はじめに
この記事では、Cisco Secure Endpoint LinuxコネクタをRPMベースおよびDebianベースのシステムに導入するために管理者が実行できる手順について説明します。
要件
OSの互換性については、「Cisco Secure Endpoint Linux Connector OS Compatibility article」を参照してください。
推奨されるLinuxシステム要件については、『セキュアエンドポイントユーザガイド』を参照してください。
Linuxコネクタの導入
Linuxコネクタパッケージのダウンロード
- Secure Endpoint Consoleで、
Download Connector
ページに移動します。
- 「Linux Distribution」ドロップダウンを使用して適切なLinuxコネクタパッケージを選択し、ディストリビューションを選択します。
Download
ボタンをクリックして、選択したパッケージのダウンロードを開始します。
- ダウンロードしたパッケージをエンドポイントに転送します。
Linuxコネクタパッケージの確認
Linuxコネクタは、Cisco GPG公開キーなしでインストールできます。ただし、ポリシーでコネクタのアップデートをプッシュする場合は、エンドポイントに公開キーをインストールする必要があります。RPMベースの配布の場合は、RPMデータベースにキーをインポートします。Debianベースのディストリビューションでは、鍵をdebsigキーリングにインポートします。
このセクションでは、Cisco GPG公開キーをシステムにインポートする方法と、インポートしたキーを使用してダウンロードしたコネクタパッケージを検証する方法について説明します。
Cisco GPG公開キーの取得
- Secure Endpoint Console
Download Connector
ページで、LinuxセクションからShow GPG Public Key
リンクを選択します。
- Cisco GPG公開キーがポップアップウィンドウに表示されます。このポップアップで
Download
を選択して、キーをシステムにダウンロードします。キーはDownloadsフォルダにcisco.gpg
として表示されます。
- ダウンロードしたキーをエンドポイントに転送します。
RPMベース
RPMパッケージは署名されており、RPMパッケージマネージャーを使用して確認できます。
- Cisco GPG公開キーをRPMデータベースにインポートします。
sudo rpm --import cisco.gpg
- Cisco GPG公開キーがインストールされていることを確認します。
rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
次の公開キーが表示されます。 gpg-pubkey-34532611-6477a906 --> Cisco, Inc.
public key
- RPMを使用してLinuxコネクタパッケージを確認します。以下に例を挙げます。
rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
次の出力が表示されます。 amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
Debianベース
DebianパッケージはDebianパッケージ署名検証(debsig)ツールを使用して署名されており、debsig-verifyを使用して検証できます。
debsig-verify
ツールをインストールします。 sudo apt-get install debsig-verify
- Cisco GPG公開キーをデバッグキーリングにインポートします。注:バージョン1.17.0では、debsig.gpgファイルが自動的に作成されるため、手順2は省略できます。
sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
- ポリシーディレクトリを作成します。
sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
- 以下のポリシーの内容を新しいファイル「/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol」にコピーします。
debsig-verify
を使用してシグニチャを確認します。以下に例を挙げます。 debsig-verify ubuntu-20-04-amd64.deb
次の出力が表示されます。 debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
Linuxコネクタパッケージのインストール
カーネルヘッダーのインストール
最近のLinuxディストリビューションのほとんどは、eBPFをサポートするカーネルバージョンを使用しており、システムを監視するためにコネクタが使用します。エンドポイントのカーネルバージョンを確認するには、次のコマンドを実行します。
uname -r
ディストリビューションバージョンが次のいずれかに一致する場合、コネクタはシステムモニタリングにeBPFを使用します。
- カーネルバージョンが3.10.0-940以降のRPMベースのディストリビューション(EL7 / Enterprise Linux 7.9はこのカーネルバージョンの最も古いディストリビューション)。
- カーネルバージョンが4.18以降のDebianベースのディストリビューション。
ディストリビューションとカーネルバージョンのマッピングの詳細については、こちらを参照してください。
エンドポイントでeBPFがサポートされている場合、コネクタでシステムを監視するには、正しいカーネルヘッダーをインストールする必要があります。エンドポイントに正しいカーネルヘッダーがインストールされていない場合、コネクタはエラー11(システム依存関係の欠落)を表示し、ファイル、プロセス、またはネットワークの監視なしで縮退状態で動作します。
正しいカーネルヘッダーをインストールする方法については、「Linux Kernel-Devel Fault」の記事を参照してください。
コネクタの取り付け
重要:ご使用の環境で他のセキュリティ製品を実行している場合は、コネクタインストーラが脅威として検出される可能性があります。コネクタを正常にインストールするには、Cisco Secureを許可リストに追加するか、他のセキュリティ製品からCisco Secureを除外して、再試行します。
重要:コネクタのインストール中に、cisco-amp-scan-svcという名前のユーザとグループがシステムに作成されます。このユーザまたはグループがすでに存在していても異なる設定が行われている場合、インストーラは必要な設定を使用してユーザまたはグループを削除し、再作成しようとします。必要な設定でユーザとグループを作成できなかった場合、インストーラは失敗します。
RPMベース
コネクタをインストールするには、次のコマンドのいずれかを実行します。[rpm package]はファイルの名前です(例:amp_Installation_Demo_rhel-centos-8-x86_64.rpm
)。
注:yumまたはzypper経由でインストールすると、必要な依存関係のインストールが処理されます。
Debianベース
コネクタをインストールするには、次のコマンドを実行します。[deb package]はファイル名です(例:amp_Installation_Demo_ubuntu-20-04-amd64.deb
)。
sudo dpkg -i [deb package]
Linuxコネクタは、Debianベースのシステムのベースインストールに含まれるシステムパッケージに依存していますが、依存関係が欠けている場合は次のメッセージが表示されます。
ciscoampconnector depends on
; however: Package
is not installed.
ここで、<package_name>
は、見つからない依存関係の名前です。次のコマンドを使用して、Linuxコネクタに必要な不足している依存関係をインストールします。
sudo apt install
不足している依存関係がすべてインストールされたら、コネクタのインストールを再試行できます。
Cisco GPG公開キーの比較
Linuxコネクタのバージョンが1.17.0以降の場合、コネクタの更新中にアップグレードパッケージの確認に使用されるCisco GPG公開キーが、次の場所に自動的にインストールされます。
- RPMベース:
/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
- Debianベース:
/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp
コネクタによってインストールされたキーと、Secure Endpoint Consoleから取得したキーを比較します。
インストールの確認
Linuxコネクタのコマンドラインインターフェイス(CLI)を使用して、Linuxコネクタが正常にインストールされたことを確認できます。/opt/cisco/amp/bin/ampcli status
を実行します。コネクタが正常にインストールされた場合は、Connected
であり、/opt/cisco/amp/bin/ampcli/ampcli status
コマンドの実行時に障害が表示されないことを確認できます。
$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2024-01-09 01:45:49 PM
Policy: Installation Demo Policy (#9606)
Command-line: Enabled
Orbital: Enabled (Running)
Behavioural Protection: Protect
Faults: None
コネクタが接続されていることを確認するには、セキュアエンドポイントコンソールでインストールイベントが存在することを確認します。
Events
ページに移動します。
- コネクタのインストールイベントを見つけます。
Install Started
イベントタイプに分類されている必要があります。
- コネクタのダウンロード時に
Flash Scan on Install
チェックボックスをオンにした場合は、2つのスキャンイベントが存在することを確認することもできます。
Scan
イベントタイプでフィルタリングして、コネクタのスキャンイベントを検索します。注:グループおよびコネクタGUIDのフィルタを追加して、検索を絞り込むこともできます。スキャンの開始と終了に対応する2つのイベントが表示されます。
Linux Connectorのアンインストール
RPMベース
- システムパッケージマネージャを使用してLinuxコネクタをアンインストールします。
- 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。
/opt/cisco/amp/bin/purge_amp_local_data
Debianベース
- システムパッケージマネージャを使用してLinuxコネクタをアンインストールします。
sudo dpkg --remove cisco-orbital ciscoampconnector
- 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。
sudo dpkg --purge cisco-orbital ciscoampconnector
アンインストールの詳細な手順については、『Secure Endpoint User Guide』を参照してください。
以下も参照のこと