Windows サーバー上の Workload Protection エージェントの管理
IBM Cloud® Security and Compliance Center Workload Protection サービスのインスタンスを IBM Cloud でプロビジョニングした後、Workload Protection エージェントを Windows Server にデプロイして、イベントを収集し、ワークロードを保護することができます。
Workload Protectionは、Windowsサーバを保護するために以下の機能を提供します:
- 脅威の検出と対応: シスコールイベントを処理し、詳細なシステムキャプチャで調査することにより、アプリケーション、ネットワーク、ホストのアクティビティに基づいて脅威や疑わしいアクティビティを識別します。
開始前に
-
アクセス・キーを取得します。 これは後で
AGENT_ACCESS_KEYとして使われます。 -
パブリックまたはプライベートの取り込み URL を確認します。 詳しくは、Collector エンドポイントを参照してください。 これは後で
COLLECTOR_URLとして使われます。 -
操作を実行するための
Administrator権限を持っていることを確認してください。
脅威の検知と対応のためのエージェントの展開
Workload Protection エージェントは、ワークロードのセキュリティとコンプライアンスを保証するために Falco を使用します。 エージェントには、コネクションマネージャとセキュリティマネージャの2つのコンポーネントがあり、いずれもエージェントインストーラによって管理されます。
Workload Protectionエージェントのインストールは、GUIでもCLIでも可能です。
エージェント をMSI形式でダウンロードし、GUIまたはCLIでインストールを開始します。
GUIのインストール
GUIを使用してMSIを実行すると、インストールプロセスでEULAに同意し、コレクターとアクセスキーの詳細を入力するよう求められます。
CLI のインストール
以下のコマンドを実行して、CommandLine または PowerShell からサイレントモードでMSIを実行します。 <COLLECTOR_URL> と <AGENT_ACCESS_KEY> は、Workload Protectionインスタンスの値で置き換えることを忘れないでください:
> msiexec /i sysdig-agent.msi COLLECTOR_URL=<COLLECTOR_URL> COLLECTOR_PORT=6443 ACCESS_KEY=<AGENT_ACCESS_KEY> ACCEPT_TERMS_CONDITIONS=True /qn
インストールの検証
- Workload Protectionエージェントをインストールすると、
Sysdig Connection ManagerとSysdig Security Managerの2つの新しいサービスがホストで実行されているはずです。 - Workload Protection インスタンスにアクセスし、Integrations / Data Sources - Sysdig Agents をクリックします。 そこにWindowsサーバーが表示されているはずです。
Windows Workloadセクションの Policies / Runtime Policies にある Threat Detection ポリシーを確認、有効化、またはカスタマイズします。
Windows での脅威検出の例と、検出されたイベントのトラブルシューティング方法については、IBM Security and Compliance Center Workload Protection によるWindows脅威検出 をご覧ください。