Uso de la CLI de Mac/Linux para terminales seguros

Opciones de descarga

  • PDF     (268.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (85.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de abril de 2024
ID del documento:215256

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los comandos de la Interfaz de línea de comandos (CLI) disponibles para su uso con el conector Secure Endpoint en Linux y MacOS.

    Antecedentes

    Los comandos CLI están disponibles para su uso por parte de todos los usuarios de un sistema; sin embargo, algunos comandos dependen de la configuración de la directiva o del permiso raíz. Los comandos que dependen de esto se divulgan a lo largo de este artículo.

    CLI de Cisco Secure Endpoint para Mac/Linux

    Vaya a la CLI

    La CLI de terminal seguro está disponible cuando el conector de terminal seguro está instalado y ejecutándose en el sistema:

    • Abra la ventana Terminal en Mac/Linux.
    • Ejecute la herramienta CLI en las siguientes rutas:
      • en Linux:/opt/cisco/amp/bin/ampcli 
      • en Mac:/opt/cisco/amp/ampcli 
    • Cuando se inicia la CLI, se muestra este mensaje:
    ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode

Enter 'q' or Ctrl+c to Exit

[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>

    Comandos CLI disponibles

    NOTA: todos los comandos CLI disponibles también se pueden ejecutar directamente desde la línea de comandos; por ejemplo, /opt/cisco/amp/bin/ampcli helpor/opt/cisco/amp/ampcli help funciona de la misma manera que si se inicia CLI y ejecuta help.

    • Para obtener una lista completa de los comandos de CLI, el usuario puede ejecutar help:
    ampcli> help
    about               About Cisco Secure Endpoint connector
        bp                  Show and sync behavioral protection signatures
                             * See 'bp help' for more.
        clamav              Show and sync ClamAV definitions
                             * See 'clamav help' for more.
     connectivity-test Run connection tests 
     * See 'connectivity-test help' for more. 
        definitions         Show virus definitions
        defupdate           Update virus definitions
        exclusions          List custom exclusions
        history             Show event history
                             * See 'history help' for more.
        notify              Toggle notifications
        policy              Show policy
        quarantine          List/restore quarantined file(s)
                             * See 'quarantine help' for more.
        quit (or q)         Quit ampcli interactive mode
        scan                Initiate/pause/stop a scan
                             * See 'scan help' for more.
        status              Get ampdaemon status
                             * See 'status help' for more.
        sync                Sync policy
        verbose             Toggle verbose mode
    • Los comandos bp, clamav, connectivity-test, history , scan, yquarantinetake parámetros adicionales, que se describen si el usuario ejecuta el comando junto con help:
    ampcli> bp help 
    Supported bp parameters:
     status Display engine and definition information
     sync Synchronizes BP signatures
    ampcli> clamav help
    Supported clamav parameters:
      status        Display engine and definition information
      sync          Synchronizes ClamAV definitions
    ampcli> connectivity-test help
    Supported connectivity-test parameters:
      all           Performs all connectivity tests
      bpsig         Performs a Behavioral Protection signature fetch test
      crashdump     Performs an upload test of a crash diagnostic
      event         Verifies connectivity to the event intake server
      hc            Performs a minimal connection test with the registration server
      orbitalupdate Performs an orbital update download test
      policy        Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
                     * Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
      fileupload    Performs a file upload test
      update        Performs a connector update download test
    ampcli> history help
Supported history parameters:
  list		List history
		 * Listing starts at page 1. Each time 'list' is run we move to
		   the next page.  Specify a page number to jump directly to
		   that page.
  pagesize	Set history page size (max: 12)
		 * e.g. 'ampcli> history pagesize 10'
    ampcli> scan help
Supported scan parameters:
  flash		Perform a flash scan
  full		Perform a full scan
  custom	Perform a custom scan on a file or directory (recursive)
		  e.g. '...> scan custom file_or_directory_to_scan'
  pause		Pause a running scan
  resume	Resume a paused scan
  cancel	Cancel a running scan
  list		List scheduled scans
    ampcli> quarantine help
Supported quarantine parameters:
  list		List currently quarantined files
		 * Listing starts at page 1. Each time 'list' is run we move to
		   the next page.  Specify a page number to jump directly to
		   that page.
  restore	Restore file by quarantine id
		  e.g. '...> quarantine restore <quarantine id>'
		  run 'quarantine list' first to find <quarantine id> in listing

    NOTA:Utilice el parámetro help para proporcionar los parámetros de entrada admitidos para un comando determinado, con la excepción de la ayuda de estado. Cuando se ejecuta help con el comando status CLI, muestra una lista de todos los estados de conector admitidos, con una breve descripción y posibles razones para cada estado. El estado actual del conector se indica en la tabla mediante **. 

    Uso del comando CLI

    • about: proporciona información, como la versión y el GUID del conector.
    ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.

[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
    • bp(Esta opción solo está disponible para las versiones de conector 1.2.0+ en Linux y 1.24.0+ en macOS)
      • estado: muestra información de definición y del motor de protección del comportamiento
        • Si la protección del comportamiento no está habilitada, no se proporciona información adicional sobre el motor o la firma:
    ampcli> bp status
    Behavioral Protection is not enabled
        • Si la protección del comportamiento está activada, se muestra la información del motor, el modo y la firma:
    ampcli> bp status
APDE Engine Version:              3.1.0.0
BP Mode:                          Protect
BP Signature Serial Number:       8071
BP Signature Last Loaded:         2023-05-02 05:44:09 PM
      • sync: sincroniza las firmas de Behavioral Protection
    • clamav
      • estado: muestra información sobre el motor clamav y la definición
    ampcli> clamav status
Definition Version:       ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published:    bytecode.cvd: 22 Feb 2023 16-33 -0500
                          daily.cvd: 01 May 2023 03-22 -0400
                          main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
      • sync - sincronizar las firmas clamav
    • prueba de conectividad
      • all: realiza todas las pruebas de conectividad
      • bpsig - Realiza una prueba de captura de firmas de protección del comportamiento
      • crashdump - Realiza una prueba de carga de un diagnóstico de desperfecto
      • event - Verifica la conectividad con el servidor de admisión de eventos
      • hc - Realiza una prueba de conexión mínima con el servidor de registro
      • orbitalupdate - Realiza una prueba de descarga de actualización orbital
      • policy [número de serie]: realiza una prueba de captura de políticas de la política actual. Se puede proporcionar un número de serie de política para obtener una política específica
      • fileupload - Realiza una prueba de carga de archivos
      • update - Realiza una prueba de descarga de actualización del conector
    • defupdate: envía una solicitud a la nube para actualizar las definiciones de virus.
    • exclusiones: muestra las exclusiones actuales del conector:
      • Esta configuración también debe estar habilitada en la directiva del conector para que se muestren las exclusiones.
    ampcli> exclusions
Exclusions:
  Path			/home
  Path			/mnt/hgfs
  Regular Expression	/var/log/.*\.log
    • historial
      • lista de historial: enumera el historial de actividad del conector (análisis, cuarentenas, etc.)
      • history pagesize <numeric_value> - establece el tamaño de página para la vista de historial (máx. 12)
    ampcli> history pagesize 12
Page size set to 12
    • isolate (Esta opción sólo está disponible para las versiones 1.21.0 y posteriores del conector Mac (no en Linux))
      • isolate stop <token>: detiene la sesión de aislamiento del terminal con el token utilizado para iniciar la sesión de aislamiento
    • notify: activa o desactiva las notificaciones del conector en la CLI.
      • Esta configuración también debe estar habilitada en la directiva del conector.
      • En Mac, esto no afecta a las notificaciones de la interfaz de usuario.
    ampcli> notify
Notifications set to on
    ampcli> notify
Notifications set to off
    • policy - muestra la política actual para el conector:
    ampcli> policy
Quarantine Behavior:
  Quarantine malicious files.
Protection:
  Monitor program install.
  Monitor program start.
  Passive on-execute mode.
Proxy:		NONE
Notifications:	Do not display cloud notifications.
Policy:		Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated:	2020-01-08 04:49 PM
Definition Version:	  ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM

    Para las versiones 1.16.0 y posteriores del conector Mac y para las versiones 1.17.0 y posteriores del conector Linux, la política incluye el estado de la política para Orbital:

    Orbital: Enabled

    Existen dos valores para la configuración de la directiva Orbital:

    1. Habilitado: orbital está habilitado mediante directiva.
    2. Desactivado: la órbita está desactivada mediante una política.

    Para las versiones 1.21.0 y posteriores del conector Mac (no en Linux), la política incluye el estado de la política para el aislamiento de terminales:

    Isolation: Enabled

    Hay dos valores para la configuración de directiva de aislamiento:

    1. Habilitado: el aislamiento de terminales se habilita mediante políticas.
    2. Desactivado: el aislamiento de terminales está desactivado mediante una política.
    • postura: muestra la postura del conector en formato JSON
      • postura prettyprint - imprimir postura con formato JSON de impresión bonita
    ampcli> posture
    {"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
    • quarantine(Esta opción sólo está disponible para usuarios con privilegios de root.)
      • lista de cuarentena: enumera los elementos en cuarentena en el sistema.
      • quarantine restore <quarantine_id> - restaura un archivo en cuarentena a través del id de cuarentena, que se puede encontrar a través del comando quarantine listcommand.
    • quit (o q): salga de la CLI del conector Secure Endpoint para Mac/Linux.
    • escanear
      • scan flash: realice un análisis flash del sistema.
      • scan full (análisis completo): realice un análisis completo del sistema.
      • scan custom <path_to_scan>: explora un archivo o directorio especificado.
      • scan pause: detiene los análisis que se estén ejecutando.
      • scan resume - reanuda cualquier escaneo actualmente en pausa.
      • scan cancel (cancelación de análisis): cancela cualquier análisis que se esté ejecutando actualmente.
      • lista de análisis: enumera los análisis planificados que se van a realizar en el sistema.
    • status: indica el estado actual del conector en el sistema.
      • ayuda de estado: muestra una tabla de todos los estados del conector, el estado actual del conector, con descripciones de cada estado y los motivos de un estado determinado.
    ampcli> status
Status:		Connected
Mode:		Normal
Scan:		Ready for scan
Last Scan:	2020-01-22 03:57 PM
Policy:		Audit Policy for Cisco Secure Endpoint (#5755)
Command-line:	Enabled
Faults:		None

    Si un terminal tiene fallos presentes, el campo Fallos muestra el número de fallos presentes para cada nivel de gravedad (Crítico/Principal/Secundario). A partir de la versión del conector 1.12.3, la CLI muestra Fault IDsfield, que muestra los Códigos de Falla para cada falla generada en el punto final. La CLI proporciona orientación relacionada con cada falla presente en el terminal.

    ej.:

    Faults:		1 Critical, 1 Major
Fault IDs:	1, 3
		ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
		ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
    ampcli> status help
  Status		 Description				 Reason(s)
=================================================================================
| Initializing... 	| Program starting/loading. 		| -- 
| 			| 					| 
| Provisioning... 	| Endpoint identity 			| -- 
| 			| enrollment/subscription. 		| 
| 			| 					| 
| Provisioning 		| Endpoint identity 			| Cannot reach AMP services. 
| failed, retrying 	| enrollment/subscription failed. 	| Missing SSL certificates. 
| 			| Connector will retry. 		| 
| 			| 					| 
| Registering... 	| Registering endpoint identity. 	| -- 
| 			| 					| 
| Registration 		| Endpoint identity registration 	| Cannot reach AMP services. 
| failed, retrying 	| failed. Connector will retry. 	| Missing SSL certificates. 
| 			| 					| 
| Connecting... 	| Registering with disposition 		| -- 
| 			| service. 				| 
| 			| 					| 
| Connection failed, 	| Registration with disposition 	| Cannot reach AMP services. 
| retrying 		| service failed. Connector will 	| Missing SSL certificates. 
| 			| retry. 				| 
| 			| 					| 
| ** Connected 		| Enrollment and registration 		| -- 
| 			| succeeded. Connected to AMP 		| 
| 			| services. Connector is operating 	| 
| 			| normally. 				| 
| 			| 					| 
| Disabled 		| Connector is not operational. 	| AMP subscription is invalid 
| 			| 					| or has expired. 
| 			| 					| 
| Disconnected, 	| Lost connection to the disposition 	| Network connection to the 
| retrying 		| service after an initial 		| disposition service has been 
| 			| connection was established. 		| interrupted. 
| 			| Connector will attempt to 		| 
| 			| reconnect. 				| 
| 			| 					| 
| Offline (the 		| The local network has been 		| Cable disconnected. 
| network is down) 	| disconnected. 			| The network interface is 
| 			| 					| disabled. 
| 			| 					| 
=================================================================================
** indicates the current status of the Connector
    Run "ampcli connectivity-test" to help diagnose connection errors

    Para las versiones 1.16.0 y posteriores del conector Mac y para las versiones 1.17.0 y posteriores del conector Linux, status incluye el estado actual de Orbital en el equipo:

    Orbital: Enabled (Running)

    Existen tres valores para el estado orbital:

    1. Habilitado (en ejecución): indica que la directiva actual ha habilitado Orbital y que el servicio Orbital se está ejecutando actualmente en el equipo.
    2. Habilitado (no en ejecución): indica que la directiva actual ha habilitado Orbital pero el servicio Orbital no se está ejecutando actualmente en el equipo. 
    3. Desactivado: indica que la política actual no ha activado Orbital.

    Para las versiones 1.21.0 y posteriores del conector Mac (no en Linux), status incluye el estado actual de Endpoint Isolation en el equipo:

    Isolation: Isolated

    Existen tres valores para el estado orbital:

    1. Aislado: indica que la directiva actual ha habilitado el aislamiento de extremos y que el equipo está aislado de la red.
    2. No aislado: indica que la directiva actual ha habilitado el aislamiento de extremos y que el equipo no está aislado.
    3. Deshabilitado en directiva: indica que la directiva actual no ha habilitado el aislamiento de terminales.
    • sync: sincroniza el conector con la nube para garantizar la política más reciente.
    • verbose - activa/desactiva los registros verbose para la CLI.
    ampcli> verbose
Verbose mode set to on
    ampcli> verbose
Verbose mode set to off

    Additional Information

    Soporte Técnico y Documentación - Cisco Systems

    Cisco Secure Endpoint - Guía del usuario

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    8.0
    16-Apr-2024
    Protección conductual añadida
    7.0
    15-Jun-2023
    Se han añadido comandos para la protección del comportamiento y ClamAV
    6.0
    15-Mar-2023
    Se ha actualizado el resultado del comando de ayuda ampcli para mostrar el nuevo orden alfabético de las opciones.
    5.0
    27-Oct-2022
    Se ha añadido aislamiento al estado, la política. Se ha añadido parada de aislamiento.
    4.0
    20-Jul-2022
    Se agregó la descripción del comando posture prettyprint
    3.0
    26-Nov-2021
    Agregar información orbital
    2.0
    19-Oct-2021
    Se ha añadido el campo agent_uuid a la postura ampcli
    1.0
    04-Aug-2021
    Versión inicial

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos