help
Данной командой выводится список доступных команд для текущего раздела и их параметры.
Синтаксис
help
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> help
Usage: <main class> [command] [command options]
Commands:
menu Display CLI menu
Usage: menu
help Display this help
Usage: help
exit Exit from CLI
Usage: exit
q Exit from CLI
Usage: q
quit Exit from CLI
Usage: quit
main Select Main menu
Usage: main
license Select License menu
Usage: license
iprules Select IP rules menu
Usage: iprules
users Users management
Usage: users
settings Settings management
Usage: settings
ips Select IPS menu
Usage: ips
add
Usage: add [command] [command options]
Commands:
feed Add supported feed for vendor
Usage: feed [options]
Options:
--description
* --feed
--path
* --vendor
vendor Add new supported vendor
Usage: vendor [options]
Options:
* --title
--url
* --vendor
load
Usage: load [command] [command options]
Commands:
rules Load IPS rules from Root EDM Server
Usage: rules [options]
Options:
--open
Upload rules from open source
Default: false
show
Usage: show [command] [command options]
Commands:
vendors Show all supported vendors
Usage: vendors
files Show all supported files for vendor
Usage: files [options]
Options:
* --vendor
edit
Usage: edit [command] [command options]
Commands:
vendor Edit information about supported vendor
Usage: vendor [options]
Options:
--title
--url
* --vendor
feed Edit information about feed
Usage: feed [options]
Options:
--description
* --feed
--path
* --vendor
delete
Usage: delete [command] [command options]
Commands:
feed Delete feed for vendor
Usage: feed [options]
Options:
* --feed
* --vendor
vendor Delete supported vendor
Usage: vendor [options]
Options:
* --vendor
feeds Delete all feeds for vendor
Usage: feeds [options]
Options:
* --vendor
edmi-ips>
add feed
Данной командой осуществляется добавление пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
add feed [–description <DESCRIPTION>] {–feed <FEED>} {–path <PATH>} {–vendor <VENDOR>}
Параметры
--description <DESCRIPTION> — указание описания создаваемой категории IDS/IPS-правил, где <DESCRIPTION> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
--feed <FEED> — указание служебного имени создаваемой категории IDS/IPS-правил, где <FEED> – строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов;
–path <PATH> — указание относительного пути к файлу IDS/IPS-правил, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках создаваемой категории правил. <PATH> представляет собой строку, содержащую относительный путь к файлу с правилами, заключенную в двойные кавычки;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, к которому будет добавлена создаваемая категория правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add feed --description "Emerging Threats 3CORESec rules" --feed 3coresec --path "3coresec.rules" --vendor suricata-proofpoint OK edmi-ips>
add vendor
Данной командой осуществляется добавление пользовательского поставщика IDS/IPS-правил.
Синтаксис
add vendor [–title <TITLE>] {–url <URL>} {–vendor <VENDOR>}
Параметры
--title <TITLE> — указание описания создаваемого пользовательского поставщика IDS/IPS-правил, где <TITLE> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
–url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> представляет собой строку, содержащую абсолютный URL, заключенный в двойные кавычки;
--vendor <VENDOR> — указание служебного имени создаваемого поставщика IDS/IPS-правил, где <VENDOR> – строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add vendor --title "Suricata Proofpoint Rules" --url "https://rules.emergingthreats.net/open/suricata-4.0/rules/" --vendor suricata-proofpoint OK edmi-ips>
load rules
Данной командой осуществляется ручное обновление загруженных на EDM Issue распространяемых IDS/IPS-правил.
Синтаксис
load rules [–open <OPEN>]
Параметры
--open <OPEN> — указание типа поставщиков IDS/IPS-правил, для которых будет произведено обновление загружаемых на EDM Issue распространяемых IDS/IPS-правил, где <OPEN> может принимать следующие значения:
- true – будет произведено обновление правил для всех пользовательских поставщиков IDS/IPS-правил;
- false – будет произведено обновление правил для всех лицензированных поставщиков IDS/IPS-правил;
Значение по умолчанию – false.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> load rules --open false Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Licensed rules is loaded from Root server! edmi-ips>
edmi-ips> load rules --open true Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Open source rules is loaded! edmi-ips>
show files
Данной командой осуществляется вывод загруженных на EDM Issue файлов указанного поставщика IDS/IPS-правил.
В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов. В то же время EDM Issue WEB в разделе "Лицензия EDM", подраздел "Подписки" оперирует только категориями правил и список распространяемых файлов там посмотреть нельзя. В текущей версии в выводе команды "show files" можно воспринимать названия файлов с правилами как названия категорий правил, доступных в web-интерфейсе.
Эта неточность будет устранена в следующих версиях ПО.
Синтаксис
show files {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, файлы которого будут отображены в выводе команды, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show files --vendor kaspersky Supported rules files: 1. File: MaliciousHashDF (1 items) File type: rules Description: Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Updated: 2021-07-31 06:46:30 Loaded: 2021-07-31 07:04:13 2. File: MaliciousURLsDF (11450 items) File type: rules Description: Kasperksy Lab MaliciousURLsDF feed Malicious URL feed - set of URLs with context that cover malicious websites and web pages Updated: 2021-07-31 06:45:49 Loaded: 2021-07-31 07:04:13 Supported config files: 1. File: classification.config File type: config Updated: 2021-07-24 09:30:14 Loaded: 2021-07-31 07:04:13 edmi-ips>
show vendors
Данной командой осуществляется вывод поддержанных на EDM Issue поставщиков IDS/IPS-правил.
Синтаксис
show vendors
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show vendors Licensed vendors: 1. Name: ptsecurity Title: Positive Technologies Licensed: true 2. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: suricata Title: Emerging Threats Open Ruleset Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ edmi-ips>
edit feed
Данной командой осуществляется изменение существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
edit feed [–description <DESCRIPTION>] {–feed <FEED>} [–path <PATH>] {–vendor <VENDOR>}
Параметры
--description <DESCRIPTION> — указание описания изменяемой категории IDS/IPS-правил, где <DESCRIPTION> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
--feed <FEED> — указание служебного имени редактируемой категории IDS/IPS-правил, где <FEED> – имя существующей категории IDS/IPS-правил;
–path <PATH> — указание относительного пути к файлу с IDS/IPS-правилами, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках редактируемой категории IDS/IPS-правил. <PATH> представляет собой строку, содержащую относительный путь к файлу с IDS/IPS-правилами, заключенную в двойные кавычки;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, в котором находится изменяемая категория IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit feed --description "3coresec" --feed 3coresec --vendor suricata-proofpoint OK edmi-ips>
edmi-ips> edit feed --path "rules/3coresec.rules" --feed 3coresec --vendor suricata-proofpoint OK edmi-ips>
edit vendor
Данной командой осуществляется изменение существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
edit vendor [–title <TITLE>] [–url <URL>] {–vendor <VENDOR>}
Параметры
--title <TITLE> — указание описания редактируемого пользовательского поставщика IDS/IPS-правил, где <TITLE> – строка длиной до 254 символов. В случае, если описание поставщика IDS/IPS-правил содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
–url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> представляет собой строку, содержащую абсолютный URL, заключенный в двойные кавычки;
--vendor <VENDOR> — указание служебного имени редактируемого поставщика IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit vendor --title "Suricata Test Rules" --vendor suricata-proofpoint OK edmi-ips>
edmi-ips> edit vendor --url "https://rules.emergingthreats.net/open/suricata-4.0/" --vendor suricata-proofpoint OK edmi-ips>
delete feed
Данной командой осуществляется удаление существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feed {–feed <FEED>} {–vendor <VENDOR>}
Параметры
--feed <FEED> — указание служебного имени удаляемой категории IDS/IPS-правил, где <FEED> – имя существующей категории IDS/IPS-правил;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалена указанная категория IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feed --feed 3coresec --vendor suricata-proofpoint You will delete file 3coresec for vendor "Suricata Test Rules". Are you sure? (y/N) y OK edmi-ips>
delete vendor
Данной командой осуществляется удаление существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
delete vendor {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени удаляемого поставщика IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete vendor --vendor suricata-proofpoint You will delete vendor suricata-proofpoint and all its files. Are you sure? (y/N) y OK edmi-ips>
delete feeds
Данной командой осуществляется удаление всех существующих пользовательских категорий IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feeds {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалены все категории IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feeds --vendor suricata-proofpoint You will delete all files for vendor "Suricata Proofpoint Rules". Are you sure? (y/N) y OK edmi-ips>