IBM Cloud Docs
PowerVS 上の Linux での Workload Protection エージェントの管理

PowerVS 上の Linux での Workload Protection エージェントの管理

IBM Cloudで IBM Cloud® Security and Compliance Center Workload Protection サービスのインスタンスをプロビジョンした後、 IBM® Power® Virtual Server 上の Linux ホストに Workload Protection エージェントをデプロイして、イベントを収集し、ワークロードを保護することができます。

Workload Protection は、 Power Virtual Server上のスタンドアロン Linux ホストを保護するための以下の機能を提供します。

  • 脅威の検出と対応: シスコール・イベントを処理することで、アプリケーション、ネットワーク、およびホストのアクティビティーに基づいて脅威と疑わしいアクティビティーを特定し、詳細なシステム・キャプチャーを使用して調査します。
  • ポスチャー管理: ホスト構成ファイルをスキャンして、 CIS Linux Benchmark などのコンプライアンスおよびベンチマークを確認します。
  • ホスト・スキャン: ホスト・パッケージをスキャンし、関連付けられた脆弱性を検出し、使用可能な固定バージョンと重大度に基づいて解決の優先順位を識別します。

スクリプトを使用したエージェントの展開

脅威を検出し、オペレーティング・システムの姿勢を検証し、サーバをスキャンして脆弱性を特定するために、Linux上でWorkload Protectionエージェントを構成するには、以下の手順を実行します。 このエージェントは、Workload Protectionサービスのインスタンスに、すべてのセキュリティの発見を転送する:

  1. アクセス・キーを取得します。

  2. パブリックまたはプライベートの取り込み URL を確認します。 詳しくは、Collector エンドポイントを参照してください。

  3. カーネル・ヘッダーをインストールします。 Workload Protectionエージェントをインストールすると、エージェントはカーネルヘッダーファイルを使用します。 ディストリビューションを選択し、そのディストリビューションに応じて以下のコマンドを実行してください。

    • Debian および Ubuntu Linux ディストリビューションの場合には、以下のコマンドを実行します。

      apt-get -y install linux-headers-$(uname -r)
      
    • RHEL、CentOS、および Fedora Linux ディストリビューションの場合には、以下のコマンドを実行します。

      yum -y install kernel-devel-$(uname -r)
      
  4. Workload Protectionエージェントを配置します。 以下のコマンドを実行します。

    curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n  enabled: true\n  scan_on_start: true\nkspm_analyzer:\n  enabled: true'
    

ここで、

  • ACCESS_KEY はインスタンスのインジェスト・キーです。
  • COLLECTOR_ENDPOINT は、Workload Protectionインスタンスが利用可能な地域のパブリックまたはプライベートの取り込み URL です。 エンドポイントを確認するには、Collector エンドポイントを参照してください。 例えば、ingest.private.us-east.security-compliance-secure.cloud.ibm.comなどです。
  • API_ENDPOINT は、Workload Protectionインスタンスが利用可能な地域のパブリックまたはプライベート API エンドポイント URL です。 エンドポイントを確認するには、Collector エンドポイントを参照してください。 https や'/api 付けずに、例えば'private.us-east.security-compliance-secure.cloud.ibm.com ように付けてください。
  • TAG_DATA はカンマで区切られたタグで、'TAG_NAME:TAG_VALUE ようにフォーマットされる。 1つ以上のタグをWorkload Protectionエージェントに関連付けることができます。 例えば、role:serviceX,location:us-southなどです。

cURL,をインストールするには、RHEL、CentOS,、FedoraLinuxディストリビューション用に'yum -q -y install curlを実行する。
5. Workload Protectionエージェントが実行されていることを確認する。 以下のコマンドを実行します。

ps -ef | grep sysdig

最新のWorkload Protectionエージェントのログを見るには、ディレクトリ'/opt/draios/logs に行き、ログファイル'draios.log を確認する。

エラーを探すには

grep error /opt/draios/logs/draios.log

パッケージを使用したエージェントの展開

Workload Protectionエージェントは、パッケージをインストールしてすべての設定を定義することで、手動でインストールすることもできます。

  1. アクセス・キーを取得します

  2. パブリックまたはプライベートの取り込み URL を確認します。 詳しくは、Collector エンドポイントを参照してください。

  3. dkms インストールされていることを確認する:

    • RHELまたはCentOS,の場合は、以下のコマンドを実行する:
    sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    sudo yum install dkms
    
  4. カーネル・ヘッダーをインストールします。 Workload Protectionエージェントをインストールすると、エージェントはカーネルヘッダーファイルを使用します。

    • RHELまたはCentOS,の場合は、以下のコマンドを実行する:
    sudo yum -y install kernel-devel-$(uname -r)
    
  5. GPG 鍵を信頼し、yum リポジトリーを構成します。

    • RHELまたはCentOS,の場合は、以下のコマンドを実行する:
    sudo rpm --import https://download.sysdig.com/DRAIOS-GPG-KEY.public && sudo curl -s -o /etc/yum.repos.d/draios.repo https://download.sysdig.com/stable/rpm/draios.repo
    
  6. 以下のコマンドを実行して、 Workload Protection エージェントをインストール、構成、および再始動します。

    • RHELまたはCentOS,の場合は、以下のコマンドを実行する:

    エージェント・パッケージをインストールします。

    sudo yum -y install draios-agent
    

    コレクター・エンドポイントとアクセス・キーを追加します。

    echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
    
    echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
    
    echo sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml
    echo host_scanner: >> /opt/draios/etc/dragent.yaml
    echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
    echo "  scan_on_start: true" >> /opt/draios/etc/dragent.yaml
    echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml
    echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
    
    sudo systemctl enable dragent
    
    sudo systemctl start dragent
    

あなたの設定ファイル(/opt/draios/etc/dragent.yaml)は次のようにする必要がある:

customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
  enabled: true
  scan_on_start: true
kspm_analyzer:
  enabled: true
collector_port: 6443
ssl: true

エージェントが開始されていることを確認し、 Workload Protection データ・ソース (「統合」>「データ・ソース | Sysdig エージェント」) にアクセスして、エージェントが正しく接続されていることを確認するまで数秒待ちます。

エージェントの更新

Linux上のWorkload ProtectionエージェントをPower Virtual Server上で更新するには、以下の手順を実行します。

sudo yum clean expire-cache
sudo yum -y install draios-agent

エージェントのトラブルシューティング

最新のWorkload Protectionエージェントのログを見るには、ディレクトリ'/opt/draios/logs に行き、ログファイル'draios.log を確認する。

脆弱性スキャンのログを見たい場合は、grep by 'host-scanner. 姿勢情報を探すには、grep by 'kspm-analyzer.

エラーを探すには、以下のコマンドを実行します。

grep -i error /opt/draios/logs/draios.log

UIで結果を確認する

数分後、脆弱性、姿勢の検証、およびホストに検出された脅威がある場合は、その結果を UI で確認できます。

あなたのWorkload Protectionインスタンスへのアクセス:

  • Integrations / Data Sources / Sysdig Agents でエージェントが正しく接続されていることを確認します。
  • インベントリの下にホストが表示されます。 ホスト名(Resource Name)またはオペレーティングシステムの種類(Platform)でフィルタリングできます
  • Workload ProtectionエージェントはLinux設定ファイルを評価し、有効なポリシーから失敗するコントロールを特定します。 インフラストラクチャ全体] ゾーンの [姿勢/コンプライアンス] ですべての結果を確認したり、[ポリシー/ゾーン]でLinuxホストの特定のゾーンを定義したりできます。
  • Workload Protectionエージェントは、Linuxホストのホストとイメージのスキャンを提供し、インストールされているすべてのパッケージと関連する脆弱性を深刻度順に検出し、修正プログラムが利用可能なものに優先順位を付けます。 Vulnerabilities / Runtime にアクセスし、ホスト名またはシステムの種類(asset.type is host)でホストを検索します。
  • Workload Protectionが設定されるとすぐに、設定されたランタイムポリシーに基づいて脅威の検出が開始されます。 脅威」にアクセスし、イベントが検出されたかどうかを確認する。 この ドキュメント では、脅威検出ポリシーとルールを管理する方法を説明します。