Protección de hosts Linux

Después de suministrar una instancia del servicio IBM Cloud® Security and Compliance Center Workload Protection en IBM Cloud, puede desplegar el agente Workload Protection en los hosts Linux para recopilar sucesos y proteger las cargas de trabajo. Puede configurar qué amenazas desea detectar en cada entorno y realizar procesos forenses para comprender las infracciones de seguridad.

Workload Protection proporciona las características siguientes para proteger los hosts Linux autónomos:

Detección de amenazas: identifique las amenazas y la actividad sospechosa en función de la actividad de la aplicación, la red y el host procesando los sucesos de syscall e investigue con capturas detalladas del sistema.
Gestión de postura: escanee los archivos de configuración de host para comprobar la conformidad y los puntos de referencia como, por ejemplo, CIS Linux Benchmark.
Exploración de host: explore los paquetes de host, detecte las vulnerabilidades asociadas e identifique la prioridad de resolución basándose en la gravedad y las versiones fijas disponibles.

Proteja los hosts que se ejecutan en IBM Cloud, otros proveedores de nube como Amazon Web Services, Azure, Google Cloud Platform o en local utilizando Workload Protection. Existe soporte para instalar el agente Workload Protection mediante un paquete en Debian, Ubuntu, CentOS, RHEL, Fedora, Amazon AMI y Amazon Linux 2.

Despliegue del agente de Linux utilizando un script

Complete los siguientes pasos para configurar un agente Workload Protection en Linux para detectar amenazas, validar la postura de su sistema operativo y analizar su servidor para identificar vulnerabilidades. Este agente reenviará todos los hallazgos de seguridad a una instancia del servicio Workload Protection:

Obtenga la clave de acceso.
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.
Instale las cabeceras del kernel. Cuando se instala un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo. Elija una distribución y ejecute el siguiente mandato para esa distribución.
- Para las distribuciones de Linux Debian y Ubuntu, ejecute el mandato siguiente:
```
apt-get -y install linux-headers-$(uname -r)
```
- Para las distribuciones de Linux RHEL, CentOS y Fedora, ejecute el siguiente mandato:
```
yum -y install kernel-devel-$(uname -r)
```

Despliegue el agente Workload Protection. Ejecute el siguiente mandato:

curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n  enabled: true\n  scan_on_start: true\nkspm_analyzer:\n  enabled: true'

Donde:

ACCESS_KEY es la clave de ingestión de la instancia.
COLLECTOR_ENDPOINT es la URL de ingesta pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Por ejemplo, ingest.private.us-east.security-compliance-secure.cloud.ibm.com.
API_ENDPOINT es la URL del punto final de la API pública o privada de la región en la que está disponible la instancia Workload Protection. Para obtener un punto final, consulte Puntos finales de Collector. Asegúrese de añadirlo sin ' https o ' /api, por ejemplo ' private.us-east.security-compliance-secure.cloud.ibm.com.
'TAG_DATA son etiquetas separadas por comas que se formatean como ' TAG_NAME:TAG_VALUE. Puede asociar una o varias etiquetas a su agente Workload Protection. Por ejemplo, role:serviceX,location:us-south.

Para instalar cURL, ejecute ' yum -q -y install curl para las distribuciones Linux RHEL, CentOS, y Fedora.
5. Compruebe que el agente Workload Protection se está ejecutando. Ejecute el siguiente mandato:

ps -ef | grep sysdig

Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs y compruebe el archivo de registro ' draios.log.

Para buscar errores, emita:

grep error /opt/draios/logs/draios.log

Despliegue del agente de Linux utilizando un paquete

También puede instalar el agente Workload Protection manualmente instalando el paquete y definiendo toda la configuración.

Obtenga la clave de acceso.
Obtenga el URL de ingestión público o privado. Para obtener más información, consulte Puntos finales de recopilador.

Confíe en la clave GPG de Sysdig Monitor, configure el repositorio apt y actualice la lista de paquetes ejecutando los mandatos siguientes:

curl -s https://download.sysdig.com/DRAIOS-GPG-KEY.public | apt-key add -

curl -s -o /etc/apt/sources.list.d/draios.list http://download.sysdig.com/stable/deb/draios.list

apt-get update

Instale las cabeceras del kernel. Cuando se instala un agente Workload Protection, el agente utiliza archivos de cabecera del núcleo. Elija una distribución y ejecute el siguiente mandato para esa distribución.

Para las distribuciones Debian y Ubuntu Linux, ejecute los mandatos siguientes:
```
apt-get -y install linux-headers-$(uname -r)
```
Para las distribuciones de Linux RHEL, CentOS y Fedora, ejecute el siguiente mandato:
```
yum -y install kernel-devel-$(uname -r)
```

Instale, configure y reinicie el agente de Sysdig ejecutando los mandatos siguientes.

Para las distribuciones Debian y Ubuntu Linux, ejecute los mandatos siguientes:

apt-get -y install draios-agent

echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml

echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
echo ssl: true >> /opt/draios/etc/dragent.yaml

service dragent restart

Para las distribuciones Linux RHEL, CentOS, y Fedora, ejecute los siguientes comandos:

yum -y install draios-agent

echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml

echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
echo ssl: true >> /opt/draios/etc/dragent.yaml

echo secure: true >> /opt/draios/etc/dragent.yaml

echo sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml
echo host_scanner: >> /opt/draios/etc/dragent.yaml
echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
echo "  scan_on_start: true" >> /opt/draios/etc/dragent.yaml
echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml
echo "  enabled: true" >> /opt/draios/etc/dragent.yaml

sudo systemctl enable dragent

sudo systemctl start dragent

Su archivo de configuración (/opt/draios/etc/dragent.yaml) debe tener el siguiente aspecto:

customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
  enabled: true
  scan_on_start: true
kspm_analyzer:
  enabled: true
collector_port: 6443
ssl: true

Actualización de un agente Linux

Complete los siguientes pasos para actualizar un agente Workload Protection en Linux.

Para actualizar el agente de las distribuciones Linux Debian y Ubuntu, ejecute los siguientes comandos como usuario ' sudo ':

sudo apt-get update

sudo apt-get -y install draios-agent

Para actualizar el agente de las distribuciones Linux RHEL, CentOS, y Fedora, ejecute los siguientes comandos como usuario ' sudo ':

yum clean expire-cache

sudo yum -y install draios-agent

Eliminación de un agente Workload Protection desplegado como servicio en un sistema Linux

Realice los siguientes pasos para eliminar un agente Workload Protection en Linux.

Para desinstalar el agente de las distribuciones Linux Debian y Ubuntu, ejecute el siguiente comando como usuario ' sudo ':

sudo apt-get remove draios-agent

Para desinstalar el agente de las distribuciones Linux RHEL, CentOS, y Fedora, ejecute el siguiente comando como usuario ' sudo ':

sudo yum erase draios-agent

Resolución de problemas del agente

Comprobación del estado de un agente mediante la CLI

Para comprobar el estado de un agente, ejecute el siguiente mandato:

service dragent status

systemctl status dragent

Visualización de los registros de un agente

Para ver los últimos registros del agente Workload Protection, vaya al directorio ' /opt/draios/logs y compruebe el archivo de registro ' draios.log.

Si desea ver los registros de la exploración de vulnerabilidades, grep por ' host-scanner. Para buscar información de Postura, grep por ' kspm-analyzer.

Para buscar errores, puede ejecutar el siguiente mandato:

grep error /opt/draios/logs/draios.log

Verificación del estado del agente

Para comprobar que el agente Workload Protection se está ejecutando, ejecute el siguiente comando:

ps -ef | grep sysdig

Verificación de resultados en la interfaz de usuario

Después de unos minutos, puede comprobar los resultados en la interfaz de usuario para sus vulnerabilidades, la validación de la postura y, en su caso, las amenazas detectadas en su host.

Acceso a su instancia Workload Protection:

Verifique que su agente está conectado correctamente en Integraciones / Fuentes de Datos / Agentes Sysdig.
Revise su host aparece en Inventario. Puede filtrar por el nombre de host (Resource Name" ) o el tipo de sistema operativo (Platform)
El agente Workload Protection evaluará los archivos de configuración de Linux para identificar los controles que fallan de las Directivas activadas. Puede ver todos los resultados en Postura/Cumplimiento en la zona Toda la infraestructura o definir zonas específicas para sus hosts Linux en Políticas/Zonas.
El agente Workload Protection proporciona escaneo de hosts e imágenes en hosts Linux, detectando todos los paquetes instalados y las vulnerabilidades asociadas ordenadas por gravedad y priorizando aquellas con una solución disponible. Acceda a Vulnerabilidades / Tiempo de ejecución y busque su host por el nombre de host o el tipo de sistema (asset.type is host).
Tan pronto como el Workload Protection comience a detectar amenazas basándose en las Políticas de Tiempo de Ejecución configuradas. Accede a Amenazas para ver si se ha detectado algún evento. En este documento se explica cómo gestionar las políticas y reglas de detección de amenazas.