管理 Windows 服务器上的 Workload Protection 代理
在 IBM Cloud 中配置 IBM Cloud® Security and Compliance Center Workload Protection 服务实例后,您可以在 Windows 服务器上部署 Workload Protection 代理,以收集事件并保护工作负载。
Workload Protection 提供以下功能来保护 Windows 服务器:
- 威胁检测和响应:通过处理系统调用事件,根据应用程序、网络和主机活动识别威胁和可疑活动,并通过详细的系统捕获进行调查。
准备工作
部署代理进行威胁检测和响应
Workload Protection 代理使用 Falco 来确保工作负载的安全性和合规性。 代理有两个组件,即连接管理器和安全管理器,它们都由代理安装程序管理。
可以使用 GUI 或 CLI 操作安装 Workload Protection 代理。
下载 MSI 格式的代理,通过 GUI 或 CLI 开始安装。
图形用户界面安装
您可以使用图形用户界面执行 MSI,安装过程会提示您接受 EULA 并输入采集器和访问密钥的详细信息。
CLI 安装
通过 CommandLine
或 PowerShell
运行以下命令,以静默模式运行 MSI。 切记将 <COLLECTOR_URL>
和 <AGENT_ACCESS_KEY>
替换为 Workload Protection 实例中的值:
> msiexec /i sysdig-agent.msi COLLECTOR_URL=<COLLECTOR_URL> COLLECTOR_PORT=6443 ACCESS_KEY=<AGENT_ACCESS_KEY> ACCEPT_TERMS_CONDITIONS=True /qn
验证安装
- 安装 Workload Protection 代理后,主机中应运行两个新服务:
Sysdig Connection Manager
和Sysdig Security Manager
。 - 访问您的 Workload Protection 实例,然后单击 Integrations / Data Sources - Sysdig Agents。 您应该能看到 Windows 服务器的列表。
- 在
Windows Workload
部分的 Policies / Runtime Policies 下验证、启用或自定义威胁检测策略。
查看 Windows 威胁检测与 IBM Security and Compliance Center Workload Protection 以了解 Windows 上的威胁检测示例以及如何对检测到的事件进行故障排除。