優れた可視性と適用のための AIX エージェントのインストール

Note

プロセスツリー、パッケージ（CVE）、およびフォレンジックイベントレポート機能は、AIX では使用できません。さらに、これらの機能の一部は、OS の制限により、サポートされているプラットフォームの特定のマイナーリリースでは利用できない場合があります。

AIX エージェントのインストールの要件と前提条件

「サポートされているプラットフォームと要件」を参照してください。
優れた可視性のための追加要件：
- Root privileges to install and execute the agent services.
- エージェントおよびログファイルのストレージ要件：500 MB。
- ホストをモニタリングしているセキュリティアプリケーションで設定されているセキュリティの除外。セキュリティの除外は、他のセキュリティアプリケーションがエージェントのインストールやエージェントのアクティビティをブロッキングするのを防ぐために必要です。詳細については、「セキュリティの除外」を参照してください。
- AIX では、20 個のネットデバイスのフローキャプチャのみサポートされます（バージョンが AIX 7.1 TL3 SP4 以前の場合は 6 個のネットデバイス）。優れた可視性エージェントは、最大 16 個のネットワークデバイスからキャプチャを行い、他の 4 個のキャプチャセッションを一般的なシステム用途（tcpdump など）に排他的に使用できるようにします。
- 優れた可視性エージェントは、20 台のネットワークデバイスのフローを確実にキャプチャするために、次のことを実行します。
  - エージェントは、エージェントディレクトリ（/opt/cisco/tetration/chroot/dev/bpf0 - /opt/cisco/tetration/chroot/dev/bpf15）の下に 16 個の bpf デバイスノードを作成します。
  - bpf を使用する tcpdump およびその他のシステムツールは、未使用のノード（!EBUSY）が見つかるまで、システムデバイスノード（/dev/bpf0-/dev/bpf19）をスキャンします。
  - エージェントが作成した bpf ノードとシステム bpf ノードは同じメジャーまたはマイナーを共有し、各メジャーまたはマイナーは 1 つのインスタンス（tcpdump またはエージェント）によってのみ開かれます。
  - エージェントはシステムデバイスノードにアクセスせず、tcpdump のようにデバイスノードを作成しません。tcpdump-D では /dev/bpf0 が作成されます。. . /dev/bpf19 が存在しない場合これらを作成します）。
- システムで iptrace を実行すると、特定のシナリオで tcpdump および優れた可視性エージェントからのフローキャプチャが防止されます。これは設計上の既知の問題であり、IBM に確認する必要があります。
  - エージェントをインストールする前にこのシナリオが存在するか確認するには、tcpdump を実行します。エラーメッセージ tcpdump: BIOCSETIF: en0: File exists が表示される場合、iptrace はフローキャプチャをブロックしています。iptrace を停止すると、問題が解決します。
プロセスの可視性とフォレンジックは、AIX 7 および POWER8 以降でサポートされています。
ポリシーの適用に関する追加要件：
- IP セキュリティフィルタ（smitty ipsec4）が有効になっている場合、事前チェックでエージェントのインストールが失敗します。エージェントをインストールする前に、IP セキュリティフィルタを無効にすることを推奨します。
- IP セキュリティが有効になっている場合、Cisco Secure Workload エンフォーサエージェントの実行中にエラーとして報告され、エンフォーサエージェントは適用を停止します。エンフォーサエージェントの実行中に IP セキュリティフィルタを安全に無効化する方法については、サポートにお問い合わせください。

エージェントスクリプトインストーラ方式を使用した AIX エージェントのインストール

優れた可視性と適用の AIX エージェントは、エージェントスクリプトインストール方式を使用しないとインストールできません。

Note

インストールされた AIX エージェントは、優れた可視性と適用の両方をサポートしています。
プロセスの可視性とフォレンジックは、AIX 7.2 および POWER8 以降でサポートされています。
デフォルトでは、適用は無効になっています。適用を有効にするには、エージェント設定プロファイルの作成を参照してください。

AIX エージェントをインストールするには、次の手順を実行します。

Procedure

Step 1

エージェントのインストール方式に移動するには、次の手順を実行します。

初めてのユーザーの場合は、クイックスタートウィザードを起動し、[エージェントのインストール（Install Agents）] をクリックします。
ナビゲーションウィンドウで、[管理（Manage）] > [エージェント（Agents）] の順にクリックし、[インストーラ（Installer）] タブを選択します。

Step 2

[エージェントスクリプトインストーラ（Agent Script Installer）] をクリックします。

Step 3

[プラットフォームの選択（Select Platform）] ドロップダウンメニューから、[AIX] を選択します。

サポートされている AIX プラットフォームを表示するには、[サポートされているプラットフォームの表示（Show Supported Platforms）] をクリックします。

Step 4

エージェントをインストールするテナントを選択します。

Note

Cisco Secure Workload SaaS クラスタでは、テナントを選択する必要はありません。

Step 5

ワークロードにラベルを割り当てる場合は、ラベルキーを選択し、ラベル値を入力します。

インストールされたエージェントがホストで IP アドレスを報告すると、このホストによって報告された IP に割り当てられているアップロード済みの別の CMDB ラベルとともに、ここで選択されたインストーラ CMDB ラベルが新しい IP アドレスに自動的に割り当てられます。アップロード済みの CMDB ラベルとインストーラ CMDB ラベルの間で競合が発生した場合は、次のようになります。

正確な IP アドレスに割り当てられたラベルは、サブネットに割り当てられたラベルよりも優先されます。
正確な IP アドレスに割り当てられた既存のラベルは、インストーラの CMDB ラベルよりも優先されます。

Step 6

Cisco Secure Workload との通信に HTTP プロキシが必要な場合は、[はい（Yes）] を選択し、有効なプロキシ URL を入力します。

Step 7

[インストーラの有効期限（Installer expiration）] セクションで、利用可能なオプションから 1 つを選択します。

[有効期限なし（No expiration）]：インストーラスクリプトは何回も使用できます。
1 回のみ：インストーラスクリプトは 1 回のみ使用できます。
時間制限：インストーラスクリプトを使用できる日数を設定できます。
展開数：インストーラスクリプトを使用できる回数を設定できます。

Step 8

[ダウンロード（Download）] をクリックし、ファイルをローカルディスクに保存します。

Step 9

インストーラシェルスクリプトを、展開するためにすべての AIX ホストにコピーします。

Step 10

スクリプトに実行権限を付与するために、chmod u+x tetration_installer_default_sensor_aix.sh コマンドを実行します。

Note

スクリプト名は、エージェントのタイプと範囲によって異なる場合があります。

Step 11

エージェントをインストールするために、ルート権限で ./tetration_installer_default_sensor_aix.sh コマンドを実行します。

Note

エージェントがホストにすでにインストールされている場合は、インストールを続行できません。エージェントを再インストールする場合は、この章で後述するように、--new オプションを使用します。

スクリプトの使用方法の詳細で指定されているように、事前チェックを実行することを推奨します。

AIX インストーラスクリプトの使用方法の詳細：

ksh tetration_installer_default_enforcer_aix.sh [--pre-check] [--pre-check-user] [--skip-pre-check=<option>] [--no-install] [--logfile=<filename>] [--proxy=<proxy_string>] [--no-proxy] [--help] [--version] [--sensor-version=<version_info>] [--ls] [--file=<filename>] [--osversion=<osversion>] [--save=<filename>] [--new] [--reinstall] [--unpriv-user] [--libs=<libs.zip|tar.Z>] [--force-upgrade] [--upgrade-local] [--upgrade-by-uuid=<filename>] [--logbasedir=<logbdir>] [--tmpdir=<tmp_dir>] [--visibility] [--golden-image]
  --pre-check: run pre-check only
  --pre-check-user: provide alternative to nobody user for pre-check su support
  --skip-pre-check=<option>: skip pre-installation check by given option; Valid options include 'all', 'ipv6' and 'enforcement'; e.g.: '--skip-pre-check=all' will skip all pre-installation checks; All pre-checks will be performed by default
  --no-install: will not download and install sensor package onto the system
  --logfile=<filename>: write the log to the file specified by <filename>
  --proxy=<proxy_string>: set the value of HTTPS_PROXY, the string should be formatted as http://<proxy>:<port>
  --no-proxy: bypass system wide proxy; this flag will be ignored if --proxy flag was provided
  --help: print this usage
  --version: print current script's version
  --sensor-version=<version_info>: select sensor's version; e.g.: '--sensor-version=3.4.1.0'; will download the latest version by default if this flag was not provided
  --ls: list all available sensor versions for your system (will not list pre-3.3 packages); will not download any package
  --file=<filename>: provide local zip file to install sensor instead of downloading it from cluster
  --osversion=<osversion>: specify osversion for --save flag;
  --save=<filename>: download and save zip file as <filename>; will download package for osversion given by --osversion flag; e.g.: '--save=myimage.aix72.tar.Z --osversion=7.2'
  --new: remove any previous installed sensor;
  --reinstall: reinstall sensor and retain the same identity with cluster; this flag has higher priority than --new
  --unpriv-user=<username>: use <username> for unpriv processes instead of tet-snsr
  --libs=<libs.zip|tar.Z>: install provided libs to be used by agents
  --force-upgrade: force sensor upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --force-upgrade'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-local: trigger local sensor upgrade to version given by --sensor-version flag: e.g.: '--sensor-version=3.4.1.0 --upgrade-local'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-by-uuid=<filename>: trigger sensor whose uuid is listed in <filename> upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --upgrade-by-uuid=/usr/local/tet/sensor_id'; apply the latest version by default if --sensor-version flag was not provided
  --logbasedir=<log_base_dir>: instead of logging to /opt/cisco/tetration/log use <log_base_dir>. The full path will be <log_base_dir>/tetration
  --tmpdir=<tmp_dir>: instead of using /tmp use <tmp_dir> as temp directory
  --visibility: install deep visibility agent only; --reinstall would overwrite this flag if previous installed agent type was enforcer
  --golden-image: install Cisco Secure Workload Agent but do not start the Cisco Secure Workload Services; use to install Cisco Secure Workload Agent on Golden Images in VDI environment or Template VM. On VDI/VM instance created from golden image with different host name, Cisco Secure Workload Services will work normally

AIX エージェントのインストールの確認

手順

コマンド lslpp -c -l tet-sensor.rte を実行し、以下のように 1 つのエントリがあることを確認します。

（注）

具体的な出力データは、バージョンによって異なる場合があります。

$ lslpp -c -l tet-sensor.rte

#Fileset:Level:PTF Id:State:Type:Description:EFIX Locked

/usr/lib/objrepos:tet-sensor.rte:3.9.1.19::COMMITTED:I:Tetration:

$

# lssrc -s csw-agent

Subsystem Group PID Status

csw-agent 8126714 active

Cisco Secure Workload リリース 3.10（SaaS）ユーザーガイド

偏向のない言語

翻訳について

Book Title