スクリプトを使用した Linux エージェントのデプロイ

脅威を検出し、オペレーティング・システムの姿勢を検証し、サーバをスキャンして脆弱性を特定するために、Linux上でWorkload Protectionエージェントを構成するには、以下の手順を実行します。 このエージェントは、Workload Protectionサービスのインスタンスに、すべてのセキュリティの発見を転送する：

1. アクセス・キーを取得します。

2. パブリックまたはプライベートの取り込み URL を確認します。 詳しくは、Collector エンドポイントを参照してください。

3. カーネル・ヘッダーをインストールします。 Workload Protectionエージェントをインストールすると、エージェントはカーネルヘッダーファイルを使用します。 ディストリビューションを選択し、そのディストリビューションに応じて以下のコマンドを実行してください。

   • Debian および Ubuntu Linux ディストリビューションの場合には、以下のコマンドを実行します。

     apt-get -y install linux-headers-$(uname -r)
     

   • RHEL、CentOS、および Fedora Linux ディストリビューションの場合には、以下のコマンドを実行します。

     yum -y install kernel-devel-$(uname -r)
     

4. Workload Protectionエージェントを配置します。 以下のコマンドを実行します。

   curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n  enabled: true\n  scan_on_start: true\nkspm_analyzer:\n  enabled: true'
   

ここで、

• ACCESS_KEY はインスタンスのインジェスト・キーです。
• COLLECTOR_ENDPOINT は、Workload Protectionインスタンスが利用可能な地域のパブリックまたはプライベートの取り込み URL です。 エンドポイントを確認するには、Collector エンドポイントを参照してください。 例えば、ingest.private.us-east.security-compliance-secure.cloud.ibm.comなどです。
• API_ENDPOINT は、Workload Protectionインスタンスが利用可能な地域のパブリックまたはプライベート API エンドポイント URL です。 エンドポイントを確認するには、Collector エンドポイントを参照してください。 https や'/api 付けずに、例えば'private.us-east.security-compliance-secure.cloud.ibm.com ように付けてください。
• TAG_DATA はカンマで区切られたタグで、'TAG_NAME:TAG_VALUE ようにフォーマットされる。 1つ以上のタグをWorkload Protectionエージェントに関連付けることができます。 例えば、role:serviceX,location:us-southなどです。

cURL,をインストールするには、RHEL、CentOS,、FedoraLinuxディストリビューション用に'yum -q -y install curlを実行する。
5. Workload Protectionエージェントが実行されていることを確認する。 以下のコマンドを実行します。

ps -ef | grep sysdig

最新のWorkload Protectionエージェントのログを見るには、ディレクトリ'/opt/draios/logs に行き、ログファイル'draios.log を確認する。

エラーを探すには、次のコマンドを発行します。

grep error /opt/draios/logs/draios.log

パッケージを使用した Linux エージェントのデプロイ

Workload Protectionエージェントは、パッケージをインストールしてすべての設定を定義することで、手動でインストールすることもできます。

1. アクセス・キーを取得します。

2. パブリックまたはプライベートの取り込み URL を確認します。 詳しくは、Collector エンドポイントを参照してください。

3. 以下のコマンドを実行して、Sysdig Monitor GPG 鍵を信頼し、 apt リポジトリーを構成し、パッケージ・リストを更新します。

   curl -s https://download.sysdig.com/DRAIOS-GPG-KEY.public | apt-key add -
   

   curl -s -o /etc/apt/sources.list.d/draios.list http://download.sysdig.com/stable/deb/draios.list
   

   apt-get update
   

4. カーネル・ヘッダーをインストールします。 Workload Protectionエージェントをインストールすると、エージェントはカーネルヘッダーファイルを使用します。 ディストリビューションを選択し、そのディストリビューションに応じて以下のコマンドを実行してください。

• Debian および Ubuntu Linux ディストリビューションの場合には、以下のコマンドを実行します。

  apt-get -y install linux-headers-$(uname -r)
  

• RHEL、CentOS、および Fedora Linux ディストリビューションの場合には、以下のコマンドを実行します。

  yum -y install kernel-devel-$(uname -r)
  

5. 以下のコマンドを実行して、Sysdig エージェントをインストール、構成、および再始動します。

• Debian および Ubuntu Linux ディストリビューションの場合には、以下のコマンドを実行します。

  apt-get -y install draios-agent
  

  echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
  echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml
  

  echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
  echo ssl: true >> /opt/draios/etc/dragent.yaml
  

  service dragent restart
  

• RHEL、CentOS,、FedoraLinuxディストリビューションの場合は、以下のコマンドを実行する：

  yum -y install draios-agent
  

  echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
  echo tags: [TAGS] >> /opt/draios/etc/dragent.yaml
  

  echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
  echo ssl: true >> /opt/draios/etc/dragent.yaml
  

  echo secure: true >> /opt/draios/etc/dragent.yaml
  

  echo sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml
  echo host_scanner: >> /opt/draios/etc/dragent.yaml
  echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
  echo "  scan_on_start: true" >> /opt/draios/etc/dragent.yaml
  echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml
  echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
  

  sudo systemctl enable dragent
  

  sudo systemctl start dragent
  

あなたの設定ファイル（/opt/draios/etc/dragent.yaml）は次のようにする必要がある：

customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
  enabled: true
  scan_on_start: true
kspm_analyzer:
  enabled: true
collector_port: 6443
ssl: true

Linuxエージェントのアップデート

Linux上でWorkload Protectionエージェントを更新するには、以下の手順を実行します。

DebianおよびUbuntu Linuxディストリビューションからエージェントをアップデートするには、'sudo ユーザとして以下のコマンドを実行します：

sudo apt-get update

sudo apt-get -y install draios-agent

RHEL、CentOS,、FedoraLinuxディストリビューションからエージェントを更新するには、「sudo ユーザーとして以下のコマンドを実行する：

yum clean expire-cache

sudo yum -y install draios-agent

LinuxシステムのサービスとしてデプロイされたWorkload Protectionエージェントの削除

Linux上でWorkload Protectionエージェントを削除するには、以下の手順を実行します。

DebianおよびUbuntu Linuxディストリビューションからエージェントをアンインストールするには、'sudo ユーザとして以下のコマンドを実行します：

sudo apt-get remove draios-agent

RHEL、CentOS,、FedoraLinuxディストリビューションからエージェントをアンインストールするには、「sudo ユーザーとして以下のコマンドを実行します：

sudo yum erase draios-agent

エージェントのトラブルシューティング

service dragent status

systemctl status dragent

grep error /opt/draios/logs/draios.log

ps -ef | grep sysdig

UIで結果を確認する

数分後、脆弱性、姿勢の検証、およびホストに検出された脅威がある場合は、その結果を UI で確認できます。

あなたのWorkload Protectionインスタンスへのアクセス：

• Integrations / Data Sources / Sysdig Agents でエージェントが正しく接続されていることを確認します。
• インベントリの下にホストが表示されます。 ホスト名（Resource Name）またはオペレーティングシステムの種類（Platform）でフィルタリングできます
• Workload ProtectionエージェントはLinux設定ファイルを評価し、有効なポリシーから失敗するコントロールを特定します。 インフラストラクチャ全体] ゾーンの [姿勢/コンプライアンス] ですべての結果を確認したり、[ポリシー/ゾーン]でLinuxホストの特定のゾーンを定義したりできます。
• Workload Protectionエージェントは、Linuxホストのホストとイメージのスキャンを提供し、インストールされているすべてのパッケージと関連する脆弱性を深刻度順に検出し、修正プログラムが利用可能なものに優先順位を付けます。 Vulnerabilities / Runtime にアクセスし、ホスト名またはシステムの種類（asset.type is host）でホストを検索します。
• Workload Protectionが設定されるとすぐに、設定されたランタイムポリシーに基づいて脅威の検出が開始されます。 脅威」にアクセスし、イベントが検出されたかどうかを確認する。 この ドキュメント では、脅威検出ポリシーとルールを管理する方法を説明します。