Cisco Secure Endpoint Linuxコネクタの導入
はじめに
この記事では、管理者がRPMベースおよびDebianベースのシステムにCisco Secure Endpoint Linuxコネクタを導入するために実行できる手順について説明します。
要件
OSの互換性については、「Cisco Secure Endpoint Linux Connector OS Compatibility article」を参照してください。
推奨されるLinuxシステム要件については、『Secure Endpoint User Guide』を参照してください。
Linuxコネクタの導入
Linuxコネクタパッケージのダウンロード
- Secure Endpoint Consoleで、
Download Connectorページに移動します。
- 「Linux Distribution」ドロップダウンを使用して適切なLinuxコネクタパッケージを選択し、ディストリビューションを選択します。
Downloadボタンをクリックして、選択したパッケージのダウンロードを開始します。
- ダウンロードしたパッケージをエンドポイントに転送します。
Linuxコネクタパッケージの確認
Linuxコネクタは、Cisco GPG公開キーなしでインストールできます。ただし、ポリシーによってコネクタのアップデートをプッシュする場合は、エンドポイントに公開キーをインストールする必要があります。RPMベースのディストリビューションの場合は、RPMデータベースにキーをインポートします。Debianベースのディストリビューションでは、鍵をdebsigキーリングにインポートします。
ここでは、Cisco GPG公開キーをシステムにインポートする方法と、インポートしたキーを使用してダウンロードしたコネクタパッケージを検証する方法について説明します。
Cisco GPG公開キーの取得
- Secure Endpoint Console
Download Connectorページで、LinuxセクションからShow GPG Public Keyリンクを選択します。
- Cisco GPG公開キーがポップアップウィンドウに表示されます。このポップアップで
Downloadを選択して、システムにキーをダウンロードします。キーは、Downloadsフォルダにcisco.gpgとして表示されます。
- ダウンロードしたキーをエンドポイントに転送します。
RPMベース
RPMパッケージは署名されており、RPMパッケージマネージャーを使用して確認できます。
- Cisco GPG公開キーをRPMデータベースにインポートします。
sudo rpm --import cisco.gpg - Cisco GPG公開キーがインストールされていることを確認します。
次の公開キーが表示されます。rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’gpg-pubkey-34532611-6477a906 --> Cisco, Inc. - RPMを使用してLinuxコネクタパッケージを確認します。例:
次の出力が表示されます。rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpmamp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
Debianベース
DebianパッケージはDebianパッケージ署名検証(debsig)ツールを使って署名され、debsig-verifyを使って検証できます。
debsig-verifyツールをインストールします。sudo apt-get install debsig-verify- Cisco GPG公開キーをdebsigキーリングにインポートします。注:バージョン1.17.0では、debsig.gpgファイルが自動的に作成されるため、手順2は省略できます。
sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg - ポリシーディレクトリを作成します。
sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F - 以下のポリシーの内容を新しいファイル「/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol」にコピーします。
debsig-verifyを使用してシグニチャを確認します。例:
次の出力が表示されます。debsig-verify ubuntu-20-04-amd64.debdebsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
Linuxコネクタパッケージのインストール
カーネルヘッダーのインストール
最近のLinuxディストリビューションのほとんどは、eBPFをサポートするカーネルのバージョンを使用しています。これは、システムを監視するためにコネクタで使用されます。エンドポイントのカーネルバージョンを確認するには、次のコマンドを実行します。
uname -r
配布バージョンが次のいずれかに一致する場合、コネクタはシステムモニタリングにeBPFを使用します。
- カーネルのバージョンが3.10.0-940以降のRPMベースのディストリビューション(EL7 / Enterprise Linux 7.9はこのカーネルバージョンで最も古いディストリビューションです)。
- カーネルバージョンが4.18以降のDebianベースのディストリビューション
ディストリビューションとカーネルバージョンのマッピングの詳細については、ここを参照してください。
エンドポイントでeBPFがサポートされている場合、コネクタでシステムを監視するには、正しいカーネルヘッダーをインストールする必要があります。エンドポイントに正しいカーネルヘッダーがインストールされていない場合、コネクタはエラー11(システム依存の欠落)を発生させ、ファイル、プロセス、またはネットワークの監視なしで縮退状態で実行されます。
正しいカーネルヘッダーをインストールする方法については、『Linux Kernel-Device Fault』の記事を参照してください。
コネクタの取り付け
重要:環境内で他のセキュリティ製品を実行している場合、コネクタインストーラが脅威として検出される可能性があります。コネクタを正常にインストールするには、Cisco Secureを許可リストに追加するか、他のセキュリティ製品からCisco Secureを除外して、再試行します。
重要:コネクタのインストール時に、cisco-amp-scan-svcという名前のユーザとグループがシステム上に作成されます。このユーザまたはグループがすでに存在していても、設定が異なる場合、インストーラは削除を試行し、必要な設定を使用して再作成します。必要な設定でユーザとグループを作成できなかった場合、インストーラは失敗します。
RPMベース
コネクタをインストールするには、次のコマンドのいずれかを実行します。[rpm package]はファイル名です(例:amp_Installation_Demo_rhel-centos-8-x86_64.rpm)。
- YUM経由:
sudo yum localinstall -y [rpm package] - Zypper経由:
sudo zypper install -y [rpm package]
注: yumまたはzypper経由でインストールすると、必要な依存関係のインストールが処理されます。
Debianベース
コネクタをインストールするには、次のコマンドを実行します。[deb package]はファイル名です(例:amp_Installation_Demo_ubuntu-20-04-amd64.deb)。
sudo dpkg -i [deb package]
Linuxコネクタは、Debianベースのシステムのベースインストールに含まれるシステムパッケージに依存していますが、依存関係が欠落している場合は、次のメッセージが表示されます。
ciscoampconnector depends on
; however: Package
is not installed.
ここで、<package_name>は、欠落している依存関係の名前です。次のコマンドを使用して、Linuxコネクタに必要な不足している依存関係をインストールします。
sudo apt install
不足している依存関係がすべてインストールされたら、コネクタのインストールを再試行できます。
Cisco GPG公開キーの比較
Linuxコネクタのバージョンが1.17.0以降の場合、コネクタのアップデート中にアップグレードパッケージを確認するために使用するCisco GPG公開キーが、次の場所に自動的にインストールされます。
- RPMベース:
/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp - Debianベース:
/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp
コネクタによってインストールされたキーと、セキュアエンドポイントコンソールから取得したキーを比較します。
インストールの確認
Linuxコネクタのコマンドラインインターフェイス(CLI)を使用して、Linuxコネクタのインストールが正常に行われたことを確認できます。/opt/cisco/amp/bin/ampcli statusを実行します。コネクタが正常にインストールされたら、Connectedであり、/opt/cisco/amp/bin/ampcli/ampcli statusコマンドを実行したときに障害が一覧に表示されないことを確認します。
$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2024-01-09 01:45:49 PM
Policy: Installation Demo Policy (#9606)
Command-line: Enabled
Orbital: Enabled (Running)
Behavioural Protection: Protect
Faults: None
コネクタが接続されていることを確認するには、セキュアエンドポイントコンソールでインストールイベントの存在を確認します。
Eventsページに移動します。
- コネクタのインストールイベントを見つけます。
Install Startedイベントタイプに分類されている必要があります。
- コネクタのダウンロード時に
Flash Scan on Installチェックボックスを選択した場合は、2つのスキャンイベントの存在を確認することもできます。
Scanイベントタイプでフィルタリングして、コネクタのスキャンイベントを検索します。注:グループおよびコネクタGUIDのフィルタを追加して、検索を絞り込むこともできます。スキャンの開始と終了に対応する2つのイベントが表示されます。
Linuxコネクタのアンインストール
RPMベース
- システムパッケージマネージャを使用して、Linuxコネクタをアンインストールします。
- YUM経由:
sudo yum remove ciscoampconnector -y - Zypper経由:
sudo zypper remove -y ciscoampconnector
- YUM経由:
- 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。
/opt/cisco/amp/bin/purge_amp_local_data
Debianベース
- システムパッケージマネージャを使用して、Linuxコネクタをアンインストールします。
sudo dpkg --remove cisco-orbital ciscoampconnector - 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。
sudo dpkg --purge cisco-orbital ciscoampconnector
アンインストールの詳細な手順については、『Secure Endpoint User Guide』を参照してください。
以下も参照のこと
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
24-Jan-2024 |
インストール手順を更新。 |
3.0 |
11-Apr-2022 |
インストール可能なパッケージのリストにSUSE 15を追加。 |
2.0 |
13-Sep-2021 |
1.17リリース用に自動的にインポートされるGBGキーに関する注記を追加 |
1.0 |
07-Apr-2020 |
初版 |
フィードバック