SUR CETTE PAGE

Commandes du mode de base
Commandes CM
Commandes du mode principal
Commandes en mode serveur
Commandes du mode collecteur
Commandes du mode diagnostic
Commandes CLI tout-en-un
Assistant Configuration pour le serveur tout-en-un

Commandes CLI tout-en-un

Ce chapitre décrit les commandes d’administration d’une appliance Juniper ATP Appliance serveur tout-en-un, d’une appliance logicielle ou d’une appliance virtuelle.

Ces commandes permettent de configurer l’appliance tout-en-un Juniper ATP, de gérer les configurations et de définir les paramètres au niveau du système pour les interfaces, les services réseau et l’intégration SIEM.

Note:

Vous devez placer des caractères non alphabétiques entre guillemets doubles dans les commandes CLI.

Commandes du mode de base

Utilisez les commandes système générales pour configurer l’appliance, afficher l’historique de la solution matérielle-logicielle, entrer d’autres modes CLI, obtenir de l’aide sur la syntaxe CLI et quitter la session CLI.

Les commandes générales sont les suivantes :

Cm
Core
Collecteur
Diagnostic
Sortie
Aide
Histoire
Serveur
Assistant

Reportez-vous aux sections de ce guide pour passer en revue les commandes du mode CM, du mode collecteur, du mode principal, du mode diagnostic, du mode serveur et du mode Assistant par périphérique : tout-en-un, CoreCM, collecteur de trafic et moteur de détection Mac OS X sur un Mac Mini.

Commandes du mode principal

Sortie
Aide
Histoire
show (mode core)
updateimage

Commandes en mode serveur

Sortie
Aide
Histoire
siredémarrage
Ping
Redémarrer
Redémarrer
Restaurer
Restaurer
Définir le type d’appliance (mode serveur)
définir l’alerte système (mode serveur)
set (mode serveur)
Arrêt
Arrêt
Traceroute

Commandes du mode collecteur

Sortie
Aide
Histoire
Définir le pot de miel (mode collecteur)
paramétrer la surveillance du trafic (pour les appliances JATP700 uniquement) (mode collecteur)
Définir le filtre de trafic (mode collecteur)
Définir des protocoles (mode collecteur)
Définir le proxy (mode collecteur)
Afficher (mode collecteur)

Commandes du mode diagnostic

capture-démarrage
Copie
Sortie
GSSreport
Aide
Histoire
Set (mode diagnostic)
configurationvérifier
show (mode diagnostic)

Commandes CLI tout-en-un

capture-démarrage
Cm
Collecteur
Copie
Core
Diagnostic
Sortie
GSSreport
Aide
Histoire
siredémarrage
Ping
Redémarrer
Redémarrer
Restaurer
Serveur
Définir le pot de miel (mode collecteur)
paramétrer la surveillance du trafic (pour les appliances JATP700 uniquement) (mode collecteur)
Définir le filtre de trafic (mode collecteur)
Définir des protocoles (mode collecteur)
Définir le proxy (mode collecteur)
Set (mode diagnostic)
Définir le type d’appliance (mode serveur)
Définir l’interface IP (mode serveur)
set (mode serveur)
définir l’alerte système (mode serveur)
configurationvérifier
Afficher (mode collecteur)
Afficher (mode collecteur)
show (mode core)
show (mode diagnostic)
Arrêt
Traceroute
Améliorer
updateimage
Assistant

capture-démarrage

Tableau 1 : capture-démarrage
Description	Démarre la capture de paquets comme moyen de diagnostiquer et de déboguer le trafic réseau et d’obtenir des statistiques. Voir aussi : [mode] ; [mode] ;
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	`Diagnosis`
Syntaxe	capture-démarrage
Paramètres	<interface_name><adresse IP>
Sous-commandes	Aucun
Exemple	L’exemple suivant démarre un processus de capture de paquets sur l’interface eth1 pour un collecteur de trafic avec l’adresse IP 8.8.8.8 : Hostname # `diagnosis` Nom d’hôte (diagnostic)# capture-start eth1 8.8.8.8 Note: Remarque : l’adresse 8.8.8.8 ne doit pas nécessairement être une appliance Juniper ATP. C’est juste un hôte sur lequel la capture filtre.

Cm

Tableau 2 : cm
Description	Passe en mode cm (Central Manager). Voir aussi : `basic` [mode] ;
CLI produit(s)	`All-in-One \| Core`
Mode(s)	Base
Syntaxe	Cm
Paramètres	Aucun
Sous-commandes	Sortie \| Aide \| Histoire \| Améliorer
Exemple	L’exemple de commande suivant entre en mode de configuration cm : Hostname # `cm` Nom d’hôte (cm) #

Collecteur

Tableau 3 : collecteur
Description	Passe en mode de configuration Collecteur. Voir aussi : [mode]
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	Base
Syntaxe	Collecteur
Paramètres	Aucun
Sous-commandes	`;`;;;
Exemple	L’exemple suivant passe en mode de configuration du collecteur : Hostname # `collector` Nom d’hôte (collectionneur)# ?

Copie

Tableau 4 : copie
Description	Utilise Secure Copy (SCP) pour copier et transférer des données de capture ou de traçage (crash) de paquets vers un emplacement distant, offrant ainsi la même authentification et le même niveau de sécurité qu’un transfert SSH. La commande de traçage de copie, à la demande du service clientèle, copie les fichiers de traçage prêts à l’emploi vers un emplacement distant. Voir aussi : [mode] ;
CLI produit(s)	`All-in-One \| Collector \| Core-CM \| Mac OSX Engine`
Mode(s)	Diagnostic
Syntaxe	Capture de copie <SCP source_file_name username@destination_host :destination_folder> \| Traceback {<tab> \| ALL} <URI de chaîne as user@hostname :path
Paramètres	Capture de copie <filename_location> distante SCP retraçage de copie <ALL \| nom de fichier> Copier le suivi <onglet> [onglet affiche tous les noms de fichiers de plantage disponibles]
Sous-commandes	Aucun
Exemple	L’exemple suivant copie le fichier « Eth1.txt » de l’hôte local vers un hôte distant : nom d’hôte (diagnostic)# capture de copie Eth1.txt mailto:admin@remotehost.edu:/some/remote/directory

Core

Tableau 5 : noyau
Description	Passe en mode principal. Voir aussi : `basic` [mode] ;
CLI produit(s)	`All-in-One \| Collector \| Core \| Mac OS X Detection Engine`
Mode(s)	Base
Syntaxe	Core
Paramètres	Aucun
Sous-commandes	quitter, aide, historique, afficher, mettre à jourimage
Exemple	L’exemple de commande suivant passe en mode de configuration principale : Hostname # `core` Nom d’hôte (noyau) #

Diagnostic

Tableau 6 : diagnostic
Description	Passe en mode de configuration de diagnostic et de vérification de l’état. Voir aussi : collecteur [mode], serveur [mode]
CLI produit(s)	`All-in-One \| Collector \| Mac OS X Detection Engine`
Mode(s)	Base
Syntaxe	Diagnostic
Paramètres	Aucun
Sous-commandes	;;;;;;;;;
Exemple	`The following example enters diagnosis configuration and status check mode:` Hostname # `diagnosis` Nom d’hôte (diagnostic)# ?

Sortie

Tableau 7 : sortie
Description	Met fin à la session CLI.
CLI produit(s)	`All-in-One \| Collector \| Core CM \| Mac Mini OS X Detection Engine`
Mode(s)	Basique \| Cœur \| Collecteur \| Diagnostic \| Serveur
Syntaxe	Sortie
Paramètres	Aucun
Exemple	L’exemple suivant met fin à une session en mode de commande ou CLI. `JATP# (diagnosis) exit` `JATP#` `JATP` Sortie (centrale) `JATP#` Sortie

GSSreport

Tableau 8 : gssreport
Description	Utilisez la commande gssreport pour envoyer des rapports à Juniper Global Security Services (GSS) et afficher l’état du rapport GSS actuel. Voir aussi : ; [mode]
CLI produit(s)	`All-in-One \| Collector \| Mac OS X Detection Engine`
Mode(s)	Diagnostic
Syntaxe	État du rapport GSS \| Envoyer
Paramètres	status - affiche l’état du rapport GSS actuel. soumettre : envoie un rapport au système GSS des appliances ATP de Juniper.
Sous-commandes	Aucun
Exemple	Les exemples suivants illustrent l’état d’avancement d’une présentation de rapport GSS : hostname # `diagnosis` hostname (diagnosis)# gssreport submit Successfully started GSS report hostname (diagnosis)# gssreport status GSS is currently enabled Last 5-minute GSS report at 2015-07-28 10:34:24.414322: successfully submitted Last hourly GSS report at 2015-07-28 10:34:24.468259: successfully submitted Last daily GSS report at 2015-07-28 10:34:28.225512: successfully submitted

Aide

Tableau 9 : aide
Description	Affiche des informations sur le système d’aide de l’interface de ligne de commande.
CLI produit(s)	`All-in-One \| Collector \| Core CM \| Mac Mini OS X Detection Engine`
Mode(s)	Basique \| Cœur \| Collecteur \| Diagnostic \| Serveur
Syntaxe	Aide
Paramètres	`None`
Exemple	L’exemple suivant montre une partie de la sortie de la commande help. CONTEXT SENSITIVE HELP [?] - Display context sensitive help. This is either a list of possible command completions with summaries, or the full syntax of the current command. A subsequent repeat of this key, when a command has been resolved, will display a detailed reference. AUTO-COMPLETION The following keys both perform auto-completion for the current command line. If the command prefix is not unique then the bell will ring and a subsequent repeat of the key will display possible completions. [enter] - Auto-completes, syntax-checks then executes a command. If there is a syntax error then offending part of the command line will be highlighted and explained. [tab] - Auto-completes [space] - Auto-completes, or if the command is already resolved inserts a space. If “<cr>” is shown, that means that what you have entered so far is a complete command, and you may press Enter (carriage return) to execute it. Use ? to learn command parameters and option: `JATP (server)#` show f? firewall Show the firewall configuration settings interface `JATP (server)#` show firewall? all Show the current iptables settings whitelist Show the iptables whitelist settings show firewall whitelist? <cr> show firewall whitelist

Histoire

Tableau 10 : historique
Description	Affiche l’historique de ligne de commande de session CLI en cours.
CLI produit(s)	`All-in-One \| Collector \| Core CM \| Mac Mini OS X Detection Engine`
Mode(s)	Basique \| Cœur \| Collecteur \| Diagnostic \| Serveur
Syntaxe	history
Paramètres	Aucun
Exemple	Les exemples suivants renvoient l’historique de la ligne de commande pour la session CLI en cours. `JATP# (core) history`

siredémarrage

Tableau 11 : ifrestart

Description

Redémarre le pilote d’interface et les services à l’aide de l’interface.

CLI produit(s)

All-in-One | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Serveur

Syntaxe

ifrestart eth0 | eth1

Paramètres

eth0	Redémarre l’interface d’administration du réseau de gestion.
eth1	Redémarre l’interface réseau de surveillance.

Exemple

L’exemple suivant redémarre l’interface eth0 du réseau de gestion.

<FireEye_name># ifrestart eth0

Ping

Tableau 12 : ping

Description

Envoie des paquets de requête d’écho ICMP (Internet Control Message Protocol) à un nom d’hôte ou à une adresse IP spécifiés pour vérifier que la destination est accessible via le réseau.

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Serveur

Syntaxe

ping -c[ count] [sauts] [-h chaîne]

Paramètres

`-c`Compter	Nombre de demandes d’écho à envoyer. Par défaut, les pings sont continus jusqu’à ce que vous appuyiez sur Ctrl+C.
`-h`Houblon	Nombre de sauts suivants entre les pings (la valeur par défaut est 1).
String	Adresse IP, nom d’hôte ou nom d’interface utilisés pour envoyer une requête ping à l’adresse de l’appareil

Exemple

L’exemple suivant envoie trois demandes d’écho au périphérique avec l’adresse IP 10.10.10.1

<FireEye_name># ping -c 3 10.10.10.1

PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
64 bytes from 10.10.10.1: icmp_req=1 ttl=64 time=0.314 ms
64 bytes from 10.10.10.1: icmp_req=2 ttl=64 time=0.277 ms
64 bytes from v: icmp_req=3 ttl=64 time=0.274 m

--- 10.10.10.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.274/0.288/0.314/0.022 ms

Redémarrer

Tableau 13 : redémarrage
Description	Redémarre l’appliance Juniper ATP.
CLI produit(s)	`All-in-One \| Collector \| Core CM \| Mac Mini OS X Detection Engine`
Mode(s)	Serveur
Syntaxe	Redémarrer
Paramètres	`None`
Exemple	L’exemple suivant redémarre le système. hostname# `reboot`

Redémarrer

Tableau 14 : redémarrage

Description

Redémarre les services Juniper ATP Appliance.

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Serveur

Syntaxe

Paramètres

Tous	Redémarre tous les services Juniper ATP Appliance.
comportementmoteur	Redémarre le moteur d’analyse comportementale
Cm	Redémarre le service Central Manager Web UI.
Collecteur	Redémarre le service de collecteur.
Core	Redémarre le moteur de détection de cœur.
corrélationmoteur	Redémarre le moteur de corrélation.
Base	Redémarre la base de données.
ntpserveur	Redémarre le serveur NTP.
sshserver	Redémarre le serveur SSH.
moteur statique	Redémarre le moteur d’analyse statique.
Webserver	Redémarre le serveur Web.

Exemple

L’exemple suivant redémarre le service Gestionnaire central.

JATP# restart cm

Restaurer

Tableau 15 : restauration

Description

Restaure la configuration système aux paramètres d’usine par défaut. Cela ne réinitialisera le mot de passe par défaut que temporairement.

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Serveur

Syntaxe

restaurer [support | pare-feu {sauvegarde | défaut} | nom d’hôte | réseau]

Les règles de la liste d’autorisation reposent sur l’arrêt normal du service à sauvegarder. La mise hors tension directe d’une machine virtuelle perdra l’état d’autorisation, car les règles ne peuvent pas être enregistrées dans ce cas.

Paramètres

Note:

vCore for AWS n’utilise pas les commandes CLI suivantes : restaurer le nom d’hôte restaurer le réseau

Soutien	Restaure le paramètre de mot de passe d’assistance par défaut connexion à distance (défini lors de l’installation initiale par l Voir aussi (serveur)# set (mode serveur)
pare-feu {sauvegarde \| défaut}	Restaure les paramètres du pare-feu à partir de la sauvegarde pr ou des paramètres d’usine par défaut.
Hostname	Restaure le nom d’hôte du système par le nom d’hôte d’usine.
Réseau	Restaure l’adresse IP et les paramètres DNS aux paramètres d’usine par défaut. Avertissement: Cette option de commande supprime l’adresse IP et les paramètres DNS actuels, puis recharge les valeurs par défaut de ces paramètres.

Exemple

L’exemple suivant restaure le système.

JATP# restore

L’exemple suivant restaure le mot de passe « support » de connexion SSH par défaut

JATP # restore support password
Restore the default support password? (Yes/No)? yes
support password was restored successfully!

Serveur

Tableau 16 : serveur
Description	Passe en mode de configuration du serveur. Voir aussi :
CLI produit(s)	`All-in-One \| Collector \| Core/CM \| Mac Mini Mac OS X`
Mode(s)	Base
Syntaxe	Serveur
Sous-commandes	; ; ; ; ; ; ; ; Les règles de la liste blanche reposent sur l’arrêt de service normal pour être sauvegardées. La mise hors tension directe d’une machine virtuelle perdra l’état de la liste d’autorisation, car les règles ne peuvent pas être enregistrées dans ce cas.
Exemple	L’exemple suivant passe en mode de configuration serveur : hostname # `server` hostname (server) # ?

Définir le pot de miel (mode collecteur)

Tableau 17 : ensemble pot de miel
Description	Active et désactive la fonctionnalité SSH-Honeypot pour un collecteur de trafic. Un honeypot peut être déployé au sein d’un réseau client pour détecter l’activité réseau générée par des logiciels malveillants qui tentent d’infecter ou d’attaquer d’autres machines dans un réseau local. Ces tentatives de connexion SSH peuvent être utilisées pour compléter la détection de propagation latérale. Deux paramètres peuvent être définis pour un pot de miel : Activer/désactiver un honeypot Définir une adresse IP statique (adresse IP, masque et passerelle) ou DHCP d’une interface adressable publiquement Voir aussi : afficher la commande honeypot dans
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	Collecteur
Syntaxe	(collector)# set honeypot ssh-honeypot enable dhcp (collector)# set honeypot ssh-honeypot enable address (IP address) netmask (subnet IP) gateway (IP address) (collector):# set honeypot ssh-honeypot disable
Exemple	L’exemple suivant active l’analyseur SMB pour les détections latérales : (collector)# set honeypot ssh-honeypot enable address 1.2.3.4 netmask 255.255.0.0 gateway 1.2.3.1 Note: La configuration IP statique ne nécessite pas la configuration DNS. Les honeypots ne nécessitent pas de serveur DNS pour le moment.

paramétrer la surveillance du trafic (pour les appliances JATP700 uniquement) (mode collecteur)

Tableau 18 : définition de la surveillance du trafic
Description	Définit l’interface de surveillance du trafic sur le JATP700
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	Collecteur
Syntaxe	# set traffic-monitoring-ifc 1gb_ifc Définissez l’interface de surveillance du trafic sur l’interface 1G. # set traffic-monitoring-ifc 10gb_ifc Définissez l’interface de surveillance du trafic sur l’interface 10G. Note: Après avoir modifié le type d’interface, le système doit être redémarré pour que la modification prenne effet.

Définir le filtre de trafic (mode collecteur)

Tableau 19 : définition du filtre de trafic

Description

Définit des règles de filtrage du trafic pour éviter l’analyse d’un ensemble de trafic configuré, qui ne peut pas être rétroactif ; Par exemple : toute analyse ignorée à la suite du filtrage ne peut pas être annulée. Cette commande peut être appliquée à une plage entière de réseaux/sous-réseaux/CIDR.

Voir aussi :; [afficher le filtre de trafic]

CLI produit(s)

All-in-One | Collector

Mode(s)

Collecteur

Syntaxe

set traffic-filter {add <rule_name> <domain> <sourceaddress> <destination-address> <source-port> <destination-port> <protocol> | remove <rule_name>}

Paramètres

traffic-filter add	Ajoute une règle de filtrage du trafic dans laquelle :
<RuleString>	« RuleString » est le nom de la règle
<Dom ainString>	« DomainString » est le domaine à filtrer
<sourc eaddress>	« adresse-source » est l’adresse IPv4 source ou le réseau (CIDR)
<destination-address>	« adresse_destination » est l’adresse IPv4 ou le réseau (CIDR) de destination
<source-port>	« source-port » est le numéro de port source (0-65535)
<destinationport>	« destination-port » est le numéro du port de destination
<protocol>	(0-65535)"protocol » est le type de protocole : IP, TCP, UDP ou HTTP

Exemple

L’exemple suivant ajoute une règle de filtrage du trafic au collecteur de trafic.

JATP-collector02(collector)# set traffic-rule add CustomRule2 headqrts.example.com 10.2.00/16 20.0.0.2 90 120 tcp

où adresse_destination est 20.0.0.2, port_destination est 120, protocole est TCP, adresse_source est 10.2.0.0/16 et port_source est 90 (dans notre exemple).

Définir des protocoles (mode collecteur)

Tableau 20 : protocoles définis
Description	Active et désactive l’analyseur HTTP ou SMB pour un collecteur de trafic. Voir aussi : commande show protocols dans
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	Collecteur
Syntaxe	(collector)# set protocols {http [on\|off] \| smb [on\|off]}
Exemple	L’exemple suivant active l’analyseur SMB pour les détections latérales : hostname (collector) set protocols smb on

Définir le proxy (mode collecteur)

Tableau 21 : définition du proxy

Description

Définit un proxy de chemin de données interne ou externe à partir du mode collecteur.

Déployez des collecteurs de trafic dans les emplacements où l’interface de surveillance est (1) placée « à l’extérieur » entre le proxy et le réseau sortant pour les environnements clients dans lesquels le proxy prend en charge XFF (X-Forwarded-For), ou (2) [le scénario de déploiement le plus typique], le collecteur est placé entre le proxy et le réseau interne à l’aide du nom de domaine complet (si disponible) pour identifier la source de la menace pour tous les types d’incidents (proxy « interne »). Une fois configuré, le collecteur de trafic de l’appliance ATP de Juniper surveille tout le trafic et identifie correctement les hôtes source et de destination pour chaque maillon de la chaîne d’élimination, là où les données le permettent.

Notez que si l’en-tête « X-Forwarded-For » est fourni dans la requête HTTP, la détection identifiera les cibles de menace lorsqu’elles sont déployées en dehors du proxy (les clients peuvent choisir de désactiver la fonctionnalité XFF dans les paramètres du proxy, s’ils le souhaitent).

Voir aussi : [commande « set proxy » pour le réseau de gestion] ; ;

Note:

L’adresse IP d’atténuation d’un serveur CNC n’est pas disponible pour les déploiements de proxy interne. Lorsqu’une appliance Juniper ATP est déployée derrière un proxy, la page Pare-feu >atténuation de l’interface utilisateur Web de Juniper ATP Appliance Central Manager (qui affiche généralement l’adresse IP du serveur CNC à atténuer) est vide. L’adresse IP de destination de tout rappel étant attribuée à l’adresse IP du serveur proxy, il n’est pas pertinent d’afficher l’adresse IP du serveur proxy sur la page Mitigation->Pare-feu.

CLI produit(s)

All-in-One | Collector

Mode(s)

Collecteur

Syntaxe

set proxy inside {add <proxy IP address> <proxy port> | remove <proxy IP> <proxy port>

définir le proxy en dehors de {add <proxy IP address> | remove <proxy IP address>

Paramètres

Intérieur	Définit les adresses IP proxy internes
Extérieur	outside Définit les adresses IP proxy externes
ajouter Ajouts	une configuration de proxy.
Retirer	Supprime une configuration de proxy.

Exemple

L’exemple suivant définit un proxy de chemin de données interne :

JATP (collector)# set proxy inside add 10.1.1.1 8080

L’exemple suivant définit un proxy de chemin de données externe :

JATP (collector)# set proxy outside add 10.2.1.1

Set (mode diagnostic)

Tableau 22 : ensemble

Description

Définit les niveaux de journalisation des composants de l’appliance Juniper ATP à partir du mode diagnostic.

Voir aussi :; set (mode collecteur)

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Diagnostic

Syntaxe

Définir la journalisation

Paramètres

Tous	Définit la journalisation de tous les composants de l’appliance Juniper ATP.
Par défaut	Définit la journalisation sur les paramètres par défaut
Debug	Définit la journalisation au niveau du débogage.
Info	Définit la journalisation au niveau des informations.
Avertissement	Définit la journalisation au niveau de l’avertissement.
Erreur	Définit la journalisation au niveau d’erreur.
Critique	Définit la journalisation au niveau critique.

Exemple

L’exemple suivant définit le niveau de journalisation par défaut pour tous les composants de l’appliance Juniper ATP.

JATP# set logging all

Définir le type d’appliance (mode serveur)

Tableau 23 : type d’appliance défini

Description

Modifiez le type d’appliance à tout moment. Par exemple, passez de All-In-One à Core/CM. Notez que si vous modifiez le type d’appliance après l’installation initiale, tous les fichiers de données liés au type actuel sont perdus et vous devez configurer l’appliance comme vous le feriez avec une nouvelle boîte.

CLI produit(s)

Tout-en-un | Cœur CM | Collecteur

Mode(s)

Serveur

Syntaxe

jatp:AIO#(server)# set appliance-type core-cm

Paramètres

tout-en-un

noyau-cm

collecteur d’e-mails

collecteur de trafic

Exemple

L’exemple suivant modifie le format de l’appliance de tout-en-un (valeur par défaut) à core-cm :

jatp:AIO#(server)# set appliance-type core-cm 
This will result in the deletion of all data and configurations not relevant to the new form factor.
Proceed? (Yes/No)?  Yes

Définir l’interface IP (mode serveur)

Tableau 24 : définition de l’interface IP

Description

Définit l’interface de gestion (eth0) et/ou l’interface d’échappement alternatif (eth2) pour l’appliance Juniper ATP.

Reportez-vous au Guide de l’utilisateur pour plus d’informations sur la configuration de l’option d’interface eth2 du moteur d’analyse alternatif (elle déplace le trafic CnC pendant le traitement du moteur d’analyse hors du réseau de gestion eth0 de l’entreprise).

Voir aussi :;;;

CLI produit(s)

Tout-en-un | Cœur CM | Moteur de détection Mac Mini OS X

Mode(s)

Serveur

Syntaxe

(server) # set ip interface management <dhcp | address | netmask | gateway>

(server) # set ip interface alternate-exhaust <address | netmask | gateway>

Paramètres

Dhcp	Active DHCP pour l’interface de gestion ou d’échappement alternatif.
Adresse	Définit l’adresse IP statique pour l’interface de gestion (eth0) ou lternate-exhaust (eth2),
Netmask	Définit le masque de réseau du réseau de gestion ou du réseau d’échappement alternatif.
Passerelle	Définit l’adresse IP de la passerelle pour l’interface de gestion ou l’optionun autre réseau d’échappement.

Exemple

L’exemple suivant configure l’interface de gestion (eth0) pour un périphérique Juniper ATP Appliance Core :

JATP (server)# set ip interface management address
10.2.123.18 netmask 255.255.255.0 gateway 10.2.0.1

L’exemple suivant configure l’interface de gestion (eth0) à l’aide de DHCP :

JATP (server)# set ip interface management dhcp

Cet exemple configure l’interface d’échappement alternatif (eth2) pour un équipement central Juniper ATP Appliance :

JATP (server)# set ip interface alternate-exhaust address 10.2.123.12 netmask 255.255.255.0 gateway 10.2.0.2

set (mode serveur)

Tableau 25 : ensemble
Description	Configurez les paramètres système.
CLI produit(s)	Tout-en-un \| Collecteur \| Cœur CM \| Moteur de détection Mac Mini OS X
Mode(s)	serveur, voir aussi :;
Syntaxe	set [autoupdate {on \| off} \| cli timeout secs \| clock \| cm address \| cysupport {enable \| disable} localmode {enable \| disable}\| passphrase string \| dns \| firewall {all <backup \| flush> \| whitelist} \| hostname string \| ip interface {management \| alternate-exhaust}\| ntpserver \| password \| proxy {config \| enabled \| remove} \| timezone string \| uipassword]
Paramètres (Colonnes ci-dessous)	Remarque : vCore for AWS n’utilise pas les commandes CLI suivantes : Définir l’adresse IP définir le nom d’hôte [Les utilisateurs ne peuvent pas définir d’adresse IP statique ou modifier le nom d’hôte directement sur une instance AWS EC2] La commande « set proxy » en mode serveur est un outil de proxy de réseau de gestion ; Pour connaître les configurations de proxy collecteur de chemin de données, reportez-vous à Définir le proxy (mode collecteur)
autoupdate {content \| software} {on \| off} cli timeout secs clock cm address set cysupport {enable \| disable} \| {localmode} dns firewall {all <backup \| flush> \| whitelist <add \| delete \| flush>} hostname string ip interface {management \| alternateexhaust} <dhcp \| address \| netmask \| gateway}	Activez ou désactivez les mises à jour automatiques du produit. Définir le contenu AutoUpdate sur Définit le délai d’expiration de la CLI en secondes (0 indique qu’il n’y a pas de délai d’expiration). Définit la date et l’heure actuelles. Définit l’adresse IP du gestionnaire central et le masque de réseau à l’aide de la notation de barre oblique ; exemple : AAA. BBB. CCC.DD/X Active la connexion SSH à distance compte « support » ou localmode enable\|/disable. Définit DNS (ou active DHCP pour DNS) pour l’interface de gestion par défaut si l’interface n’est pas spécifiée. Sauvegarde ou efface (efface) tous les iptables actuels d’un pare-feu, ou ajoute, supprime ou vide les paramètres actuels spécifiques à la liste d’autorisation iptables pour le pare-feu. L’option « ajouter » ajoute une adresse IP à la liste d’autorisation sortante iptables. # set firewall whitelist add 10.1.1.1 Définit le nom d’hôte du système. Définit l’adresse IP, le masque de réseau ou la passerelle par défaut, ou active DHCP pour l’interface de gestion ou d’échappement alternatif.
ntpserver passphrase string password	Définit le serveur NTP (Network Time Protocol). Définit le mot de passe de la clé de l’appareil ; Entrez une chaîne. Définit un nouveau mot de passe pour l’administrateur CLI.
proxy {config <all\|http> \| enabled <on\|off> \| remove <all\|http>}	Configurez, activez/désactivez ou supprimez « toutes » les configurations de proxy, ou supprimez un serveur proxy spécifique à HTTP. Pointe: Conseil : Configurez d’abord le proxy pour « tous » les protocoles, puis modifiez le proxy HTTP si nécessaire.
timezone string	Définit le fuseau horaire de l’appareil.
uipassword	Définit un nouveau mot de passe administrateur pour l’accès à l’interface utilisateur Web CM.
Exemple	L’exemple suivant désactive le compteur de délai d’expiration de l’interface de ligne de commande. JATP (server)# `set cli timeout 0` L’exemple suivant active la prise en charge : JATP (server)# `set cysupport enable`

définir l’alerte système (mode serveur)

Tableau 26 : définir l’alerte système

Description

Configurez le seuil de trafic et l’intervalle de vérification pour l’état d’intégrité du « trafic surveillé » du collecteur.

Lorsque le trafic surveillé d’un collecteur dans l’intervalle de vérification est inférieur au seuil, une alerte d’intégrité du système est générée. Vous pouvez envoyer une notification par e-mail de l’alerte si des notifications par e-mail d’événements d’intégrité système sont configurées.

CLI produit(s)

All-in-One | Core CM

Mode(s)

Serveur, voir aussi :;; show

Syntaxe

set system-alert traffic <integer> time <interval>

Note:

Notez que les paramètres « trafic » et « temps » sont nécessaires pour définir le seuil du trafic minimum et du temps.

Paramètres

traffic	- le trafic minimum (en Ko)
interval	- l’intervalle de contrôle (en minutes)

Exemple

JATP (server) # set system-alert traffic 100 time 30

Cet exemple définit l’alerte système de telle sorte que, si le trafic total surveillé d’un collecteur au cours des 30 dernières minutes descend en dessous de 100 Ko, une alerte d’intégrité du système soit générée (et les utilisateurs reçoivent une notification par e-mail de l’alerte si des notifications par courrier électronique sont configurées pour les événements d’intégrité du système).

Par défaut, cette alerte est désactivée et les utilisateurs doivent définir le trafic et l’intervalle minimum pour l’activer. Notez également que tous les octets vus sur les trames Ethernet sont comptés dans le trafic.

L’intervalle minimal pour la commande d’intervalle de temps « set system-alert traffic » est de 10 minutes. Si l’intervalle minimum est défini sur moins de 10 minutes, aucune alerte ne sera déclenchée.

configurationvérifier

Tableau 27 : setupcheck

Description

Vérifie et génère des rapports sur les paramètres de configuration de base et la configuration du pipeline d’analyse.

CLI produit(s)

All-in-One | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Diagnostic

Syntaxe

setupcheck {all | report | basic | analysis}

Paramètres

all	Vérifie à la fois les paramètres de base et le pipelin d’analyse
report	Affiche le rapport du dernier contrôle d’installation.
basic	Vérifie les paramètres de configuration de base.
analysis	Analyse le pipeline d’analyse.

Exemple

L’exemple suivant vérifie tous les paramètres de configuration de base ainsi que le pipeline d’analyse :

JATP (diagnosis) # setupcheck all

Afficher (mode collecteur)

Tableau 28 : show (mode collecteur)

Description

Affiche les paramètres HOMENET de Traffic Collector et tous les sous-réseaux configurés, ainsi que les filtres de trafic actuels et l’état XFF actuel (activé ou désactivé)

CLI produit(s)

All-in-One | Collector

Mode(s)

Collecteur

Sous-commandes

homenet | traffic-filter | proxy | honeypot

Syntaxe

Montrer

Paramètres

traffic-filter	Affiche toutes les règles de filtrage du trafic.
protocols	Affiche les paramètres actuels de l’analyseur de protocole HTTP ou SMB
proxy {inside\|outside}	Affiche le proxy Traffic Collector pour les configurations internes ou externes.
honeypot	Affiche la configuration actuelle du honeypot.

Exemple

L’exemple suivant affiche le proxy de collecteur actuel dans les paramètres :

collector02(collector)# show proxy inside
Proxy IPs: 10.1.1.1

L’exemple suivant affiche le filtre de trafic actuel :

collector02 (collector)# show traffic-filter
Name: CustomRule2, Domain: headqtrs.example.com

L’exemple suivant affiche le paramètre actuel de l’analyseur de protocole SMB :

collector02 (collector)# show protocols

L’exemple suivant affiche la configuration actuelle du honeypot :

collector02 (collector)# show honeypot ssh-honeypot

Afficher (mode collecteur)

Tableau 29 : show (mode collecteur)
Description	Affiche l’interface de surveillance du trafic actuellement sélectionnée.
CLI produit(s)	`All-in-One \| Collector`
Mode(s)	Collecteur
Syntaxe	collector02 (collector)#ow traffic-monitoring-ifc-type Afficher l’interface de surveillance du trafic actuellement sélectionnée

show (mode core)

Description

Affiche l’état des images invitées ou les statistiques de la liste d’autorisation.

Voir aussi :; show (diagnostic mode)

CLI produit(s)

See Also: shutdown; show (diagnostic mode)

Mode(s)

Core

Syntaxe

Montrer

Paramètres

Images

Affiche les informations de mise à jour et d’état de l’image invitée.

Whitelist

Affiche le nom, le nombre de visites et l’heure du dernier clic d’une liste d’autorisation configurée par l’utilisateur.

Notez que lorsqu’une règle de liste d’autorisation est supprimée, elle est supprimée de la liste. Les mises à jour d’une règle existante ne sont pas affectées par la présence de la règle dans la sortie, mais le nombre d’occurrences peut augmenter. De plus, plus d’une règle peut être touchée par un même incident.

interface d’échappement alternatif

Affiche l’état de l’interface d’échappement alternative eth2.

Exemple

L’exemple suivant illustre l’utilisation de la commande show images :

JATP(core)# show images

L’exemple suivant illustre l’utilisation de la commande show whitelist :

JATP(core)# show whitelist

JATP(core)# show whitelist

Nom de la règle	Nombre de clics	Heure locale du dernier coup
URI1	10	Mer Sep 2 18 :16 :55 2015
URI2	10	Mer Sep 2 18 :16 :55 2015
URI3	10	Mer Sep 2 18 :16 :55 2015
greatfilesarey	49	Mer Sep 2 18 :20 :00 2015

L’exemple suivant montre comment obtenir l’état eth2 (alternate-exhaust interface) :

JATP(core)# show alternate-exhaust interface

show (mode diagnostic)

Tableau 30 : show (mode diagnostic)

Description

Définit les niveaux de journalisation des composants de l’appliance Juniper ATP à partir du mode diagnostic.

Voir aussi :;show (core mode)

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Diagnostic

Syntaxe

Montrer

Paramètres

périphérique {collectorstatus \| \| corestatus \| slavecorestatus}	Afficher les statistiques des appareils connectés pour Traffic Collector, CoreCM ou Mac Mini Moteur de détection « cœur de sauvegarde » secondaire.
protocole {web \| email}	Affiche le nombre de sessions pour les protocoles réseau Web ou de messagerie.
Objets	Affiche le nombre actuel d’objets fichier.
Enregistrement	Affiche le niveau de journalisation actuellement configuré. Voir aussi :
retraçage des erreurs de journalisation	Affiche uniquement les tracebacks (le cas échéant) générés par les journaux d’erreurs de processus de Juniper ATP Appliance OS. Un traçage est une pile de fonctions qui s’exécutaient lorsqu’une condition d’erreur était rencontrée.
Erreur de journal Dernier <entier : nombre de lignes à afficher>	Affiche n [1-1000] lignes du contenu du fichier journal commun.
	Exemple : afficher l’erreur du journal dernier 12

Exemple

L’exemple suivant affiche l’état du collecteur de trafic connecté.

JATP(diagnosis)# show device collectorstatus
<cr>

JATP (diagnosis)# show device collectorstatus WEB_COLLECTOR

IP : 10.2.9.68
Enabled : True
Last Seen : 2015-07-25 15:13:17.967000-07:00
Install Date : 2015-06-25 19:03:38-07:00

IP : 10.2.20.3
Enabled : True
Last Seen : 2015-07-28 11:07:42.046000-07:00
Install Date : 2013-11-14 09:25:39-08:00

Cet exemple affiche le traçage des erreurs de journalisation

JATP(diagnosis)# show log error traceback
<cr>

Arrêt

Tableau 31 : arrêt
Description	Arrête le serveur de l’appliance Juniper ATP.
CLI produit(s)	`All-in-One \| Collector \| Core CM \| Mac Mini OS X Detection Engine`
Mode(s)	Serveur
Syntaxe	Arrêt
Paramètres	`None`
Exemple	L’exemple suivant effectue un arrêt du périphérique actuel. JATP# `shutdown`

Traceroute

Tableau 32 : traceroute

Description

Affiche le tracé des paquets de route vers un nom d’hôte ou une adresse IP.

CLI produit(s)

All-in-One | Collector | Core CM | Mac Mini OS X Detection Engine

Mode(s)

Serveur | Collecteur

Syntaxe

Traceroute

Paramètres

-h entier non signé	Spécifie le nombre de sauts
String	Nomme le système distant à suivre.

Exemple

L’exemple suivant exécute un traceroute du périphérique nommé.

JATP# traceroute -h 2 MacMininOSX-Engine

Améliorer

Tableau 33 : mise à niveau

Description

Mettez à niveau le logiciel de l’appliance Juniper ATP pour l’équipement Core/CM ou vCore, et tous les périphériques physiques ou virtuels connectés.

CLI produit(s)

All-in-One | Core CM

Mode(s)

Syntaxe

upgrade <URI as user@hostname:path>

Paramètres

<String_URI>

Spécifie les packages logiciels à copier .à partir d’un emplacement remo pour la mise à niveau via le Core.

Exemple

L’exemple suivant copie le logiciel Juniper ATP Appliance sur le réseau central à partir d’un emplacement distant défini par le chemin d’accès fourni.

CoreCM(cm)# upgrade admin@remoteHost.edu:some/remote/ directory

updateimage

Tableau 34 : updateimage

Description

Mettez à jour ou corrigez le profil du système d’exploitation de l’image invitée utilisé par le moteur comportemental de détection et d’analyse.

La commande updateimage met à jour les images invitées à partir des serveurs de mise à jour de l’appliance Juniper ATP ou d’un lecteur USB connecté à l’appliance Juniper ATP.

CLI produit(s)

All-in-One | Core-CM | Mac Mini OS X Detection Engine

Mode(s)

Core

Syntaxe

updateimage

Paramètres

built-in

Met à jour l’image invitée sur le moteur de détection.

Exemple

L’exemple suivant effectue une mise à jour de profil intégrée pour le moteur de détection Core.

JATP (core)# updateimage built-in
Installing image SC-XP-20150617.img...
Previous version of SC-XP-20150617.img exists.
Checking integrity...
Image SC-XP-20150617.img is already installed
Installing image SC-W7-20150521.img...
Previous version of SC-W7-20150521.img exists.
Checking integrity...
Image SC-W7-20150521.img is already installed

Assistant

Tableau 35 : assistant
Description	Ouvre l’assistant de configuration. Pour les commandes et les réponses de l’Assistant Configuration, voir « Assistant Configuration pour le serveur tout-en-un » dans la section suivante pour suivre les invites de commandes et les réponses recommandées.
CLI produit(s)	`All-in-One \| Core/CM \| Collector \| Mac Mini Mac OS X`
Mode(s)	Base
Syntaxe	wizard
Paramètres	Aucun
Exemple	La commande suivante démarre l’assistant de configuration. hostname # wizard

Assistant Configuration pour le serveur tout-en-un

Tableau 36 : assistant de configuration d’un serveur tout-en-un
Invites de l’assistant de configuration	Actions de réponse client
Utiliser DHCP pour obtenir l’adresse IP et l’adresse du serveur DNS pour l’interface d’administration (Oui/Non) ? Remarque : Si votre réponse DHCP est `no` ,entrez les informations suivantes lorsque vous y êtes invité : Adresse IP (pas de format CIDR) Netmask Saisissez une adresse IP de passerelle pour cette interface de gestion (administrative) : Entrez l’adresse IP du serveur DNS principal. Disposez-vous d’un serveur DNS secondaire (Oui/Non). Voulez-vous entrer les domaines de recherche ? Entrez le domaine de recherche (séparez plusieurs domaines de recherche par espace) : Redémarrer l’interface d’administration (Oui/Non) ?	Nous déconseillons fortement l’utilisation de l’adressage DHCP car il change dynamiquement. Une adresse IP statique est préférable. Recommandé : Répondez par `no`: Entrez une adresse IP Entrez un masque de réseau à l’aide du formulaire 255.255.255.0. Entrez une adresse IP de passerelle. Entrez l’adresse IP du serveur DNS Si `yes` entrez l’adresse IP du serveur DNS secondaire. Entrez `yes` si vous souhaitez que les recherches DNS utilisent un domaine spécifique. Entrez le(s) domaine(s) de recherche séparé(s) par des espaces ; Par exemple : example.com lan.com dom2.com Entrez `yes` pour redémarrer avec les nouveaux paramètres de configuration appliqués.
Entrez un nom d’hôte valide.	Tapez un nom d’hôte lorsque vous y êtes invité ; n’incluez pas le domaine ; Par exemple : `JuniperATP1`. Note: Seuls les caractères alphanumériques et les traits d’union (au milieu du nom d’hôte) sont autorisés.
[FACULTATIF] Si le système détecte un cœur secondaire avec un port eth2, l’option d’échappement CnC alternative s’affiche : Utiliser un échappement alternatif pour l’analyse du trafic des gaz d’échappement du moteur (Oui/Non) ? Entrez l’adresse IP de l’interface d’échappement alternatif (eth2) : Entrez le masque de réseau pour l’interface d’échappement alternatif (eth2) : (exemple : 255.255.0.0) Entrez l’adresse IP de la passerelle pour l’interface alternateexhaust (eth2) : (exemple :10.6.0.1) Entrez l’adresse IP du serveur DNS principal pour l’interface d’échappement alternatif (eth2) : (exemple : 8.8.8.8) Disposez-vous d’un serveur DNS secondaire pour l’interface eth2 (alternate-exhaust) ? Voulez-vous entrer les domaines de recherche pour l’interface d’échappement alternatif (eth2) ? Note: Un redémarrage complet de l’interface réseau peut prendre plus de 60 secondes	Reportez-vous à la section « Configuration d’une autre interface de moteur d’analyse » du Guide de l’utilisateur de l’appliance Juniper ATP pour plus d’informations. Entrez yes pour configurer une autre interface eth2. Entrez l’adresse IP de l’interface eth2. Entrez le masque de réseau eth2. Entrez l’adresse IP de la passerelle. Entrez l’adresse IP du serveur DNS principal pour l’interface d’échappement alternatif (eth2). Entrez oui ou non pour confirmer ou refuser un serveur DNS secondaire eth2. Entrez oui ou non pour indiquer si vous souhaitez entrer dans le domaine de recherche.
Régénérer le certificat SSL auto-signé (Oui/Non) ?	Entrez `yes` pour créer un certificat SSL pour l’interface utilisateur Web du serveur Juniper ATP Appliance.