使用脚本部署代理

完成以下步骤，在Linux上配置Workload Protection代理，以检测威胁、验证操作系统态势并扫描服务器以识别漏洞。 该代理会将所有安全检测结果转发给Workload Protection服务实例：

1. 获取访问密钥。

2. 获取公共或专用采集 URL。 有关更多信息，请参阅 收集器端点。

3. 安装内核头。 安装 Workload Protection 代理程序时，该代理程序将使用内核头文件。 选择一个发行版，并为该发行版运行以下命令。

   • 对于 Debian 和 Ubuntu Linux 分发版，运行以下命令：

     apt-get -y install linux-headers-$(uname -r)
     

   • 对于 RHEL、CentOS 和 Fedora Linux 分发版，运行以下命令：

     yum -y install kernel-devel-$(uname -r)
     

4. 部署Workload Protection代理。 运行以下命令：

   curl -sL https://ibm.biz/install-sysdig-agent | sudo bash -s -- -a ACCESS_KEY -c COLLECTOR_ENDPOINT --collector_port 6443 --tags TAG_DATA --secure true --additional_conf 'sysdig_api_endpoint: API_ENDPOINT\nhost_scanner:\n  enabled: true\n  scan_on_start: true\nkspm_analyzer:\n  enabled: true'
   

其中：

• ACCESS_KEY 是实例的摄取键。
• COLLECTOR_ENDPOINT 是Workload Protection实例所在区域的公共或私有摄取 URL。 要获取端点，请参阅 Collector 端点。 例如，ingest.private.us-east.security-compliance-secure.cloud.ibm.com。
• API_ENDPOINT 是Workload Protection实例所在区域的公共或私有 API 端点 URL。 要获取端点，请参阅 Collector 端点。 确保添加时不带 "https 或 "/api，例如 "private.us-east.security-compliance-secure.cloud.ibm.com。
• TAG_DATA 是以逗号分隔的标记，格式为 "TAG_NAME:TAG_VALUE。 您可以为Workload Protection代理关联一个或多个标记。 例如，role:serviceX,location:us-south。

要安装cURL,，在 RHEL、CentOS,和 FedoraLinux发行版中运行 "yum -q -yinstall curl "即可。
5. 检查Workload Protection代理是否正在运行。 运行以下命令：

ps -ef | grep sysdig

要查看最新的 Workload Protection 代理程序日志，请转至目录 /opt/draios/logs 并检查日志文件 draios.log。

要查找错误，请发出

grep error /opt/draios/logs/draios.log

使用软件包部署代理

您也可以通过安装软件包并定义所有配置，手动安装Workload Protection代理。

1. 获取访问密钥。

2. 获取公共或专用采集 URL。 有关更多信息，请参阅 收集器端点。

3. 确保已安装 "dkms

   • 对于 RHEL 或CentOS,运行以下命令：

   sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   sudo yum install dkms
   

4. 安装内核头。 安装 Workload Protection 代理程序时，该代理程序将使用内核头文件。

   • 对于 RHEL 或CentOS,运行以下命令：

   sudo yum -y install kernel-devel-$(uname -r)
   

5. 信任 GPG 密钥并配置 yum 存储库:

   • 对于 RHEL 或CentOS,运行以下命令：

   sudo rpm --import https://download.sysdig.com/DRAIOS-GPG-KEY.public && sudo curl -s -o /etc/yum.repos.d/draios.repo https://download.sysdig.com/stable/rpm/draios.repo
   

6. 通过运行以下命令来安装，配置和重新启动 Workload Protection 代理程序:

   • 对于 RHEL 或CentOS,运行以下命令：

   安装代理程序包:

   sudo yum -y install draios-agent
   

   添加收集器端点和访问密钥:

   echo customerid: ACCESS_KEY >> /opt/draios/etc/dragent.yaml
   

   echo collector: COLLECTOR_URL >> /opt/draios/etc/dragent.yaml
   

   echo sysdig_api_endpoint: API_ENDPOINT >> /opt/draios/etc/dragent.yaml
   echo host_scanner: >> /opt/draios/etc/dragent.yaml
   echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
   echo "  scan_on_start: true" >> /opt/draios/etc/dragent.yaml
   echo kspm_analyzer: >> /opt/draios/etc/dragent.yaml
   echo "  enabled: true" >> /opt/draios/etc/dragent.yaml
   

   sudo systemctl enable dragent
   

   sudo systemctl start dragent
   

您的配置文件（/opt/draios/etc/dragent.yaml）需要看起来像这样：

customerid: ACCESS_KEY
tags: [TAGS]
collector: COLLECTOR_URL
sysdig_api_endpoint: API_ENDPOINT
host_scanner:
  enabled: true
  scan_on_start: true
kspm_analyzer:
  enabled: true
collector_port: 6443
ssl: true

请等待几秒钟，以确保代理程序已启动并可访问 Workload Protection 数据源 (集成> 数据源 | Sysdig 代理程序)，以验证代理程序是否已正确安装。

sudo yum clean expire-cache

sudo yum -y install draios-agent

grep -i error /opt/draios/logs/draios.log

在用户界面中验证结果

几分钟后，您就可以在用户界面上查看主机中检测到的漏洞、态势验证和威胁（如有）的结果。

访问您的Workload Protection实例：

• 在集成/数据源/Sysdig 代理下确认代理连接正确。
• 查看“库存”下的主机。 您可以根据主机名（Resource Name）或操作系统类型（Platform）进行筛选
• Workload Protection代理将评估Linux配置文件，从启用的策略中识别失败的控制。 您可以在“整个基础架构”区域的“态势/合规性”中查看所有结果，也可以在“策略/区域”中为Linux主机定义特定区域。
• Workload Protection代理可对Linux主机进行主机和镜像扫描，检测所有已安装的软件包和相关漏洞（按严重程度排序），并优先修复已安装的软件包。 访问漏洞/运行时，然后通过主机名或系统类型（asset.type is host）搜索您的主机。
• Workload Protection将根据配置的运行时策略开始检测威胁。 访问威胁，查看是否检测到任何事件。 在本 文档 中，您可以找到如何管理威胁检测策略和规则。