help
Данной командой выводится список доступных команд для текущего раздела и их параметры.
Синтаксис
help
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> help Usage: <main class> [command] [command options] Commands: menu Display CLI menu Usage: menu help Display this help Usage: help exit Exit from CLI Usage: exit q Exit from CLI Usage: q quit Exit from CLI Usage: quit main Select Main menu Usage: main license Select License menu Usage: license iprules Select IP rules menu Usage: iprules users Users management Usage: users settings Settings management Usage: settings ips Select IPS menu Usage: ips
add Usage: add [command] [command options] Commands: feed Add supported feed for vendor Usage: feed [options] Options: --description * --feed --path * --vendor vendor Add new supported vendor Usage: vendor [options] Options: * --title --url * --vendor load Usage: load [command] [command options] Commands: rules Load IPS rules from Root EDM Server Usage: rules [options] Options: --open Upload rules from open source Default: false show Usage: show [command] [command options] Commands: vendors Show all supported vendors Usage: vendors files Show all supported files for vendor Usage: files [options] Options: * --vendor edit Usage: edit [command] [command options] Commands: vendor Edit information about supported vendor Usage: vendor [options] Options: --title --url * --vendor
feed Edit information about feed Usage: feed [options] Options: --description * --feed --path * --vendor delete Usage: delete [command] [command options] Commands: feed Delete feed for vendor Usage: feed [options] Options: * --feed * --vendor vendor Delete supported vendor Usage: vendor [options] Options: * --vendor feeds Delete all feeds for vendor Usage: feeds [options] Options: * --vendor edmi-ips>
add feed
Данной командой осуществляется добавление пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
add feed [–description <DESCRIPTION>] {–feed <FEED>} {–path <PATH>} {–vendor <VENDOR>}
Параметры
--description <DESCRIPTION> — указание описания создаваемой категории IDS/IPS-правил, где <DESCRIPTION> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
--feed <FEED> — указание служебного имени создаваемой категории IDS/IPS-правил, где <FEED> – строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов;
–path <PATH> — указание относительного пути к файлу IDS/IPS-правил, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках создаваемой категории правил. <PATH> представляет собой строку, содержащую относительный путь к файлу с правилами, заключенную в двойные кавычки;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, к которому будет добавлена создаваемая категория правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add feed --description "Emerging Threats 3CORESec rules" --feed 3coresec --path "3coresec.rules" --vendor suricata-proofpoint OK edmi-ips>
add vendor
Данной командой осуществляется добавление пользовательского поставщика IDS/IPS-правил.
Синтаксис
add vendor [–title <TITLE>] {–url <URL>} {–vendor <VENDOR>}
Параметры
--title <TITLE> — указание описания создаваемого пользовательского поставщика IDS/IPS-правил, где <TITLE> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
–url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> представляет собой строку, содержащую абсолютный URL, заключенный в двойные кавычки;
--vendor <VENDOR> — указание служебного имени создаваемого поставщика IDS/IPS-правил, где <VENDOR> – строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add vendor --title "Suricata Proofpoint Rules" --url "https://rules.emergingthreats.net/open/suricata-4.0/rules/" --vendor suricata-proofpoint OK edmi-ips>
load rules
Данной командой осуществляется ручное обновление загруженных на EDM Issue распространяемых IDS/IPS-правил.
Синтаксис
load rules [–open <OPEN>]
Параметры
--open <OPEN> — указание типа поставщиков IDS/IPS-правил, для которых будет произведено обновление загружаемых на EDM Issue распространяемых IDS/IPS-правил, где <OPEN> может принимать следующие значения:
- true – будет произведено обновление правил для всех пользовательских поставщиков IDS/IPS-правил;
- false – будет произведено обновление правил для всех лицензированных поставщиков IDS/IPS-правил;
Значение по умолчанию – false.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> load rules --open false Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Licensed rules is loaded from Root server! edmi-ips>
edmi-ips> load rules --open true Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Open source rules is loaded! edmi-ips>
show files
Данной командой осуществляется вывод загруженных на EDM Issue файлов указанного поставщика IDS/IPS-правил.
В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов. В то же время EDM Issue WEB в разделе "Лицензия EDM", подраздел "Подписки" оперирует только категориями правил и список распространяемых файлов там посмотреть нельзя. В текущей версии в выводе команды "show files" можно воспринимать названия файлов с правилами как названия категорий правил, доступных в web-интерфейсе.
Эта неточность будет устранена в следующих версиях ПО.
Синтаксис
show files {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, файлы которого будут отображены в выводе команды, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show files --vendor kaspersky Supported rules files: 1. File: MaliciousHashDF (1 items) File type: rules Description: Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Updated: 2021-07-31 06:46:30 Loaded: 2021-07-31 07:04:13 2. File: MaliciousURLsDF (11450 items) File type: rules Description: Kasperksy Lab MaliciousURLsDF feed Malicious URL feed - set of URLs with context that cover malicious websites and web pages Updated: 2021-07-31 06:45:49 Loaded: 2021-07-31 07:04:13 Supported config files: 1. File: classification.config File type: config Updated: 2021-07-24 09:30:14 Loaded: 2021-07-31 07:04:13 edmi-ips>
show vendors
Данной командой осуществляется вывод поддержанных на EDM Issue поставщиков IDS/IPS-правил.
Синтаксис
show vendors
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: suricata-proofpoint Title: "Suricata Proofpoint Rules" Licensed: false URL: "https://rules.emergingthreats.net/open/suricata-4.0/rules/" edmi-ips>
edit feed
Данной командой осуществляется изменение существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
edit feed [–description <DESCRIPTION>] {–feed <FEED>} [–path <PATH>] {–vendor <VENDOR>}
Параметры
--description <DESCRIPTION> — указание описания изменяемой категории IDS/IPS-правил, где <DESCRIPTION> – строка длиной до 254 символов. В случае, если описание категории содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
--feed <FEED> — указание служебного имени редактируемой категории IDS/IPS-правил, где <FEED> – имя существующей категории IDS/IPS-правил;
–path <PATH> — указание относительного пути к файлу с IDS/IPS-правилами, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках редактируемой категории IDS/IPS-правил. <PATH> представляет собой строку, содержащую относительный путь к файлу с IDS/IPS-правилами, заключенную в двойные кавычки;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, в котором находится изменяемая категория IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit feed --description "3coresec" --feed 3coresec --vendor suricata-proofpoint OK edmi-ips>
edmi-ips> edit feed --path "rules/3coresec.rules" --feed 3coresec --vendor suricata-proofpoint OK edmi-ips>
edit vendor
Данной командой осуществляется изменение существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
edit vendor [–title <TITLE>] [–url <URL>] {–vendor <VENDOR>}
Параметры
--title <TITLE> — указание описания редактируемого пользовательского поставщика IDS/IPS-правил, где <TITLE> – строка длиной до 254 символов. В случае, если описание поставщика IDS/IPS-правил содержит несколько слов, разделенных пробелом, то описание требуется заключить в двойные кавычки;
–url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> представляет собой строку, содержащую абсолютный URL, заключенный в двойные кавычки;
--vendor <VENDOR> — указание служебного имени редактируемого поставщика IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit vendor --title "Suricata Test Rules" --vendor suricata-proofpoint OK edmi-ips>
edmi-ips> edit vendor --url "https://rules.emergingthreats.net/open/suricata-4.0/" --vendor suricata-proofpoint OK edmi-ips>
delete feed
Данной командой осуществляется удаление существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feed {–feed <FEED>} {–vendor <VENDOR>}
Параметры
--feed <FEED> — указание служебного имени удаляемой категории IDS/IPS-правил, где <FEED> – имя существующей категории IDS/IPS-правил;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалена указанная категория IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feed --feed 3coresec --vendor suricata-proofpoint You will delete file 3coresec for vendor "Suricata Test Rules". Are you sure? (y/N) y OK edmi-ips>
delete vendor
Данной командой осуществляется удаление существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
delete vendor {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени удаляемого поставщика IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete vendor --vendor suricata-proofpoint You will delete vendor suricata-proofpoint and all its files. Are you sure? (y/N) y OK edmi-ips>
delete feeds
Данной командой осуществляется удаление всех существующих пользовательских категорий IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feeds {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалены все категории IDS/IPS-правил, где <VENDOR> – имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feeds --vendor suricata-proofpoint You will delete all files for vendor "Suricata Proofpoint Rules". Are you sure? (y/N) y OK edmi-ips>