IBM Cloud Docs
管理 Windows 服务器上的 Workload Protection 代理

管理 Windows 服务器上的 Workload Protection 代理

在 IBM Cloud 中配置 IBM Cloud® Security and Compliance Center Workload Protection 服务实例后,您可以在 Windows 服务器上部署 Workload Protection 代理,以收集事件并保护工作负载。

Workload Protection 提供以下功能来保护 Windows 服务器:

  • 威胁检测和响应:通过处理系统调用事件,根据应用程序、网络和主机活动识别威胁和可疑活动,并通过详细的系统捕获进行调查。

准备工作

  1. 获取访问密钥。 稍后将作为 AGENT_ACCESS_KEY 使用。

  2. 获取公共或专用采集 URL。 有关更多信息,请参阅 收集器端点。 稍后将作为 COLLECTOR_URL 使用。

  3. 确保您拥有 Administrator 执行操作的权限。

部署代理进行威胁检测和响应

Workload Protection 代理使用 Falco 来确保工作负载的安全性和合规性。 代理有两个组件,即连接管理器和安全管理器,它们都由代理安装程序管理。

可以使用 GUI 或 CLI 操作安装 Workload Protection 代理。

下载 MSI 格式的代理,通过 GUI 或 CLI 开始安装。

图形用户界面安装

您可以使用图形用户界面执行 MSI,安装过程会提示您接受 EULA 并输入采集器和访问密钥的详细信息。

CLI 安装

通过 CommandLinePowerShell 运行以下命令,以静默模式运行 MSI。 切记将 <COLLECTOR_URL><AGENT_ACCESS_KEY> 替换为 Workload Protection 实例中的值:

> msiexec /i sysdig-agent.msi COLLECTOR_URL=<COLLECTOR_URL> COLLECTOR_PORT=6443 ACCESS_KEY=<AGENT_ACCESS_KEY> ACCEPT_TERMS_CONDITIONS=True /qn

验证安装

  • 安装 Workload Protection 代理后,主机中应运行两个新服务:Sysdig Connection ManagerSysdig Security Manager
  • 访问您的 Workload Protection 实例,然后单击 Integrations / Data Sources - Sysdig Agents。 您应该能看到 Windows 服务器的列表。
  • Windows Workload 部分的 Policies / Runtime Policies 下验证、启用或自定义威胁检测策略。

查看 Windows 威胁检测与 IBM Security and Compliance Center Workload Protection 以了解 Windows 上的威胁检测示例以及如何对检测到的事件进行故障排除。