help
Данной командой выводится список доступных команд для текущего раздела и их параметры.
Синтаксис
help
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> help Usage: <main class> [command] [command options] Commands: exit Exit from CLI Usage: exit q Exit from CLI Usage: q quit Exit from CLI Usage: quit menu Display CLI menu Usage: menu main Select Main menu Usage: main help Display this help Usage: help ips Select IPS menu Usage: ips users Users management Usage: users license Select License menu Usage: license settings Settings management Usage: settings iprules Select IP rules menu Usage: iprules add Usage: add [command] [command options] Commands: vendor Add new supported vendor Usage: vendor [options] Options: * --title Default: [suricata] --url * --vendor Default: suricata feed Add supported feed for vendor Usage: feed [options] Options: --en * --feed Default: drop --path --ru * --vendor Default: suricata delete Usage: delete [command] [command options] Commands: feeds Delete all feeds for vendor Usage: feeds [options] Options: * --vendor Default: suricata feed Delete feed for vendor Usage: feed [options] Options: * --feed Default: drop * --vendor Default: suricata vendor Delete supported vendor Usage: vendor [options] Options: * --vendor Default: suricata edit Usage: edit [command] [command options] Commands: vendor Edit information about supported vendor Usage: vendor [options] Options: --title --url * --vendor Default: suricata feed Edit information about feed Usage: feed [options] Options: --en * --feed Default: drop --path --ru * --vendor Default: suricata show Usage: show [command] [command options] Commands: files Show all supported files for vendor Usage: files [options] Options: * --vendor Default: kaspersky vendors Show all supported vendors Usage: vendors load Usage: load [command] [command options] Commands: ips-rules Load IPS rules from other sources Usage: ips-rules [options] Options: * --vendor Vendor name content Load IPS content from Root EDM Server Usage: content [options] Options: * --vendor Vendor name edmi-ips>
add vendor
Данной командой осуществляется добавление пользовательского поставщика IDS/IPS-правил.
Синтаксис
add vendor {–vendor <VENDOR>} {–url <URL>} [–title <TITLE>]
Параметры
--vendor <VENDOR> — указание служебного имени создаваемого поставщика IDS/IPS-правил, где <VENDOR> — строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов;
--url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> представляет собой строку, содержащую абсолютный URL;
--title <TITLE> — указание описания создаваемого пользовательского поставщика IDS/IPS-правил, где <TITLE> — строка длиной до 254 символов.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add vendor --vendor suricata --url https://rules.emergingthreats.net/open/suricata-4.0/rules/ --title Suricata rules OK edmi-ips>
add feed
Данной командой осуществляется добавление пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
add feed {–feed <FEED>} {–path <PATH>} {–vendor <VENDOR>}[--en <english DESCRIPTION>][--ru <russian DESCRIPTION>]
Параметры
--feed <FEED> — указание служебного имени создаваемой категории IDS/IPS-правил, где <FEED> — строка длиной до 31 символа, указывается латинскими буквами без пробелов и каких-либо символов, допускается использование дефиса для разделения отдельных слов;
–path <PATH> — указание относительного пути к файлу IDS/IPS-правил, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках создаваемой категории правил. <PATH> — строка, содержащая относительный путь к файлу с правилами;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, к которому будет добавлена создаваемая категория правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил;
--en <english DESCRIPTION> — указание английской версии описания создаваемой категории IDS/IPS-правил, где <english DESCRIPTION> — строка длиной до 254 символов;
--ru <russian DESCRIPTION> — указание русской версии описания создаваемой категории IDS/IPS-правил, где <russian DESCRIPTION> — строка длиной до 254 символов.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> add feed --feed drop --path drop.rules --vendor suricata --en Rules to block Spamhaus DROP listed networks --ru Правила блокировки сетей из списка Spamhaus DROP OK edmi-ips>
load content
Данной командой осуществляется ручное обновление загруженных на EDM Issue распространяемых IDS/IPS-правил лицензированных поставщиков.
Синтаксис
load content {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — название лицензированного поставщика IDS/IPS-правил, для которого будет выполнена загрузка IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> load content --vendor kaspersky Upload IPS content for vendor 'kaspersky' command 98 is created. Please wait... edmi-ips> Upload IPS content for vendor 'kaspersky' command 98 is done! edmi-ips>
load ips-rules
Данной командой осуществляется ручное обновление загруженных на EDM Issue IDS/IPS-правил пользовательских поставщиков.
Синтаксис
load ips-rules {–vendor <VENDOR>}
Параметры
-–vendor <VENDOR> — название поставщика, добавленного пользователем, для которого будет выполнена загрузка IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> load ips-rules --vendor suricata Upload IPS rules for vendor 'suricata' command 99 is created. Please wait... edmi-ips> Upload IPS rules for vendor 'suricata' command 99 is done! edmi-ips>
show files
Данной командой осуществляется вывод загруженных на EDM Issue файлов указанного поставщика IDS/IPS-правил.
В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов.
Синтаксис
show files {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, файлы которого будут отображены в выводе команды, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show files --vendor kaspersky Supported rules files: 1. File: MobileBotnetCAndCDF (11215 items) File type: rules EN description: set of URLs with context that cover mobile botnet C&C servers RU description: набор URL-адресов с контекстной информацией для выявления командных серверов ботнетов, использующих мобильные устройства Updated: 2022-11-25 17:16:29 Loaded: 2022-11-25 17:31:13 2. File: BotnetCAndCURLsDF (10804 items) File type: rules EN description: a set of URLs with context that cover desktop botnet C&C servers and related malicious objects RU description: набор URL-адресов командных серверов ботнетов и связанных с ними вредоносных объектов Updated: 2022-11-25 17:15:50 Loaded: 2022-11-25 17:31:13 Supported hash files: 1. File: MobileMaliciousHashDF_md5.txt File type: hash Updated: 2022-11-25 17:16:50 Loaded: 2022-11-25 17:31:13 2. File: MaliciousHashDF_md5.txt File type: hash Updated: 2022-11-25 17:15:24 Loaded: 2022-11-25 17:31:13 Supported config files: 1. File: classification.config File type: config Updated: 2022-11-23 13:15:10 Loaded: 2022-11-25 17:31:13 edmi-ips>
show vendors
Данной командой осуществляется вывод поддержанных на EDM Issue поставщиков IDS/IPS-правил.
Синтаксис
show vendors
Параметры
Команда не содержит параметров.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true gid: 11 Other sources: 1. Name: suricata Title: Suricata rules Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ gid: 102 edmi-ips>
edit feed
Данной командой осуществляется изменение существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
edit feed {–feed <FEED>} {–vendor <VENDOR>}[–path <PATH>] [--en <english DESCRIPTION>][--ru <russian DESCRIPTION>]
Параметры
--feed <FEED> — указание служебного имени редактируемой категории IDS/IPS-правил, где <FEED> — имя существующей категории IDS/IPS-правил;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, в котором находится изменяемая категория IDS/IPS-правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил;
–path <PATH> — указание относительного пути к файлу с IDS/IPS-правилами, который будет скачиваться EDM Issue по протоколу HTTP/HTTPS и затем отдаваться по запросу клиентских устройств, подключенных к EDM Issue в рамках редактируемой категории IDS/IPS-правил. <PATH> представляет собой строку, содержащую относительный путь к файлу с IDS/IPS-правилами;
--en <english DESCRIPTION> — указание английской версии описания создаваемой категории IDS/IPS-правил, где <english DESCRIPTION> — строка длиной до 254 символов;
--ru <russian DESCRIPTION> — указание русской версии описания создаваемой категории IDS/IPS-правил, где <russian DESCRIPTION> — строка длиной до 254 символов.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit feed --feed drop --vendor suricata --en Drop rule OK edmi-ips>
edmi-ips> edit feed --feed drop --vendor suricata --path rules/drop.rules OK edmi-ips>
edit vendor
Данной командой осуществляется изменение существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
edit vendor {–vendor <VENDOR>}[–title <TITLE>] [–url <URL>]
Параметры
--vendor <VENDOR> — указание служебного имени редактируемого поставщика IDS/IPS-правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил;
--title <TITLE> — указание описания редактируемого пользовательского поставщика IDS/IPS-правил, где <TITLE> — строка длиной до 254 символов;
–url <URL> — указание абсолютного URL для поставщика IDS/IPS-правил, от которого затем будет формироваться путь к файлам в категориях распространяемых IDS/IPS-правил. <URL> — строка, содержащая абсолютный URL.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> edit vendor --vendor suricata --title Suricata v4.0 OK edmi-ips>
edmi-ips> edit vendor --vendor suricata --url https://rules.emergingthreats.net/open/suricata-4.0/ OK edmi-ips>
delete feed
Данной командой осуществляется удаление существующей пользовательской категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feed {–feed <FEED>} {–vendor <VENDOR>}
Параметры
--feed <FEED> — указание служебного имени удаляемой категории IDS/IPS-правил, где <FEED> — имя существующей категории IDS/IPS-правил;
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалена указанная категория IDS/IPS-правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feed --feed drop --vendor suricata You will delete file drop for vendor Suricata v4.0. Are you sure? (y/N) y OK edmi-ips>
delete vendor
Данной командой осуществляется удаление существующего пользовательского поставщика IDS/IPS-правил.
Синтаксис
delete vendor {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени удаляемого поставщика IDS/IPS-правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete vendor --vendor suricata You will delete vendor suricata and all its files. Are you sure? (y/N) y OK edmi-ips>
delete feeds
Данной командой осуществляется удаление всех существующих пользовательских категорий IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил.
Синтаксис
delete feeds {–vendor <VENDOR>}
Параметры
--vendor <VENDOR> — указание служебного имени поставщика IDS/IPS-правил, из которого будет удалены все категории IDS/IPS-правил, где <VENDOR> — имя существующего на EDM Issue пользовательского поставщика IDS/IPS-правил.
Раздел интерфейса командной строки
ips
Пример:
edmi-ips> delete feeds --vendor suricata You will delete all files for vendor suricata. Are you sure? (y/N) y OK edmi-ips>