 사용하여 OT 센서에서 데이터의 즉각적이고 예약되지 않은 백업을 시작합니다. 자세한 내용은 백업 및 복원 파일 설정을 참조하세요.
주의
데이터를 백업하는 동안 어플라이언스를 중지하거나 전원을 끄지 마십시오.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system backup create |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-system-backup |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
현재 백업 파일 나열
다음 명령을 사용하여 현재 OT 네트워크 센서에 저장된 백업 파일을 나열합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system backup list |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-system-backup-list |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
가장 최근 백업에서 데이터 복원
다음 명령을 사용하여 최신 백업 파일을 사용하여 OT 네트워크 센서의 데이터를 복원합니다. 메시지가 표시되면 계속 진행할 것인지 확인합니다.
주의
데이터를 복원하는 동안 기기를 중지하거나 전원을 끄지 마십시오.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system restore |
속성 없음 |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-system-restore |
-f
<filename>
|
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
백업 디스크 공간 할당을 표시합니다
다음 명령은 다음 세부 정보를 포함하여 현재 백업 디스크 공간 할당을 나열합니다.
- 백업 폴더 위치
- 백업 폴더 크기
- 백업 폴더 제한 사항
- 마지막 백업 작업 시간
- 백업에 사용할 수 있는 여유 디스크 공간
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | cyberx-backup-memory-check |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
로컬 사용자 관리
로컬 사용자 비밀번호 변경
다음 명령을 사용하여 OT 센서에서 로컬 사용자의 암호를 변경합니다. 새 비밀번호는 8자 이상이어야 하며 소문자와 대문자, 알파벳 문자, 숫자 및 기호를 포함해야 합니다.
관리자의 암호를 변경하면 SSH 및 웹 액세스 모두에 대한 암호가 변경됩니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | system password |
<username> |
다음 예제에서는 admin 사용자의 암호 변경을 보여 줍니다. 새 암호를 입력할 때 화면에 나타나지 않으므로 암호를 기록해 두기 위해 작성해야 하고 암호를 다시 입력하라는 메시지가 표시되면 올바르게 입력되었는지 확인하십시오.
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
네트워크 구성
네트워크 구성 변경 또는 네트워크 인터페이스 역할 재할당
다음 명령을 사용하여 다음 OT 센서 설정을 정의하거나 다시 구성하는 데 도움이 되는 OT 모니터링 소프트웨어 구성 마법사를 다시 실행합니다.
- SPAN 모니터링 인터페이스 활성화/비활성화
- 관리 인터페이스에 대한 네트워크 설정 구성(IP, 서브넷, 기본 게이트웨이, DNS)
- 백업 디렉토리 지정
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network reconfigure |
속성 없음 |
| 사이버엑스 | python3 -m cyberx.config.configure |
속성 없음 |
예를 들어 admin 사용자의 경우:
shell> network reconfigure
이 명령을 실행한 후 구성 마법사가 자동으로 시작됩니다. 자세한 내용은 OT 모니터링 소프트웨어 설치를 참조하세요.
네트워크 인터페이스 구성 검증 및 표시
다음 명령을 사용하여 OT 센서에서 현재 네트워크 인터페이스 구성의 유효성을 검사하고 표시합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network validate |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
OT 센서에서 네트워크 연결 확인
다음 명령을 사용하여 OT 센서에서 ping 메시지를 보냅니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | ping <IP address> |
속성 없음 |
| Cyberx 또는 루트 액세스 권한이 있는 관리자 | ping <IP address> |
속성 없음 |
이러한 명령 <IP address> 에는 OT 센서의 관리 포트에서 액세스할 수 있는 유효한 IPv4 네트워크 호스트의 IP 주소가 있습니다.
인터페이스 표시등을 깜박여 물리적 포트를 찾습니다.
다음 명령을 사용하여 인터페이스 표시등이 깜박이도록 하여 특정 물리적 인터페이스를 찾습니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network blink <INT> |
속성 없음 |
이 명령 <INT> 에서는 어플라이언스의 물리적 이더넷 포트가 있습니다.
다음 예에서는 admin 사용자가 eth0 인터페이스를 깜박이는 것을 보여줍니다.
shell> network blink eth0
Blinking interface for 20 seconds ...
연결된 물리적 인터페이스 나열
다음 명령을 사용하여 OT 센서에 연결된 물리적 인터페이스를 나열합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network list |
속성 없음 |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | ifconfig |
속성 없음 |
예를 들어 admin 사용자의 경우 다음과 같습니다.
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
트래픽 캡처 필터
경고 피로를 줄이고 우선 순위가 높은 트래픽에 대한 네트워크 모니터링에 집중하기 위해 원본에서 Defender for IoT로 스트리밍되는 트래픽을 필터링하도록 결정할 수 있습니다. 캡처 필터를 사용하면 하드웨어 계층에서 고대역폭 트래픽을 차단하여 어플라이언스 성능과 리소스 사용을 모두 최적화할 수 있습니다.
포함 및/또는 제외 목록을 사용하여 OT 네트워크 센서에서 캡처 필터를 만들고 구성하여 모니터링하려는 트래픽을 차단하지 않도록 합니다.
캡처 필터의 기본 사용 사례는 모든 Defender for IoT 구성 요소에 동일한 필터를 사용합니다. 그러나 고급 사용 사례의 경우 다음 Defender for IoT 구성 요소 각각에 대해 별도의 필터를 구성할 수 있습니다.
-
horizon: DPI(Deep Packet Inspection) 데이터 캡처 -
collector: PCAP 데이터 캡처 -
traffic-monitor: 통신 통계 캡처
비고
캡처 필터는 검색된 모든 네트워크 트래픽에서 트리거되는 Defender for IoT 맬웨어 경고에 적용되지 않습니다.
캡처 필터 명령에는 캡처 필터 정의의 복잡성과 사용 가능한 네트워크 인터페이스 카드 기능을 기반으로 하는 문자 길이 제한이 있습니다. 요청한 필터 명령이 실패하면 서브넷을 더 큰 범위로 그룹화하고 더 짧은 캡처 필터 명령을 사용해 보세요.
모든 구성 요소에 대한 기본 필터 만들기
기본 캡처 필터를 구성하는 데 사용되는 방법은 명령을 수행하는 사용자에 따라 다릅니다.
- cyberx 사용자: 특정 특성으로 지정된 명령을 실행하여 캡처 필터를 구성합니다.
- admin user: 지정된 명령을 실행한 다음, CLI의 프롬프트에 따라 값을 입력하고 nano 편집기에서 포함 및 제외 목록을 편집합니다.
다음 명령을 사용하여 새 캡처 필터를 만듭니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network capture-filter |
특성이 없습니다. |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
cyberx 사용자에 대해 지원되는 특성은 다음과 같이 정의됩니다.
| 특성 | 설명 |
|---|---|
-h, --help |
도움말 메시지를 표시하고 종료합니다. |
-i <INCLUDE>, --include <INCLUDE> |
포함하려는 장치 및 서브넷 마스크가 포함된 파일의 경로이며, 여기서 <INCLUDE> 는 파일의 경로입니다. 예를 들어 샘플 포함 또는 제외 파일을 참조하세요. |
-x EXCLUDE, --exclude EXCLUDE |
제외하려는 장치 및 서브넷 마스크가 포함된 파일의 경로이며, 여기서 <EXCLUDE> 는 파일의 경로입니다. 예를 들어 샘플 포함 또는 제외 파일을 참조하세요. |
-
-etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
지정된 포트에서 TCP 트래픽을 제외하며, 여기서 는 <EXCLUDE_TCP_PORT> 제외하려는 포트를 정의합니다. 여러 포트를 공백 없이 쉼표로 구분합니다. |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
지정된 포트에서 UDP 트래픽을 제외하며, 여기서 제외 <EXCLUDE_UDP_PORT> 하려는 포트를 정의합니다. 여러 포트를 공백 없이 쉼표로 구분합니다. |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
지정된 모든 포트에서 TCP 트래픽을 포함하며, 여기서 는 <INCLUDE_TCP_PORT> 포함하려는 포트를 정의합니다. 여러 포트를 공백 없이 쉼표로 구분합니다. |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
지정된 모든 포트에 UDP 트래픽을 포함하며, 여기서 는 <INCLUDE_UDP_PORT> 포함하려는 포트를 정의합니다. 여러 포트를 공백 없이 쉼표로 구분합니다. |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
지정된 VLAN ID별로 VLAN 트래픽을 포함하고, <INCLUDE_VLAN_IDS> 포함하려는 VLAN ID를 정의합니다. 여러 VLAN ID를 공백 없이 쉼표로 구분합니다. |
-p <PROGRAM>, --program <PROGRAM> |
캡처 필터를 구성하려는 구성 요소를 정의합니다. 기본 사용 사례에 사용하여 all 모든 구성 요소에 대한 단일 캡처 필터를 만듭니다. 고급 사용 사례의 경우 각 구성 요소에 대해 별도의 캡처 필터를 만듭니다. 자세한 내용은 특정 구성 요소에 대한 고급 필터 만들기를 참조하십시오. |
-m <MODE>, --mode <MODE> |
포함 목록 모드를 정의하며, 포함 목록이 사용되는 경우에만 관련이 있습니다. 다음 값 중 하나를 사용합니다. - internal: 지정된 소스와 대상 간의 모든 통신을 포함합니다. - all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다. 예를 들어 엔드포인트 A와 B의 internal 경우 모드를 사용하는 경우 포함된 트래픽에는 엔드포인트 A 와 B 간의 통신만 포함됩니다. 그러나 이 all-connected 모드를 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다. |
예를 들어, 포함 또는 제외 .txt 파일에는 다음 항목이 포함될 수 있습니다.
192.168.50.10
172.20.248.1
admin 사용자를 사용하여 기본 캡처 필터 만들기
관리 사용자로 기본 캡처 필터를 만드는 경우 원래 명령에 속성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.
표시된 프롬프트에 다음과 같이 응답합니다.
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:모니터링되는 트래픽에 포함할 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 포함 파일을 열려면 선택합니다
Y. 포함 파일에 나열되지 않은 다른 트래픽은 Defender for IoT로 수집되지 않습니다.포함 파일이 Nano 텍스트 편집기에서 열립니다. 포함 파일에서 다음과 같이 devices, channels 및 subnets를 정의합니다.
유형 설명 예시 디바이스 IP 주소로 장치를 정의합니다. 1.1.1.1이 장치에 대한 모든 트래픽을 포함합니다.채널 소스 및 대상 장치의 IP 주소를 쉼표로 구분하여 채널을 정의합니다. 1.1.1.1,2.2.2.2이 채널의 모든 트래픽을 포함합니다.서브넷 네트워크 주소로 서브넷을 정의합니다. 1.1.1이 서브넷에 대한 모든 트래픽을 포함합니다.여러 인수를 별도의 행에 나열합니다.
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:모니터링되는 트래픽에서 제외할 디바이스, 채널 및/또는 서브넷을 추가할 수 있는 새 제외 파일을 열려면 선택합니다
Y. 제외 파일에 나열되지 않은 다른 모든 트래픽은 Defender for IoT로 수집됩니다.제외 파일이 Nano 텍스트 편집기에서 열립니다. exclude 파일에서 다음과 같이 devices, channels 및 subnets를 정의합니다.
유형 설명 예시 디바이스 IP 주소로 장치를 정의합니다. 1.1.1.1이 장치에 대한 모든 트래픽을 제외합니다.채널 소스 및 대상 장치의 IP 주소를 쉼표로 구분하여 채널을 정의합니다. 1.1.1.1,2.2.2.2이러한 디바이스 간의 모든 트래픽을 제외합니다.포트별 채널 소스 및 대상 장치의 IP 주소와 트래픽 포트로 채널을 정의합니다. 1.1.1.1,2.2.2.2,443이러한 장치 간의 모든 트래픽과 지정된 포트를 사용하는 트래픽을 제외합니다.서브넷 네트워크 주소로 서브넷을 정의합니다. 1.1.1이 서브넷에 대한 모든 트래픽을 제외합니다.서브넷 채널 소스 및 대상 서브넷에 대한 서브넷 채널 네트워크 주소를 정의합니다. 1.1.1,2.2.2이러한 서브넷 간의 모든 트래픽을 제외합니다.여러 인수를 별도의 행에 나열합니다.
다음 프롬프트에 응답하여 포함하거나 제외할 TCP 또는 UDP 포트를 정의합니다. 여러 포트를 쉼표로 구분하고 Enter 키를 눌러 특정 프롬프트를 건너뜁니다.
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
예를 들어 다음과 같이 여러 포트를 입력합니다.
502,443In which component do you wish to apply this capture filter?기본 캡처 필터에 대해 입력합니다
all. 고급 사용 사례의 경우 각 Defender for IoT 구성 요소에 대한 캡처 필터를 별도로 만듭니다.Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:이 프롬프트를 사용하면 범위 내에 있는 트래픽을 구성할 수 있습니다. 두 엔드포인트가 모두 범위 내에 있는 트래픽을 수집할지 아니면 그 중 하나만 지정된 서브넷에 있는지 정의합니다. 지원되는 값은 다음과 같습니다.
-
internal: 지정된 소스와 대상 간의 모든 통신을 포함합니다. -
all-connected: 지정된 엔드포인트와 외부 엔드포인트 간의 모든 통신을 포함합니다.
예를 들어 엔드포인트 A와 B의
internal경우 모드를 사용하는 경우 포함된 트래픽에는 엔드포인트 A 와 B 간의 통신만 포함됩니다.
그러나 이all-connected모드를 사용하는 경우 포함된 트래픽에는 A 또는 B와 다른 외부 엔드포인트 간의 모든 통신이 포함됩니다.기본 모드는
internal. 모드를all-connected사용하려면 프롬프트에서 를Y선택한 다음 을 입력합니다all-connected.-
다음 예제에서는 서브넷 192.168.x.x 및 포트를 제외하는 캡처 필터를 만드는 일련의 프롬프트를 보여 줍니다 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
특정 구성 요소에 대한 고급 필터 만들기
특정 구성 요소에 대한 고급 캡처 필터를 구성할 때 초기 포함 및 제외 파일을 기본 또는 템플릿 캡처 필터로 사용할 수 있습니다. 그런 다음 필요에 따라 베이스 위에 있는 각 구성 요소에 대한 추가 필터를 구성합니다.
각 구성 요소에 대한 캡처 필터를 만들려면 각 구성 요소에 대해 전체 프로세스를 반복해야 합니다.
비고
다른 구성 요소에 대해 다른 캡처 필터를 만든 경우 모드 선택이 모든 구성 요소에 사용됩니다. 한 구성 요소에 대한 캡처 필터를 as internal 로 정의하고 다른 구성 요소에 대한 캡처 필터를 as all-connected 로 정의하는 것은 지원되지 않습니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | network capture-filter |
특성이 없습니다. |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
cyberx 사용자가 각 구성 요소에 대한 캡처 필터를 개별적으로 만드는 데 사용되는 추가 특성은 다음과 같습니다.
| 특성 | 설명 |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
캡처 필터를 구성하려는 구성 요소를 정의하며, 여기서 <PROGRAM> 지원되는 값은 다음과 같습니다. - traffic-monitor - collector - horizon - all: 모든 구성 요소에 대해 단일 캡처 필터를 만듭니다. 자세한 내용은 모든 구성 요소에 대한 기본 필터 만들기를 참조하세요. |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
구성 요소에 대한 horizon 기본 캡처 필터를 정의하며, 여기서 <BASE_HORIZON> 는 사용할 필터입니다. 기본값 = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
구성 요소에 대한 traffic-monitor 기본 캡처 필터를 정의합니다. 기본값 = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
구성 요소에 대한 collector 기본 캡처 필터를 정의합니다. 기본값 = "" |
다른 속성 값은 앞에서 설명한 기본 사용 사례와 동일한 설명을 갖습니다.
관리 사용자를 사용하여 고급 캡처 필터 만들기
각 구성 요소에 대한 캡처 필터를 관리 사용자로 개별적으로 만드는 경우 원래 명령에 속성이 전달되지 않습니다. 대신 캡처 필터를 대화형으로 만드는 데 도움이 되는 일련의 프롬프트가 표시됩니다.
대부분의 프롬프트는 기본 사용 사례와 동일합니다. 다음과 같이 다음 추가 프롬프트에 응답합니다.
In which component do you wish to apply this capture filter?필터링할 구성요소에 따라 다음 값 중 하나를 입력합니다.
horizontraffic-monitorcollector
선택한 구성 요소에 대한 사용자 지정 기본 캡처 필터를 구성하라는 메시지가 표시됩니다. 이 옵션은 이전 단계에서 구성한 캡처 필터를 기본 또는 템플릿으로 사용하여 기본 위에 추가 구성을 추가할 수 있습니다.
예를 들어 이전 단계에서 구성 요소에 대한
collector캡처 필터를 구성하도록 선택한 경우 다음과 같은 메시지가 표시됩니다.Would you like to supply a custom base capture filter for the collector component? [Y/N]:지정된 구성 요소에
Y대한 템플릿을 사용자 지정하거나 이전에 구성한 캡처 필터를 그대로 사용하려면 입력합니다N.
기본 사용 사례와 같이 나머지 프롬프트를 계속 진행합니다.
특정 구성 요소에 대한 현재 캡처 필터 나열
다음 명령을 사용하여 센서에 대해 구성된 현재 캡처 필터에 대한 세부 정보를 표시합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| 관리자 | 다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 확인합니다. - 수평선: edit-config horizon_parser/horizon.properties - 트래픽 모니터: edit-config traffic_monitor/traffic-monitor - 수집가: edit-config dumpark.properties |
속성 없음 |
| CyberX 또는 루트 액세스 권한이 있는 관리자 | 다음 명령을 사용하여 각 구성 요소에 대한 캡처 필터를 확인합니다. - 수평선: nano /var/cyberx/properties/horizon_parser/horizon.properties - 트래픽 모니터: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - 수집가: nano /var/cyberx/properties/dumpark.properties |
속성 없음 |
이러한 명령은 각 구성 요소에 대해 구성된 캡처 필터를 나열하는 다음 파일을 엽니다.
| 이름 | 파일 | 재산 |
|---|---|---|
| 수평선 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| 트래픽 모니터 | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| 수집기 | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
예를 들어 admin 사용자의 경우 서브넷 192.168.x.x 및 포트 9000을 제외하는 수집기 구성 요소에 대해 정의된 캡처 필터를 사용합니다.
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
모든 캡처 필터 재설정
다음 명령을 사용하여 cyberx 사용자와 함께 센서를 기본 캡처 구성으로 재설정하고 모든 캡처 필터를 제거합니다.
| 사용자 | 명령어 | 전체 명령 구문 |
|---|---|---|
| CyberX 또는 루트 액세스 권한이 있는 관리자 | cyberx-xsense-capture-filter -p all -m all-connected |
속성 없음 |
기존 캡처 필터를 수정하려면 새 속성 값을 사용하여 이전 명령을 다시 실행합니다.
관리 사용자를 사용하여 모든 캡처 필터를 재설정하려면 이전 명령을 다시 실행하고 모든 N에 응답 하여 모든 캡처 필터를 재설정합니다.
다음 예제에서는 cyberx 사용자에 대한 명령 구문 및 응답을 보여 줍니다.
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#