Introduction
Ce document décrit les commandes CLI (Command Line Interface) disponibles pour être utilisées avec le connecteur Secure Endpoint sous Linux et MacOS.
Informations générales
Les commandes CLI peuvent être utilisées par tous les utilisateurs d'un système. Toutefois,Certaines commandes dépendent de la configuration de la stratégie et/ou des autorisations racine. Les commandes qui en dépendent sont décrites tout au long de cet article.
CLI pour Mac/Linux Cisco Secure Endpoint
Accédez à la CLI
L'interface de ligne de commande Secure Endpoint est disponible lorsque le connecteur Secure Endpoint est installé et exécuté sur le système :
- Ouvrez la fenêtre Terminal sur Mac/Linux.
- Exécutez la CLI avec les chemins suivants :
- sous Linux :
/opt/cisco/amp/bin/ampcli
- sur Mac :
/opt/cisco/amp/ampcli
- Lorsque l'interface de ligne de commande démarre, le message suivant s'affiche :
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
Commandes CLI disponibles
REMARQUE : toutes les commandes CLI disponibles peuvent également être exécutées directement à partir de la ligne de commande, par exemple/opt/cisco/amp/bin/ampcli helpor/opt/cisco/amp/ampcli help fonctionne de la même manière que si vous démarriez l'interface de ligne de commande et que vous exécutez l'aide.
- Pour obtenir la liste complète des commandes CLI, l'utilisateur peut
exécuter l'aide :
ampcli> help
about About Cisco Secure Endpoint connector
bp Show and sync behavioral protection signatures
* See 'bp help' for more.
clamav Show and sync ClamAV definitions
* See 'clamav help' for more.
definitions Show virus definitions
defupdate Update virus definitions
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
notify Toggle notifications
policy Show policy
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
quit (or q) Quit ampcli interactive mode
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
verbose Toggle verbose mode
- Les commandes
scanographie, historique, quarantaine , clamav, et bptake paramètres supplémentaires, qui sont décrits si l'utilisateur exécute la commande avec aider:
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore
' run 'quarantine list' first to find
in listing
ampcli> clamav help
Supported clamav parameters:
status Display engine and definition information
sync Synchronizes ClamAV definitions
ampcli> bp help
Supported bp parameters:
status Display engine and definition information
sync Synchronizes BP signatures
NOTE:Utiliser l'aidepour fournir les paramètres d'entrée pris en charge pour une commande donnée, à l'exception de l'aide sur l'état. Quand aiderest émise avec la commande CLI status, elle affiche une liste de tous les états de connecteur pris en charge, avec une brève description et les raisons possibles de chaque état. L'état actuel du connecteur est indiqué dans le tableau par **.
Utilisation des commandes CLI
about - fournit des informations, telles que la version et le GUID du connecteur.
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
bp(Cette option n'est disponible que pour les versions 1.22.0 et ultérieures du connecteur Linux (pas sur Mac))
status - affiche le moteur de protection comportementale et les informations de définition
- Si la protection comportementale n'est pas activée, aucune information de moteur ou de signature supplémentaire n'est fournie :
ampcli> bp status
Behavioral Protection is not enabled
-
-
- Si la protection comportementale est activée, les informations relatives au moteur, au mode et à la signature sont affichées :
ampcli> bp status
APDE Engine Version: 3.1.0.0
BP Mode: Protect
BP Signature Serial Number: 8071
BP Signature Last Loaded: 2023-05-02 05:44:09 PM
-
sync - synchroniser les signatures de la protection comportementale
clamav
état - affichage des informations relatives au moteur clamav et à sa définition
ampcli> clamav status
Definition Version: ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published: bytecode.cvd: 22 Feb 2023 16-33 -0500
daily.cvd: 01 May 2023 03-22 -0400
main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
-
sync - synchroniser les signatures clamav
defupdate - envoyer une demande au cloud pour mettre à jour les définitions de virus.
exclusions - affichez les exclusions actuelles pour le connecteur :
- Ce paramètre doit également être activé dans la stratégie de connecteur pour que les exclusions s'affichent.
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
historique
liste historique - répertorie l'historique de l'activité des connecteurs (analyses, quarantaines, etc.)history pagesize <numeric_value> - définit la taille des pages pour la vue d'historique (12 max.)
ampcli> history pagesize 12
Page size set to 12
isolat (Cette option n'est disponible que pour les versions 1.21.0 et ultérieures du connecteur Mac (pas sur Linux))
isolate stop <token> - arrête la session d'isolation du point d'extrémité avec le jeton utilisé pour démarrer la session d'isolation
notify : active/désactive les notifications du connecteur dans l'interface de ligne de commande.
- Ce paramètre doit également être activé dans la stratégie de connecteur.
- Sur Mac, cela n'affecte pas les notifications dans l'interface utilisateur.
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
policy - affiche la stratégie actuelle pour le connecteur :
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
Pour les connecteurs Mac versions 1.16.0 et ultérieures et pour les connecteurs Linux versions 1.17.0 et ultérieures, la stratégie inclut l'état de la stratégie pour Orbital :
Orbital: Enabled
Il existe deux valeurs pour le paramètre de stratégie Orbitale :
- Activé : Orbital est activé via la stratégie.
- Disabled : Orbital est désactivé via la stratégie.
Pour les versions 1.21.0 et ultérieures du connecteur Mac (pas sous Linux), la stratégie inclut l'état de la stratégie pour Endpoint Isolation :
Isolation: Enabled
Il existe deux valeurs pour le paramètre de stratégie Isolation :
- Activé : l'isolation des points de terminaison est activée via une stratégie.
- Disabled : l'isolation des points de terminaison est désactivée via la stratégie.
posture - show connector posture in JSON format
posture prettyprint - imprimer posture avec jolie impression format JSON
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
quarantaine(Cette option n'est disponible que pour les utilisateurs disposant de privilèges root.)
liste de contrôle - répertorie les éléments mis en quarantaine sur le système.quarantine restore <quarantine_id> - restaure un fichier mis en quarantaine via l'id de quarantaine, qui peut être trouvé via la commande quarantine list.
quit (ou q) - quittez l'interface de ligne de commande du connecteur Secure Endpoint Mac/Linux.
-
scan flash : effectuez une analyse flash du système.scan full (analyse complète) : analyse complète du système.analyse personnalisée <chemin_vers_analyse> - analyse un fichier ou un répertoire spécifié.pause du balayage - interrompez toutes les analyses en cours.reprise de l'analyse - reprendre les analyses actuellement suspendues.annulation du balayage - annulez toutes les analyses en cours d'exécution.liste de balayage - répertorie toutes les analyses planifiées à effectuer sur le système.
status : indique l'état actuel du connecteur sur le système.
aide sur l'état - affiche un tableau de tous les états de connecteur, l'état actuel du connecteur, avec des descriptions de chaque état et les raisons d'un état donné.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
Si un terminal présente des défaillances, le champ Faults indique le nombre de défaillances présentes pour chaque niveau de gravité (Critique/Majeur/Mineur). À partir de la version 1.12.3 du connecteur, l'interface de ligne de commande affiche unID de panne, qui affiche les codes d'erreur pour chaque erreur déclenchée sur le terminal. L'interface de ligne de commande fournit des conseils relatifs à chaque défaut présent sur le point d'extrémité.
ex :
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Pour les connecteurs Mac versions 1.16.0 et ultérieures et pour les connecteurs Linux versions 1.17.0 et ultérieures, l'état inclut l'état actuel d'Orbital sur l'ordinateur :
Orbital: Enabled (Running)
Il existe trois valeurs pour l'état orbital :
- Enabled (Running) : indique que la stratégie actuelle a activé Orbital et que le service Orbital est en cours d'exécution sur l'ordinateur.
- Enabled (Not Running) : indique que la stratégie actuelle a activé Orbital, mais que le service Orbital n'est pas en cours d'exécution sur l'ordinateur.
- Disabled : indique que la stratégie actuelle n'a pas activé Orbital.
Pour les versions 1.21.0 et ultérieures du connecteur Mac (pas sous Linux), l'état inclut l'état actuel de l'isolation des points de terminaison sur l'ordinateur :
Isolation: Isolated
Il existe trois valeurs pour l'état orbital :
- Isolé : indique que la stratégie actuelle a activé l'isolation des points de terminaison et que l'ordinateur est isolé du réseau.
- Not Isolated : indique que la stratégie actuelle a activé l'isolation des points de terminaison et que l'ordinateur n'est pas isolé.
- Disabled in Policy : indique que la stratégie actuelle n'a pas activé l'isolation des points de terminaison.
synchroniser - synchroniser le connecteur avec le cloud pour garantir la dernière stratégie.
bavard - activer/désactiver les journaux détaillés pour l'interface CLI.
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
Additional Information
Assistance et documentation techniques - Cisco Systems
Cisco Secure Endpoint - Guide de l'utilisateur
Commentaires