Gestión del agente de protección de carga de trabajo en Linux en PowerVS
Después de suministrar una instancia del servicio IBM Cloud® Security and Compliance Center Workload Protection en IBM Cloud, puede desplegar el agente Workload Protection en los hosts Linux en IBM® Power® Virtual Server para recopilar sucesos y proteger las cargas de trabajo.
Workload Protection proporciona las características siguientes para proteger los hosts Linux autónomos en Power Virtual Server:
- Detección y respuesta de amenazas: identifique las amenazas y la actividad sospechosa en función de la actividad de la aplicación, la red y el host procesando sucesos de syscall e investigue con capturas detalladas del sistema.
- Gestión de postura: escanee los archivos de configuración de host para comprobar la conformidad y los puntos de referencia como, por ejemplo, CIS Linux Benchmark.
- Exploración de host: explore los paquetes de host, detecte las vulnerabilidades asociadas e identifique la prioridad de resolución basándose en la gravedad y las versiones fijas disponibles.
Despliegue del agente mediante un script
Complete los siguientes pasos para configurar un agente Workload Protection en Linux para detectar amenazas, validar la postura de su sistema operativo y analizar su servidor para identificar vulnerabilidades. Este agente reenviará todos los hallazgos de seguridad a una instancia del servicio Workload Protection:
-
Obtenga la clave de acceso.
-
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.
-
Instale las cabeceras del kernel. Al instalar un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo. Elija una distribución y ejecute el siguiente mandato para esa distribución.
-
Para las distribuciones de Linux Debian y Ubuntu, ejecute el mandato siguiente:
apt-get -y install linux-headers-$(uname -r) -
Para las distribuciones de Linux RHEL, CentOS y Fedora, ejecute el siguiente mandato:
yum -y install kernel-devel-$(uname -r)
-
-
Despliegue el agente Workload Protection. Ejecute el siguiente mandato:
curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n enabled: true\n scan_on_start: true\nkspm_analyzer:\n enabled: true'
Donde:
ACCESS_KEYes la clave de ingestión de la instancia.COLLECTOR_ENDPOINTes la URL de ingesta pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Por ejemplo,ingest.private.us-east.security-compliance-secure.cloud.ibm.com.API_ENDPOINTes la URL del punto final de la API pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Asegúrese de añadirlo sin 'httpso '/api, por ejemplo 'private.us-east.security-compliance-secure.cloud.ibm.com.- '
TAG_DATAson etiquetas separadas por comas que se formatean como 'TAG_NAME:TAG_VALUE. Puede asociar una o varias etiquetas a su agente Workload Protection. Por ejemplo,role:serviceX,location:us-south.
Para instalar cURL, ejecute ' yum -q -y install curl para las distribuciones Linux RHEL, CentOS, y Fedora.
5. Compruebe que el agente Workload Protection se está ejecutando. Ejecute el siguiente mandato:
ps -ef | grep sysdig
Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs y compruebe el archivo de registro ' draios.log.
Para buscar errores, emita:
grep error /opt/draios/logs/draios.log
Despliegue del agente mediante un paquete
También puede instalar el agente Workload Protection manualmente instalando el paquete y definiendo toda la configuración.
-
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.
-
Asegúrate de que '
dkms' está instalado:- Para RHEL o CentOS, ejecute el siguiente comando:
sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm sudo yum install dkms -
Instale las cabeceras del kernel. Al instalar un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo.
- Para RHEL o CentOS, ejecute el siguiente comando:
sudo yum -y install kernel-devel-$(uname -r) -
Confíe en la clave GPG y configure el repositorio yum:
- Para RHEL o CentOS, ejecute el siguiente comando:
sudo rpm --import https://download.sysdig.com/DRAIOS-GPG-KEY.public && sudo curl -s -o /etc/yum.repos.d/draios.repo https://download.sysdig.com/stable/rpm/draios.repo -
Instale, configure y reinicie el agente Workload Protection ejecutando los mandatos siguientes:
- Para RHEL o CentOS, ejecute el siguiente comando:
Instale el paquete de agente:
sudo yum -y install draios-agentAñada el punto final de recopilador y la clave de acceso:
echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yamlecho collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yamlecho sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml echo host_scanner: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yaml echo " scan_on_start: true" >> /opt/draios/etc/dragent.yaml echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yamlsudo systemctl enable dragentsudo systemctl start dragent
Su archivo de configuración (/opt/draios/etc/dragent.yaml) debe tener el siguiente aspecto:
customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
enabled: true
scan_on_start: true
kspm_analyzer:
enabled: true
collector_port: 6443
ssl: true
Espere unos segundos para asegurarse de que el agente se ha iniciado y acceda a los orígenes de datos de Workload Protection (Integraciones > Orígenes de datos | Agentes de Sysdig) para verificar que el agente se ha establecido correctamente.
Actualización del agente
Complete los siguientes pasos para actualizar un agente ' Workload Protection ' en ' Linux ' en ' Power Virtual Server.
sudo yum clean expire-cache
sudo yum -y install draios-agent
Resolución de problemas del agente
Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs y compruebe el archivo de registro ' draios.log.
Si desea ver los registros de la exploración de vulnerabilidades, grep por ' host-scanner. Para buscar información de Postura, grep por ' kspm-analyzer.
Para buscar errores, puede ejecutar el siguiente mandato:
grep -i error /opt/draios/logs/draios.log
Verificación de resultados en la interfaz de usuario
Después de unos minutos, puede comprobar los resultados en la interfaz de usuario para sus vulnerabilidades, la validación de la postura y, en su caso, las amenazas detectadas en su host.
Acceso a su instancia Workload Protection:
- Verifique que su agente está conectado correctamente en Integraciones / Fuentes de Datos / Agentes Sysdig.
- Revise su host aparece en Inventario. Puede filtrar por el nombre de host (
Resource Name" ) o el tipo de sistema operativo (Platform) - El agente Workload Protection evaluará los archivos de configuración de Linux para identificar los controles que fallan de las Directivas activadas. Puede ver todos los resultados en Postura/Cumplimiento en la zona Toda la infraestructura o definir zonas específicas para sus hosts Linux en Políticas/Zonas.
- El agente Workload Protection proporciona escaneo de hosts e imágenes en hosts Linux, detectando todos los paquetes instalados y las vulnerabilidades asociadas ordenadas por gravedad y priorizando aquellas con una solución disponible. Acceda
a Vulnerabilidades / Tiempo de ejecución y busque su host por el nombre de host o el tipo de sistema (
asset.type is host). - Tan pronto como el Workload Protection comience a detectar amenazas basándose en las Políticas de Tiempo de Ejecución configuradas. Accede a Amenazas para ver si se ha detectado algún evento. En este documento se explica cómo gestionar las políticas y reglas de detección de amenazas.