はじめに
このドキュメントでは、LinuxおよびMacOSのSecure Endpoint Connector(SEEM)で使用できるコマンドラインインターフェイス(CLI)コマンドについて説明します。
背景説明
CLIコマンドは、システム上のすべてのユーザが使用できます。ただし、一部のコマンドはポリシー設定やルート権限によって異なります。これに依存するコマンドは、この記事の全体を通して開示されています。
Cisco Secure Endpoint Mac/LinuxのCLI
CLIに移動します。
Secure Endpoint CLIは、Secure Endpointコネクタがシステムにインストールされ、実行されている場合に使用できます。
- Mac/Linuxでターミナルウィンドウを開きます。
- 次のパスでCLIツールを実行します。
- linuxの場合:
/opt/cisco/amp/bin/ampcli
- macの場合:
/opt/cisco/amp/ampcli
- CLIが起動すると、次のメッセージが表示されます。
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
使用可能なCLIコマンド
注:使用可能なすべてのCLIコマンドは、コマンドラインから直接実行することもできます。たとえば、/opt/cisco/amp/bin/ampcli helpor/opt/cisco/amp/ampcli helpworksは、CLIを起動してrunhelpを実行する場合と同じです。
- CLIコマンドの完全なリストについては、ユーザは
runhelpを実行できます。
ampcli> help
about About Cisco Secure Endpoint connector
bp Show and sync behavioral protection signatures
* See 'bp help' for more.
clamav Show and sync ClamAV definitions
* See 'clamav help' for more.
connectivity-test Run connection tests
* See 'connectivity-test help' for more.
definitions Show virus definitions
defupdate Update virus definitions
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
notify Toggle notifications
policy Show policy
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
quit (or q) Quit ampcli interactive mode
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
verbose Toggle verbose mode
- bp、clamav、connectivity-test、history、scan、およびquarantinetakeコマンドは追加のパラメータを取得します。これらのパラメータは、ユーザがhelpコマンドとともにコマンドを実行する場合に説明されます。
ampcli> bp help
Supported bp parameters:
status Display engine and definition information
sync Synchronizes BP signatures
ampcli> clamav help
Supported clamav parameters:
status Display engine and definition information
sync Synchronizes ClamAV definitions
ampcli> connectivity-test help
Supported connectivity-test parameters:
all Performs all connectivity tests
bpsig Performs a Behavioral Protection signature fetch test
crashdump Performs an upload test of a crash diagnostic
event Verifies connectivity to the event intake server
hc Performs a minimal connection test with the registration server
orbitalupdate Performs an orbital update download test
policy Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
* Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
fileupload Performs a file upload test
update Performs a connector update download test
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore <quarantine id>'
run 'quarantine list' first to find <quarantine id> in listing
注:helpparameterを使用して、特定のコマンドでサポートされる入力パラメータを指定します(status helpを除く)。status CLIコマンドを使用してhelpisを発行すると、サポートされているすべてのコネクタ状態のリストが、各ステータスの簡単な説明と考えられる理由とともに表示されます。現在のコネクタのステータスは、**によって表に示されます。
CLIコマンドの使用方法
about:コネクタのバージョンやGUIDなどの情報を提供します。
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
bp(このオプションは、Linuxのコネクタバージョン1.22.0以降およびmacOSのコネクタバージョン1.24.0以降でのみ使用可能)
status:動作保護エンジンおよび定義情報の表示
- 動作保護が有効になっていない場合、追加のエンジンまたはシグニチャ情報は提供されません。
ampcli> bp status
Behavioral Protection is not enabled
-
-
- 動作保護を有効にすると、エンジン、モード、およびシグニチャの情報が表示されます。
ampcli> bp status
APDE Engine Version: 3.1.0.0
BP Mode: Protect
BP Signature Serial Number: 8071
BP Signature Last Loaded: 2023-05-02 05:44:09 PM
クラマフ
status:clamavエンジンおよび定義情報の表示
ampcli> clamav status
Definition Version: ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published: bytecode.cvd: 22 Feb 2023 16-33 -0500
daily.cvd: 01 May 2023 03-22 -0400
main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
接続テスト
all:すべての接続テストを実行しますbpsig:動作保護シグニチャのフェッチテストを実行しますcrashdump:クラッシュ診断のアップロードテストを実行しますevent:イベント受信サーバへの接続を確認しますhc:登録サーバで最小限の接続テストを実行しますorbitalupdate:軌道更新ダウンロードテストを実行しますpolicy [serial number]:現在のポリシーのポリシーフェッチテストを実行します。特定のポリシーを取得するために、ポリシーのシリアル番号を指定できますfileupload:ファイルのアップロードテストを実行しますupdate:コネクタ更新ダウンロードテストを実行します
defupdate:ウイルス定義の更新要求をクラウドに送信します。
除外:コネクタの現在の除外を表示します。
- 除外を表示するには、コネクタポリシーでこの設定を有効にする必要があります。
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
履歴
history list:コネクタのアクティビティ(スキャン、検疫など)の履歴をリストします。history pagesize <numeric_value>:履歴ビューのページサイズを設定します(最大12)。
ampcli> history pagesize 12
Page size set to 12
isolate(このオプションは、Macコネクタバージョン1.21.0以降(Linuxでは使用不可)でのみ使用可能)
isolate stop <token>:分離セッションの開始に使用されたトークンでエンドポイント分離セッションを停止します
notify:CLIでのコネクタ通知のオン/オフを切り替えます。
- この設定は、コネクタポリシーでも有効にする必要があります。
- Macでは、これはUIの通知には影響しません。
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
policy:コネクタの現在のポリシーを表示します。
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
Macコネクタバージョン1.16.0以降およびLinuxコネクタバージョン1.17.0以降の場合、policyincludesにはOrbitalのポリシーステータスが含まれます。
Orbital: Enabled
[軌道]ポリシー設定には、次の2つの値があります。
- Enabled:オービタルはポリシーによって有効になっています。
- [無効]:オービタルはポリシーによって無効になっています。
Macコネクタバージョン1.21.0以降(Linux以外)の場合、policyincludesはエンドポイント分離のポリシーステータスを示します。
Isolation: Enabled
[分離]ポリシー設定には、次の2つの値があります。
- Enabled:エンドポイントの分離がポリシーによって有効にされています。
- Disabled:エンドポイントの分離は、ポリシーによって無効にされています。
posture:JSON形式のshow connector posture
posture prettyprint:pretty print JSON形式でポスチャを印刷します
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
quarantine(このオプションはroot権限を持つユーザだけが使用できます。)
quarantine list:システム上の隔離された項目をリストします。quarantine restore <quarantine_id>:quarantine listcommandで確認できる隔離idを使用して、隔離されたファイルを復元します。
quit(またはq):Secure Endpoint Mac/LinuxコネクタCLIを終了します。
-
scan flash:システムのフラッシュスキャンを実行します。scan full:システムのフルスキャンを実行します。scan custom <path_to_scan>:指定したファイルまたはディレクトリをスキャンします。スキャンの一時停止:現在実行中のスキャンをすべて一時停止します。scan resume:現在一時停止しているスキャンを再開します。scan cancel:現在実行中のスキャンをすべてキャンセルします。スキャンリスト:システムで実行されるスケジュール済みスキャンを一覧表示します。
status:システム上のコネクタの現在のステータスを示します。
ステータスヘルプ:すべてのコネクタステータス、現在のコネクタステータス、各ステータスの状態の説明、および特定の状態の理由を示すテーブルを表示します。
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
エンドポイントに障害が存在する場合、[障害]フィールドには、各重大度レベル(クリティカル/メジャー/マイナー)に存在する障害の数が表示されます。コネクタバージョン1.12.3の時点で、CLIはaFault IDsfieldを表示し、エンドポイントで発生した各障害の障害コードを表示します。CLIは、エンドポイントに存在する各障害に関連するガイダンスを出力します。
例:
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Run "ampcli connectivity-test" to help diagnose connection errors
Macコネクタバージョン1.16.0以降およびLinuxコネクタバージョン1.17.0以降の場合、statusincludesにはコンピュータ上のOrbitalの現在のステータスが含まれます。
Orbital: Enabled (Running)
[軌道]ステータスには、次の3つの値があります。
- 有効(実行中):現在のポリシーでOrbitalが有効になっており、Orbitalサービスが現在コンピューターで実行されていることを示します。
- 有効(実行されていません):現在のポリシーでOrbitalが有効になっていますが、Orbitalサービスが現在コンピューターで実行されていないことを示します。
- Disabled:現在のポリシーでOrbitalが有効になっていないことを示します。
Macコネクタバージョン1.21.0以降(Linux以外)の場合、statusincludeにはコンピュータのエンドポイント分離の現在のステータスが含まれます。
Isolation: Isolated
[軌道]ステータスには、次の3つの値があります。
- 分離:現在のポリシーでエンドポイントの分離が有効になっており、コンピューターがネットワークから分離されていることを示します。
- [分離なし]:現在のポリシーでエンドポイントの分離が有効になっており、コンピューターが分離されていないことを示します。
- [ポリシーで無効]:現在のポリシーでエンドポイントの分離が有効になっていないことを示します。
sync:コネクタをクラウドと同期して、最新のポリシーを確認します。
verbose:CLIの詳細ログのオン/オフを切り替えます。
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
追加情報
テクニカル サポートとドキュメント - Cisco Systems
Cisco Secure Endpoint – ユーザガイド
フィードバック