Protección de hosts Linux
Después de suministrar una instancia del servicio IBM Cloud® Security and Compliance Center Workload Protection en IBM Cloud, puede desplegar el agente Workload Protection en los hosts Linux para recopilar sucesos y proteger las cargas de trabajo. Puede configurar qué amenazas desea detectar en cada entorno y realizar procesos forenses para comprender las infracciones de seguridad.
Workload Protection proporciona las características siguientes para proteger los hosts Linux autónomos:
-
Detección de amenazas: identifique las amenazas y la actividad sospechosa en función de la actividad de la aplicación, la red y el host procesando los sucesos de syscall e investigue con capturas detalladas del sistema.
-
Gestión de postura: escanee los archivos de configuración de host para comprobar la conformidad y los puntos de referencia como, por ejemplo, CIS Linux Benchmark.
-
Exploración de host: explore los paquetes de host, detecte las vulnerabilidades asociadas e identifique la prioridad de resolución basándose en la gravedad y las versiones fijas disponibles.
Proteja los hosts que se ejecutan en IBM Cloud, otros proveedores de nube como Amazon Web Services, Azure, Google Cloud Platform o en local utilizando Workload Protection. Existe soporte para instalar el agente Workload Protection mediante un paquete en Debian, Ubuntu, CentOS, RHEL, Fedora, Amazon AMI y Amazon Linux 2.
Despliegue del agente de Linux utilizando un script
Complete los siguientes pasos para configurar un agente Workload Protection en Linux para detectar amenazas, validar la postura de su sistema operativo y analizar su servidor para identificar vulnerabilidades. Este agente reenviará todos los hallazgos de seguridad a una instancia del servicio Workload Protection:
-
Obtenga la clave de acceso.
-
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.
-
Instale las cabeceras del kernel. Cuando se instala un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo. Elija una distribución y ejecute el siguiente mandato para esa distribución.
-
Para las distribuciones de Linux Debian y Ubuntu, ejecute el mandato siguiente:
apt-get -y install linux-headers-$(uname -r)
-
Para las distribuciones de Linux RHEL, CentOS y Fedora, ejecute el siguiente mandato:
yum -y install kernel-devel-$(uname -r)
-
-
Despliegue el agente Workload Protection. Ejecute el siguiente mandato:
curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n enabled: true\n scan_on_start: true\nkspm_analyzer:\n enabled: true'
Donde:
ACCESS_KEY
es la clave de ingestión de la instancia.COLLECTOR_ENDPOINT
es la URL de ingesta pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Por ejemplo,ingest.private.us-east.security-compliance-secure.cloud.ibm.com
.API_ENDPOINT
es la URL del punto final de la API pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Asegúrese de añadirlo sin 'https
o '/api
, por ejemplo 'private.us-east.security-compliance-secure.cloud.ibm.com
.- '
TAG_DATA
son etiquetas separadas por comas que se formatean como 'TAG_NAME:TAG_VALUE
. Puede asociar una o varias etiquetas a su agente Workload Protection. Por ejemplo,role:serviceX,location:us-south
.
Para instalar cURL, ejecute ' yum -q -y
install curl para las distribuciones Linux RHEL, CentOS, y Fedora.
5. Compruebe que el agente Workload Protection se está ejecutando. Ejecute el siguiente mandato:
ps -ef | grep sysdig
Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs
y compruebe el archivo de registro ' draios.log
.
Para buscar errores, emita:
grep error /opt/draios/logs/draios.log
Despliegue del agente de Linux utilizando un paquete
También puede instalar el agente Workload Protection manualmente instalando el paquete y definiendo toda la configuración.
-
Obtenga la clave de acceso.
-
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.
-
Confíe en la clave GPG de Sysdig Monitor, configure el repositorio
apt
y actualice la lista de paquetes ejecutando los mandatos siguientes:curl -s https://download.sysdig.com/DRAIOS-GPG-KEY.public | apt-key add -
curl -s -o /etc/apt/sources.list.d/draios.list http://download.sysdig.com/stable/deb/draios.list
apt-get update
-
Instale las cabeceras del kernel. Cuando se instala un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo. Elija una distribución y ejecute el siguiente mandato para esa distribución.
-
Para las distribuciones Debian y Ubuntu Linux, ejecute los mandatos siguientes:
apt-get -y install linux-headers-$(uname -r)
-
Para las distribuciones de Linux RHEL, CentOS y Fedora, ejecute el siguiente mandato:
yum -y install kernel-devel-$(uname -r)
- Instale, configure y reinicie el agente de Sysdig ejecutando los mandatos siguientes.
-
Para las distribuciones Debian y Ubuntu Linux, ejecute los mandatos siguientes:
apt-get -y install draios-agent
echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml
echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml echo ssl: true >> /opt/draios/etc/dragent.yaml
service dragent restart
-
Para las distribuciones Linux RHEL, CentOS, y Fedora, ejecute los siguientes comandos:
yum -y install draios-agent
echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml
echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml echo ssl: true >> /opt/draios/etc/dragent.yaml
echo secure: true >> /opt/draios/etc/dragent.yaml
echo sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml echo host_scanner: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yaml echo " scan_on_start: true" >> /opt/draios/etc/dragent.yaml echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yaml
sudo systemctl enable dragent
sudo systemctl start dragent
Su archivo de configuración (/opt/draios/etc/dragent.yaml
) debe tener el siguiente aspecto:
customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
enabled: true
scan_on_start: true
kspm_analyzer:
enabled: true
collector_port: 6443
ssl: true
Actualización de un agente Linux
Complete los siguientes pasos para actualizar un agente Workload Protection en Linux.
Para actualizar el agente de las distribuciones Linux Debian y Ubuntu, ejecute los siguientes comandos como usuario ' sudo
':
sudo apt-get update
sudo apt-get -y install draios-agent
Para actualizar el agente de las distribuciones Linux RHEL, CentOS, y Fedora, ejecute los siguientes comandos como usuario ' sudo
':
yum clean expire-cache
sudo yum -y install draios-agent
Eliminación de un agente Workload Protection desplegado como servicio en un sistema Linux
Realice los siguientes pasos para eliminar un agente Workload Protection en Linux.
Para desinstalar el agente de las distribuciones Linux Debian y Ubuntu, ejecute el siguiente comando como usuario ' sudo
':
sudo apt-get remove draios-agent
Para desinstalar el agente de las distribuciones Linux RHEL, CentOS, y Fedora, ejecute el siguiente comando como usuario ' sudo
':
sudo yum erase draios-agent
Resolución de problemas del agente
Comprobación del estado de un agente mediante la CLI
Para comprobar el estado de un agente, ejecute el siguiente mandato:
service dragent status
systemctl status dragent
Visualización de los registros de un agente
Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs
y compruebe el archivo de registro ' draios.log
.
Si desea ver los registros de la exploración de vulnerabilidades, grep por ' host-scanner
. Para buscar información de Postura, grep por ' kspm-analyzer
.
Para buscar errores, puede ejecutar el siguiente mandato:
grep error /opt/draios/logs/draios.log
Verificación del estado del agente
Para comprobar que el agente Workload Protection se está ejecutando, ejecute el siguiente comando:
ps -ef | grep sysdig
Verificación de resultados en la interfaz de usuario
Después de unos minutos, puede comprobar los resultados en la interfaz de usuario para sus vulnerabilidades, la validación de la postura y, en su caso, las amenazas detectadas en su host.
Acceso a su instancia Workload Protection:
- Verifique que su agente está conectado correctamente en Integraciones / Fuentes de Datos / Agentes Sysdig.
- Revise su host aparece en Inventario. Puede filtrar por el nombre de host (
Resource Name
" ) o el tipo de sistema operativo (Platform
) - El agente Workload Protection evaluará los archivos de configuración de Linux para identificar los controles que fallan de las Directivas activadas. Puede ver todos los resultados en Postura/Cumplimiento en la zona Toda la infraestructura o definir zonas específicas para sus hosts Linux en Políticas/Zonas.
- El agente Workload Protection proporciona escaneo de hosts e imágenes en hosts Linux, detectando todos los paquetes instalados y las vulnerabilidades asociadas ordenadas por gravedad y priorizando aquellas con una solución disponible. Acceda
a Vulnerabilidades / Tiempo de ejecución y busque su host por el nombre de host o el tipo de sistema (
asset.type is host
). - Tan pronto como el Workload Protection comience a detectar amenazas basándose en las Políticas de Tiempo de Ejecución configuradas. Accede a Amenazas para ver si se ha detectado algún evento. En este documento se explica cómo gestionar las políticas y reglas de detección de amenazas.