保护 Linux 主机
在 IBM Cloud中供应 IBM Cloud® Security and Compliance Center Workload Protection 服务的实例后,可以在 Linux 主机上部署 Workload Protection 代理程序以收集事件并保护工作负载。 您可以配置要在每个环境中检测的威胁,并执行取证流程以了解安全违规。
Workload Protection 提供以下功能来保护独立 Linux 主机:
-
威胁检测: 通过处理 syscall 事件并使用详细的系统捕获进行调查,根据应用程序,网络和主机活动来识别威胁和可疑活动。
-
态势管理: 扫描主机配置文件以获取合规性和基准,例如 CIS Linux Benchmark。
-
主机扫描: 扫描主机包,检测关联的漏洞,并根据可用的固定版本和严重性确定解决优先级。
使用 Workload Protection保护在 IBM Cloud,其他云提供者 (例如 Amazon Web Services,Azure,Google Cloud Platform) 或本地运行的主机。 支持在 Workload Protection 代理使用软件包安装在 Debian, Ubuntu, CentOS, RHEL, Fedora, Amazon AMI 和 Amazon Linux 2 上。
使用脚本部署 Linux 代理程序
完成以下步骤,在Linux上配置Workload Protection代理,以检测威胁、验证操作系统态势并扫描服务器以识别漏洞。 该代理会将所有安全检测结果转发给Workload Protection服务实例:
-
获取访问密钥。
-
获取公共或专用采集 URL。 有关更多信息,请参阅 收集器端点。
-
安装内核头。 安装 Workload Protection 代理程序时,该代理程序使用内核头文件。 选择一个发行版,并为该发行版运行以下命令。
-
对于 Debian 和 Ubuntu Linux 分发版,运行以下命令:
apt-get -y install linux-headers-$(uname -r) -
对于 RHEL、CentOS 和 Fedora Linux 分发版,运行以下命令:
yum -y install kernel-devel-$(uname -r)
-
-
部署Workload Protection代理。 运行以下命令:
curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n enabled: true\n scan_on_start: true\nkspm_analyzer:\n enabled: true'
其中:
ACCESS_KEY是实例的摄取键。COLLECTOR_ENDPOINT是Workload Protection实例所在区域的公共或私有摄取 URL。 要获取端点,请参阅 Collector 端点。 例如,ingest.private.us-east.security-compliance-secure.cloud.ibm.com。API_ENDPOINT是Workload Protection实例所在区域的公共或私有 API 端点 URL。 要获取端点,请参阅 Collector 端点。 确保添加时不带 "https或 "/api,例如 "private.us-east.security-compliance-secure.cloud.ibm.com。TAG_DATA是以逗号分隔的标记,格式为 "TAG_NAME:TAG_VALUE。 您可以为Workload Protection代理关联一个或多个标记。 例如,role:serviceX,location:us-south。
为RHEL、CentOS,和FedoraLinux发行版 安装cURL,运行yum -q -y install curl 5. 检查 Workload Protection 代理程序是否正在运行。 运行以下命令:
ps -ef | grep sysdig
要查看最新的 Workload Protection 代理程序日志,请转至目录 /opt/draios/logs 并检查日志文件 draios.log。
要查找错误,请发出:
grep error /opt/draios/logs/draios.log
使用软件包部署 Linux 代理程序
您也可以通过安装软件包并定义所有配置,手动安装Workload Protection代理。
-
获取访问密钥。
-
获取公共或专用采集 URL。 有关更多信息,请参阅 收集器端点。
-
信任 Sysdig Monitor GPG 密钥,配置
apt存储库,并通过运行以下命令来更新软件包列表:curl -s https://download.sysdig.com/DRAIOS-GPG-KEY.public | apt-key add -curl -s -o /etc/apt/sources.list.d/draios.list http://download.sysdig.com/stable/deb/draios.listapt-get update -
安装内核头。 安装 Workload Protection 代理程序时,该代理程序使用内核头文件。 选择一个发行版,并为该发行版运行以下命令。
-
对于Debian和Ubuntu Linux发行版,请运行以下命令:
apt-get -y install linux-headers-$(uname -r) -
对于 RHEL、CentOS 和 Fedora Linux 分发版,运行以下命令:
yum -y install kernel-devel-$(uname -r)
- 通过运行以下命令来安装,配置和重新启动 Sysdig 代理程序。
-
对于Debian和Ubuntu Linux发行版,请运行以下命令:
apt-get -y install draios-agentecho customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml echo tags: [TAGS] >> /opt/draios/etc/dragent.yamlecho collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml echo ssl: true >> /opt/draios/etc/dragent.yamlservice dragent restart -
对于 RHEL、CentOS,和 FedoraLinux发行版,请运行以下命令:
yum -y install draios-agentecho customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml echo tags: [TAGS] >> /opt/draios/etc/dragent.yamlecho collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml echo ssl: true >> /opt/draios/etc/dragent.yamlecho secure: true >> /opt/draios/etc/dragent.yamlecho sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml echo host_scanner: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yaml echo " scan_on_start: true" >> /opt/draios/etc/dragent.yaml echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml echo " enabled: true" >> /opt/draios/etc/dragent.yamlsudo systemctl enable dragentsudo systemctl start dragent
您的配置文件(/opt/draios/etc/dragent.yaml)需要看起来像这样:
customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
enabled: true
scan_on_start: true
kspm_analyzer:
enabled: true
collector_port: 6443
ssl: true
更新Linux代理
完成以下步骤更新Linux 上的Workload Protection代理。
要从Debian和Ubuntu Linux发行版更新代理,请以 "sudo 用户身份运行以下命令:
sudo apt-get update
sudo apt-get -y install draios-agent
要从 RHEL、CentOS,和 FedoraLinux发行版更新代理,请以 "sudo 用户身份运行以下命令:
yum clean expire-cache
sudo yum -y install draios-agent
除去已作为服务部署在 Linux 系统中的 Workload Protection 代理程序
完成以下步骤,删除Linux 上的Workload Protection代理。
要从Debian和Ubuntu Linux发行版卸载代理,请以 "sudo 用户身份运行以下命令:
sudo apt-get remove draios-agent
要从 RHEL、CentOS,和 FedoraLinux发行版卸载代理,请以 "sudo 用户身份运行以下命令:
sudo yum erase draios-agent
对代理程序进行故障诊断
使用 CLI 检查代理程序的状态
要检查代理的状态,请运行以下命令:
service dragent status
systemctl status dragent
查看代理程序的日志
要查看最新的 Workload Protection 代理程序日志,请转至目录 /opt/draios/logs 并检查日志文件 draios.log。
如果您想查看漏洞扫描日志,请按 "host-scanner 进行 grep 搜索。 要查找 "姿势 "信息,请按 "kspm-analyzer 搜索。
要查找错误,可以运行以下命令:
grep error /opt/draios/logs/draios.log
验证代理程序的状态
要检查Workload Protection代理是否正在运行,请运行以下命令:
ps -ef | grep sysdig
在用户界面中验证结果
几分钟后,您就可以在用户界面上查看主机中检测到的漏洞、态势验证和威胁(如有)的结果。
访问您的Workload Protection实例:
- 在集成/数据源/Sysdig 代理下确认代理连接正确。
- 查看“库存”下的主机。 您可以根据主机名(
Resource Name)或操作系统类型(Platform)进行筛选 - Workload Protection代理将评估Linux配置文件,从启用的策略中识别失败的控制。 您可以在“整个基础架构”区域的“态势/合规性”中查看所有结果,也可以在“策略/区域”中为Linux主机定义特定区域。
- Workload Protection代理可对Linux主机进行主机和镜像扫描,检测所有已安装的软件包和相关漏洞(按严重程度排序),并优先修复已安装的软件包。 访问漏洞/运行时,然后通过主机名或系统类型(
asset.type is host)搜索您的主机。 - Workload Protection将根据配置的运行时策略开始检测威胁。 访问威胁,查看是否检测到任何事件。 在本 文档 中,您可以找到如何管理威胁检测策略和规则。