Inleiding
Dit document beschrijft de opdrachten van de Command Line Interface (CLI) die beschikbaar zijn voor gebruik met de Secure Endpoint-connector op Linux en MacOS.
Achtergrondinformatie
De CLI-opdrachten zijn beschikbaar voor gebruik door alle gebruikers op een systeem. Sommige opdrachten hangen echter af van de beleidsconfiguratie en/of de root-toestemming. De opdrachten die hiervan afhangen, worden in dit artikel openbaar gemaakt.
Cisco Secure Endpoint voor Mac/Linux-CLI
Naar de CLI navigeren
De Secure Endpoint CLI is beschikbaar wanneer de Secure Endpoint-connector is geïnstalleerd en op het systeem actief is:
- Open het Terminalvenster op Mac/Linux.
- Voer het CLI-gereedschap in deze paden uit:
- op Linux:
/opt/cisco/amp/bin/ampcli
- op Mac:
/opt/cisco/amp/ampcli
- Wanneer de CLI wordt gestart, wordt dit bericht weergegeven:
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
Beschikbare CLI-opdrachten
OPMERKING: alle beschikbare CLI-opdrachten kunnen ook direct vanaf de opdrachtregel worden uitgevoerd, bijvoorbeeld/opt/cisco/amp/bin/ampcli
helpor/opt/cisco/amp/ampcli
helpwerkt hetzelfde als wanneer u de CLI en runhelp
start.
- Voor een volledige lijst met CLI-opdrachten kan de gebruiker
help uitvoeren
:
ampcli> help
about About Cisco Secure Endpoint connector
bp Show and sync behavioral protection signatures
* See 'bp help' for more.
clamav Show and sync ClamAV definitions
* See 'clamav help' for more.
connectivity-test Run connection tests
* See 'connectivity-test help' for more.
definitions Show virus definitions
defupdate Update virus definitions
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
notify Toggle notifications
policy Show policy
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
quit (or q) Quit ampcli interactive mode
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
verbose Toggle verbose mode
- De opdrachten bp, clamav, connectiviteit-test, history,
scan
, en quarantaine nemen extra parameters, die worden beschreven als de gebruiker de opdracht samen met help
:
ampcli> bp help
Supported bp parameters:
status
Display engine and definition information
sync
Synchronizes BP signatures
ampcli> clamav help
Supported clamav parameters:
status Display engine and definition information
sync Synchronizes ClamAV definitions
ampcli> connectivity-test help
Supported connectivity-test parameters:
all Performs all connectivity tests
bpsig Performs a Behavioral Protection signature fetch test
crashdump Performs an upload test of a crash diagnostic
event Verifies connectivity to the event intake server
hc Performs a minimal connection test with the registration server
orbitalupdate Performs an orbital update download test
policy Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
* Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
fileupload Performs a file upload test
update Performs a connector update download test
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore <quarantine id>'
run 'quarantine list' first to find <quarantine id> in listing
OPMERKING:Gebruik de helpparameter om de ondersteunde invoerparameters voor een bepaalde opdracht te leveren, met uitzondering van de status help
. Wanneer hulp wordt verleend met de status CLI opdracht, toont het een lijst van alle ondersteunde connectorstaten, met een korte beschrijving en mogelijke redenen voor elke status. De status van de huidige connector wordt in de tabel ** aangegeven.
CLI-opdrachtgebruik
About
- geeft informatie, zoals versie en GUID van de connector.
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
bp
(Deze optie is alleen beschikbaar voor connector versies 1.22.0+ op Linux en 1.24.0+ op macOS)
status
- weergave Behavioral Protection engine en definitie informatie
- Als Behavioral Protection niet is ingeschakeld, wordt er geen extra motor- of handtekeningsinformatie verstrekt:
ampcli> bp status
Behavioral Protection is not enabled
-
-
- Als Behavioral Protection is ingeschakeld, worden de informatie over de motor, de modus en de handtekening weergegeven:
ampcli> bp status
APDE Engine Version: 3.1.0.0
BP Mode: Protect
BP Signature Serial Number: 8071
BP Signature Last Loaded: 2023-05-02 05:44:09 PM
-
sync
- synchroniseer de handtekeningen voor gedragsbescherming
clamav
status
- weergave clamav motor en definitie informatie
ampcli> clamav status
Definition Version: ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published: bytecode.cvd: 22 Feb 2023 16-33 -0500
daily.cvd: 01 May 2023 03-22 -0400
main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
-
sync
- de clamav-handtekeningen synchroniseren
connectiviteitstest
alle -
voert alle connectiviteitstests uit
bpsig
- Voert een Behavioral Protection-signatuur-fetchtest uit
crashdump
- Voert een uploadtest uit van een crashdiagnostiek
event
- verifieert de verbinding met de gebeurtenisinnameserver
hc
- Voert een minimale verbindingstest met de registratieserver uit
orbitalupdate
- Voert een orbitale update downloadtest uit
policy [serienummer]
- voert een beleidstest uit van het huidige beleid. Er kan een beleidsserienummer worden verstrekt om een specifiek beleid te halen
fileupload
- voert een uploadtest uit
update
- voert een downloadtest uit voor de update van de connector
defupdate
- een verzoek sturen naar de Cloud om Virus Definities bij te werken.
uitsluitingen
- toon de huidige uitsluitingen voor de connector:
- Deze instelling moet ook zijn ingeschakeld in het aansluitbeleid zodat uitsluitingen kunnen worden weergegeven.
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
historie
geschiedenislijst
- geef een lijst van de geschiedenis van connectoractiviteit (scans, quarantaine, etc.)
history pagesize <numeric_value>
- stelt de pagina-grootte in voor de geschiedenisweergave (max. 12)
ampcli> history pagesize 12
Page size set to 12
isoleren
(Deze optie is alleen beschikbaar voor Mac-connector versies 1.21.0 en hoger (niet op Linux))
stop <token>
- stop de isolatiesessie voor endpoints met het token dat wordt gebruikt om de isolatiesessie te starten
- meldingen
via
een schakelaar in de CLI aan/uit.
- Deze instelling moet ook zijn ingeschakeld in het aansluitbeleid.
- Op Mac heeft dit geen invloed op meldingen in de UI.
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
beleid
- toont het huidige beleid voor de connector:
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
Voor Mac-connector versies 1.16.0 en nieuwer en voor Linux-connector versies 1.17.0 en nieuwer, omvat het beleid de beleidsstatus voor Orbital:
Orbital: Enabled
Er zijn twee waarden voor de Orbital policy setting:
- Ingeschakeld: Orbital is mogelijk gemaakt via beleid.
- Gehandicapten: Orbitaal is gehandicapt via beleid.
Voor Mac-connector versies 1.21.0 en nieuwer (niet op Linux) bevat het beleid de beleidsstatus voor Endpoint Isolation:
Isolation: Enabled
Er zijn twee waarden voor de instelling van het isolatiebeleid:
- Ingeschakeld: Endpoint Isolation is mogelijk via beleid.
- Uitgeschakeld: Endpoint Isolation is uitgeschakeld via beleid.
houding
- toon verbindingshouding in formaat JSON
postuur prettyprint
- print postuur met mooie print JSON formaat
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
quarantaine
(Deze optie is alleen beschikbaar voor gebruikers met basisrechten.)
quarantainelijst
- een lijst van de in quarantaine gehouden goederen in het systeem.
quarantaine herstellen <quarantaine_id>
- herstel een quarantaine bestand via de quarantaine-id, die kan worden gevonden via de quarantaine-
listcommando.
beëindigen (of q)
- beëindigen van de Secure Endpoint Mac/Linux-connector CLI.
-
scan flitser
- voer een flitsscan van het systeem uit.
scan volledig
- voer een volledige scan van het systeem uit.
scan aangepaste <path_to_scan>
- scan een gespecificeerd bestand of map.
scannen pauze
- pauzeren om het even welke momenteel lopende scans.
scan hervatten
- hervat alle momenteel gepauzeerde scans.
scannen annuleren
- annuleren van alle momenteel actieve scans.
scanlijst
- geeft een lijst van alle geplande scans die op het systeem moeten worden uitgevoerd.
status
- geeft de huidige status van de connector op het systeem aan.
status help
- toon een tabel van alle connector statussen, de huidige connector status, met beschrijvingen van elke status status, en redenen voor een bepaalde staat.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
Als een eindpunt aanwezige fouten heeft, toont het veld Faults het aantal aanwezige fouten voor elk prioriteitsniveau (Critical/Major/Minor). Vanaf connector versie 1.12.3 toont de CLI aFault
IDsfield, waarin de foutcodes voor elke fout in het eindpunt worden weergegeven. De CLI outputbegeleiding met betrekking tot elke fout die op het eindpunt aanwezig is.
Bijvoorbeeld:
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Run "ampcli connectivity-test" to help diagnose connection errors
Voor Mac-connector versies 1.16.0 en nieuwer en voor Linux-connector versies 1.17.0 en nieuwer, omvat de status de huidige status van Orbital op de computer:
Orbital: Enabled (Running)
Er zijn drie waarden voor de status van de orbitaal:
- Ingeschakeld (actief): geeft aan dat het huidige beleid Orbital heeft ingeschakeld en dat de Orbital-service momenteel op de computer wordt uitgevoerd.
- Ingeschakeld (niet actief): geeft aan dat het huidige beleid Orbital ingeschakeld heeft, maar dat de Orbital-service momenteel niet op de computer actief is.
- Uitgeschakeld: geeft aan dat het huidige beleid Orbital niet heeft ingeschakeld.
Voor Mac-connector versies 1.21.0 en nieuwer (niet op Linux) omvat de status de huidige status van Endpoint Isolation op de computer:
Isolation: Isolated
Er zijn drie waarden voor de status van de orbitaal:
- Geïsoleerd: geeft aan dat het huidige beleid Endpoint Isolation heeft ingeschakeld en dat de computer is geïsoleerd van het netwerk.
- Niet geïsoleerd: geeft aan dat het huidige beleid Endpoint Isolation heeft ingeschakeld en dat de computer niet is geïsoleerd.
- Uitgeschakeld in beleid: geeft aan dat het huidige beleid de eindpuntisolatie niet heeft ingeschakeld.
sync
- synchroniseer de connector met de Cloud om te zorgen voor het nieuwste beleid.
breedsprakig
- overbodige logs voor de CLI in- en uitschakelen.
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
Aanvullende informatie
Technische ondersteuning en documentatie – Cisco Systems
Cisco Secure Endpoint - gebruikershandleiding