コンテンツにスキップ

VDIまたはクラウドインスタンス展開向けRed Cloak Endpoint Agent🔗

クローンの概要🔗

Red Cloak™ Endpoint Agent を活用してVDIクローンプールやクラウドインスタンスのセキュリティを強化する際には、お客様の環境構成を十分に考慮し、理解することが重要です。ここではVDIのユースケースを例に説明しますが、この情報はクラウド環境でのエージェント展開管理にも応用できます。

標準的なVDIプールは、「ゴールド」ベースイメージからプロビジョニングされます。これは最初のステップとして準備されます。クローンはインメモリからプロビジョニングされることも多く、共通のホストのシステムリソースや詳細を共有します。Red Cloak Endpoint Agent は複数のモジュールを活用してシステムからテレメトリーを収集し、組織のセキュリティ効果を高めます。各Red Cloak Endpoint Agentモジュールの動作やVDI環境の構成を理解することで、最適なエージェント構成戦略を見定めることができます。この構成戦略には、セキュリティとパフォーマンスの両方を考慮する必要があります。

開始前に:テスト、テスト、テスト🔗

クローンがベースイメージからプロビジョニングされると、「ゴールド」ベースイメージの完全なコピーとして起動します。平均的なクローンの寿命(クローンがリフレッシュされてゴールド状態に戻るまでの稼働時間)を把握し、Secureworksサポートに伝えておくことが重要です。Red Cloak Endpoint Agent のインストールを進める前に、ゴールドベースイメージが必要なアプリケーションや設定で正しくセットアップされていることを推奨します。また、ゴールドベースイメージが脅威からクリーンであることも検証してください。これらの初期ステップが完了し、Red Cloak Endpoint Agent をゴールドベースイメージにインストールしたら、ゴールドベースイメージをロックダウンまたはフリーズすることが重要です。

テストを継続する🔗

このドキュメントを読んだ後、Red Cloak Endpoint Agent をVDIプールやクラウドインスタンスに展開する際には、テストを最優先に考えていただきたいと思います。ゴールドベースイメージ上で少数のクローンを使い、Red Cloak Endpoint Agent を複数回テストすることを推奨します。シンプルに始め、Red Cloak Endpoint Agent を監視し、必要に応じて設定を調整してください。

パフォーマンステスト🔗

  1. Secureworksサポートに設定やレジストリの変更を依頼せずに、Red Cloak Endpoint Agent を展開します。
  2. 少数のクローンプールをプロビジョニングします。
  3. 起動時にクローンのパフォーマンスとRed Cloak Endpoint Agentのリソース使用状況を監視します。
  4. クローンをリフレッシュする前の標準的な稼働時間だけ動作させ、システムに標準的な負荷をシミュレートします。
  5. 起動時にクローンのパフォーマンスとRed Cloak Endpoint Agentのリソース使用状況を監視します。
  6. ステップ3または5でパフォーマンス上の懸念が見られる場合は、以下の情報をもとにSecureworksサポートと連携し、Red Cloak Endpoint Agentの設定を調整、新しいインストールパッケージを作成し、パフォーマンステストを再実施 してください。

永続的なエージェント識別のテスト🔗

  1. レジストリを変更せずにRed Cloak Endpoint Agent を展開します。
  2. 少数のクローンプールをプロビジョニングします。
  3. すべてのクローンがSecureworks® Taegis™ XDRに正しく表示されるか確認します。
  4. XDRでクローンが表示されない理由をトラブルシュートします。
  5. クローンをゴールドベースイメージの状態にリフレッシュします。
  6. すべてのクローンがXDRに正しく表示されるか確認します。
  7. いずれかのクローンがXDRに正しく表示されない場合は、以下のレジストリ情報を使ってRed Cloak Endpoint Agentの識別方法を調整してください。1つのクローンに対して複数のエージェントが表示される場合も同様です。

Red Cloak Endpoint Agent の構成🔗

各Red Cloak Endpoint Agentモジュールは、それぞれ異なる目的と動作を持っています。そのため、VDIインストールを進める前に、Secureworksサポートと連携してカスタムインストールパッケージを構成する必要がある場合があります。

Groundling🔗

Groundlingモジュールは、すべての永続的なプログラムをキャプチャし、永続化の場所に対する変更を監視します。永続化の変更が検知されると、エージェントはその変更に関連する情報を収集し、XDRにメッセージを送信します。クローンプールをプロビジョニングする前に、ゴールドベースイメージ上の永続的なプログラムを分析してください。クローンはゴールドベースイメージに存在する永続的なプログラムを反映します。

重要

Groundlingモジュールがシステムパフォーマンスに影響を与える場合は、クローンプールではGroundlingモジュールを無効にした状態でRed Cloak Endpoint Agentを実行することを推奨します。

Ignition🔗

IgnitionはRed Cloak Endpoint Agentのアップデーターとして機能します。Red Cloak Endpoint AgentのMSIインストールパッケージを展開する際、別アプリケーションとしてインストールされます。Ignitionモジュールについては、Secureworksサポートに以下を依頼することを推奨します。

  • 個々のクローンへのパフォーマンス影響を最小限に抑えるため、インターバルとジッターを_最大設定_に引き上げる。
  • VDIクローンをリモートアップデートグループに含めないこと。新しいエージェントバージョンが利用可能になった際はゴールドベースイメージを更新し、上記の推奨通り、ソフトウェア更新後はゴールドベースイメージが脅威からクリーンであることを検証し、ロックダウン(フリーズ)してください。

Inspector🔗

Inspectorモジュールは、検出に役立つテレメトリーを収集します。エージェント起動時に複数回のシステムスキャンを実行し、その後12時間ごとに再度スキャンを実施します。この動作を理解し、VDIクローンの動作と合わせて考えると、Inspectorモジュールを無効にした状態でエージェントを実行する ことを推奨する理由が明確になります。クリーンなゴールドベースイメージからクローンをプロビジョニングする場合、ゴールドベースイメージが脅威からクリーンであることを検証していれば、起動時のInspectorモジュールスキャンによるセキュリティ価値は最小限です。また、クローンが12時間未満でリフレッシュされる場合、12時間ごとのInspectorスキャンもセキュリティ価値は最小限です。これらの理由から、クローンやハイパーバイザーホストがInspectorモジュールのスキャンによる悪影響を受けないよう、Red Cloak Endpoint Agentの構成でInspectorモジュールを無効にするようSecureworksサポートと連携することを推奨します。

Red Cloak Endpoint Agent のインストール🔗

Red Cloak Endpoint Agentは、デバイスの識別子を決定する際にシステム情報を収集します。VDIクローンはハイパーバイザーホストと同じシステム情報を共有するため、Red Cloak Endpoint Agentはクローンの識別を重複させ、各クローンが「ゴールド」ベースイメージ状態にリフレッシュされるたびにXDRで「非アクティブ」なエージェントが生成される可能性があります。VDI展開を支援するため、以下の手順でRed Cloak Endpoint Agentをインストールすることを推奨します。

ゴールドベースイメージのセットアップ時に、Red Cloak Endpoint Agentをサービスを無効にした状態で事前インストールしてください。これにより、クローンがプロビジョニング・起動された際にエージェントが自動的に起動するのを防げます。

新規クローンの初回起動🔗

  1. クローンが起動したら、HKU\S-1-5-18\Software\Dell SecureWorks から id および id_noise の値を削除します。

  2. Red Cloak Endpoint Agentのサービスを有効化し、起動します。

    注意

    新しいエージェントIDが生成され、クローンがXDRにチェックインし、新しいエージェントエントリが作成されます。

  3. 上記の.regファイルに新しいidおよびid_noiseの値を保存します。

クローンのリフレッシュおよび再起動時🔗

  1. クローンが起動したら、HKU\S-1-5-18\Software\Dell SecureWorks から id および id_noise の値を削除します。

  2. 登録済みエージェントIDの値が含まれる、上記で保存した.regファイルをインポートします。

  3. Red Cloak Endpoint Agentのサービスを有効化し、起動します。

    注意

    エージェントはXDRで認識されている同じIDを使用して起動し、エージェントレコードが維持されます。

エージェント識別プロセスの自動化🔗

以下は、上記のエージェント識別手順を自動化するために活用できるサンプルスクリプトです。

注意

エージェント識別の永続化を支援するため、Active Directoryによって割り当てられるクローンの_sAMAccountName_ を活用することも有効です。各クローンは、ドメインごとに一意の_sAMAccountName_ を使用してAD内のユーザーのように永続的に識別されます。WMIでこの値を取得でき、このスクリプトと組み合わせてエージェント識別プロセスを自動化することが可能です。

#Create the objects and variables needed
Set objShell = CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
#Check for an existing host ID
If objFSO.FileExists("h:\programdata\RCHostID.reg") Then
#Host ID found, restore ID and enable service
strCMD = "regedit /s h:\programdata\RCHostID.reg ""HKEY_USERS\S-1-5-18\Software\Dell SecureWorks"""
objShell.Run(strCmd)
strCMD = "sc config ""redcloak"" start= auto"
objShell.Run(strCmd)
#Delay and then start service
WScript.Sleep 5000
strCMD = "sc start ""redcloak"""
objShell.Run(strCmd)
Else
#No host ID, enable service and export new ID
strCMD = "sc config ""redcloak"" start= auto"
objShell.Run(strCmd)
#Delay and then start service
WScript.Sleep 5000
strCMD = "sc start ""redcloak"""
objShell.Run(strCmd)
#Wait for service to start and create ID, then export it
WScript.Sleep 10000
strCMD = "regedit /s /e h:\programdata\RCHostID.reg ""HKEY_USERS\S-1-5-18\Software\Dell SecureWorks"""
objShell.Run(strCmd)
End If
#Clear objects
Set objShell = Nothing
Set objFSO = Nothing