Red Cloak Endpoint Agent のインストール🔗

Red Cloak Endpoint Agent の要件🔗

このセクションでは、Red Cloak™ Endpoint Agent ソフトウェアの展開および実装に関する要件について説明します。

Red Cloak Endpoint Agent の接続要件🔗

Red Cloak Endpoint Agent が Secureworks と通信するためには、以下のネットワークアクセス項目が許可されている必要があります。

ソース	宛先	ポート/プロトコル	理由
Red Cloak Endpoint Agent	52.4.62.128/25, 54.244.50.128/25 (cluster.b.redcloak.secureworks.com)	TCP/443, TCP/17234	Red Cloak Endpoint Agent の接続
Red Cloak Endpoint Agent	https://redcloak.secureworks.com	TCP/443	Secureworksサポートによるリモートエージェントアップグレード
F-Response US	3.232.239.2 (fresponse-us1.ir.secureworks.com)	TCP/80	米国でのセーフリストに必要
F-Response EU	3.71.228.46 (fresponse-eu1.ir.secureworks.com)	TCP/80	EUでのセーフリストに必要
F-Response JP	35.73.27.220 (fresponse-jp1.ir.secureworks.com)	TCP/80	日本でのセーフリストに必要

インテグレーションから提供されるデータ🔗

	検出	Auth	DNS	ファイル収集	HTTP	NIDS	Netflow	Process	ファイル変更	API Call	Registry	Scriptblock	Management	Persistence	Thread Injection	発見事項	テクニック発見事項	Generic
Red Cloak Windows Endpoint Agent	✓	✓	✓				✓	✓				✓		✓	✓
Red Cloak Linux Endpoint Agent			✓				✓	✓

Red Cloak Endpoint Agent のプロキシサポート🔗

Red Cloak Endpoint Agent は、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を検出しようとします。

Red Cloak Endpoint Agent はハードコードされたプロキシにも対応しています。ハードコードされたプロキシを含む Red Cloak Endpoint Agent を作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

プロキシIP
プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、Red Cloak Endpoint Agent は直接接続にフォールバックします。

注意

Red Cloak Endpoint Agent は現時点でハードコードされた認証付きプロキシをサポートしていません。 Red Cloak Endpoint Agent は自己署名証明書を使用しており、中間者（MITM）機能を持つプロキシは Red Cloak Endpoint Agent のネットワーク接続をセーフリストに追加する必要があります。

Red Cloak Endpoint Agent ソフトウェアのダウンロード🔗

Red Cloak Endpoint Agent は Secureworks® Taegis™ XDR から直接ダウンロードできます。

Taegisメニューから、エンドポイントエージェント → ダウンロード を選択します。
希望するエージェントタイプのタブを選択し、お使いのオペレーティングシステムに対応したインストールパッケージの ダウンロード ボタンを選択します。

エージェントダウンロードタブには、Linuxインストールに必要なGPGキーへのリンクや、パッケージの整合性を確認するためのTaegisエンドポイントエージェントのチェックサムも含まれています。

ダウンロード後は、お好みのホスト管理ツールで展開するか、個々のエンドポイントに手動でインストールしてください。

問題が発生した場合や、まだprodアクセス権がない場合は、Secureworksの担当者が Red Cloak Endpoint Agent ソフトウェア（MSI、RPM、またはDEB）をダウンロードするためのURLを提供します。これは通常、オンボーディングメールの一部として提供されます。

新規またはカスタマイズされたインストールパッケージを作成したい場合は、サポートリクエストを提出してください。ハードコードされたプロキシを使用する場合は、プロキシIPとポートを含む新しいエージェントパッケージを作成する必要があります。Red Cloak Endpoint Agent は現時点で認証付きプロキシをサポートしていません。

Red Cloak Endpoint Agent のインストール🔗

Windows エージェント🔗

デフォルトでは、MSIはユーザー操作なしでインストールされますが、インタラクティブセッションでMSIをダブルクリックするとインストールプロンプトが表示されます。プロンプトでのユーザー操作は不要ですが、画面上に表示されます。セッション通知なしでMSIをインストールするには、以下のコマンドを使用してください。

msiexec /i redcloak.msi /quiet /qn

注意

アンチウイルス製品は、オペレーティングシステムやインストール済みソフトウェアへの異常な変更を監視します。Red Cloak Endpoint Agent が作成するデータファイルは、そのような変更の一例です。Red Cloak Endpoint Agent はオペレーティングシステムに属するものを一切変更しませんが、一部のAV/マルウェア対策製品は Red Cloak Endpoint Agent 独自のファイル変更を不正な動作とみなしてプロセスをブロックまたは停止する場合があります。それを回避するため、アンチウイルスポリシーで Red Cloak Endpoint Agent のインストールディレクトリを除外することを検討してください。Red Cloak Endpoint Agent の例外リストを定義する際は、2つのディレクトリを除外する必要があります。Red Cloak Endpoint Agent のデフォルトインストールディレクトリ %ProgramFiles(x86)%\Dell SecureWorks\Red Cloak\ と、Ignitionアップデートモジュールのデフォルトディレクトリ %ProgramFiles(x86)%\Dell SecureWorks\Ignition\ です。

注意

Red Cloak Endpoint Agent のインストールはシステムの再起動を必要とせず、強制もしません。ただし、バージョン2.8.3.0より前のエージェントバージョンでは、システムに保留中の再起動がある場合、インストール完了後にエンドポイントが再起動することがあります。これはバージョン2.8.3.0で修正されています。

Windows エージェントの依存関係🔗

Windows用の Red Cloak Endpoint Agent は完全に自己完結型です。ベースとなるWindowsシステムに付属するDLLやアセンブリ以外は必要ありません。

注意

Windows Server 2008 R2 または Windows 7 に Red Cloak Endpoint Agent をインストールする場合、以下の Microsoft サポート記事で説明されているパッチが必要になる場合があります。

サービシングスタックの更新 (SSU) (KB4490628)
SHA-2 の更新 (KB4474419)

Windows用 Red Cloak Endpoint Agent のインストール検証🔗

Red Cloak Endpoint Agent のインストールはシステムの再起動を必要とせず、強制もしません。ソフトウェアが正常にインストールされたことを検証するには、以下の手順に従ってください。

RedCloak.exe プロセスが実行中であることを確認します。
管理者権限でコマンドプロンプトを開きます。

注意

管理者権限なしでも動作しますが、その場合はコマンド結果が表示された新しいコマンドプロンプトウィンドウが一時的に開き、コマンド実行終了と同時に閉じます。

インストールディレクトリに移動します:

cd "C:\Program Files (x86)\Dell SecureWorks\Red Cloak"

以下を実行します:

redcloak.exe --check

!!! 注意この手順は XDR への接続が成功していることも確認します。

c:\Program Files (x86)\Dell SecureWorks\Red Cloak>redcloak.exe --check
...
[ INFO  ] Dell SecureWorks Red Cloak
[ INFO  ] Communications Check
[ INFO ]
[ INFO ] This process will check the communications channel between [ INFO ] this system and the servers.
...
[ **SUCCESS**  ] connection active

Linux エージェント🔗

ローカルのyumリポジトリを使用しない場合は、RPMを各エンドポイントに転送し、yumコマンドを使用できます。Ubuntuエンドポイントの場合は次のセクションに進んでください。

RPM検証用のGPGキーをインポートします:
```
rpm --import {path to key file}
```
!!! 注意このキーは、提供されたダウンロードURLのパッケージ詳細ページで確認できます。

RPMをインストールします:

yum localinstall <redcloak_filename>.rpm

コアダンプの保存場所を変更します。

デフォルトのエージェントインストール時にシステムがコアダンプを生成する必要がある場合、ファイルは通常、エージェントインストールディレクトリ内の .exempt フォルダ（例：/opt/secureworks/redcloak/.exempt）に保存されます。コアダンプのサイズはシステムによって異なり、さまざまな予測不可能な要因に左右されます。そのため、少なくとも5GBの空き容量を確保することを推奨します。デフォルトのインストールディレクトリに5GBのファイルを保存できない場合は、コアダンプの保存場所を変更できます。エージェントのコアダンプ保存場所を変更するには、管理者権限でエージェントの起動スクリプトを開きます。起動スクリプトはエージェントのbinフォルダ（/opt/secureworks/redcloak/bin/redcloak_start.sh）にあります。スクリプト内で以下のような行を探します:
```
${prefix}/bin/redcloak --run-service --override-root "${prefix}"> /dev/null 2>&1 &
```
そして次のように変更します:
```
${prefix}/bin/redcloak --run-service --override-root "${prefix}" --core-dump-path=PATH_TO_CHOICE_OF_PARTION > /dev/null 2>&1 &
```
注意

新しいコアダンプパスは事前に存在している必要があります。Redcloak Agentは作成を試みません。

Ubuntu エンドポイント🔗

UbuntuエンドポイントにLinuxエージェントをインストールするには:

GPGキーをインポートします:
```
gpg --import RedCloak-GPG-Public-Key
```
aptコマンドでエージェントをインストールします:
```
sudo apt install PATH_TO_DEB
```

Linux エージェントの依存関係🔗

Linux用の Red Cloak Endpoint Agent をインストールする際、yumを使用することで依存関係を自動的に解決できます。

yum install PATH_TO_RPM

バージョン1.2.10.0以降、デフォルトのアプリケーションディレクトリは /opt/secureworks/redcloak です。デフォルトの /opt/secureworks ディレクトリ以外にインストールしたい場合は、以下の手順を実施してください。

すべての依存関係をYUMでインストールします。
コマンドラインから以下を入力します:

rpm -i --prefix DESIRED_PATH PATH_TO_RPM

--relocate も有効なオプションです。

依存関係は以下の通りです。

audit
/bin/sh
cronie
crontabs
dmidecode
libcap
logrotate
openssl >= 1.0.1e
policycoreutils-python
redhat-lsb-core
rpmlib(CompressedFileNames) <= 3.0.4-1
rpmlib(FileDigests) <= 4.6.0-1
rpmlib(PayloadFilesHavePrefix) <= 4.0-1
rpmlib(PayloadIsXz) <= 5.2-1
shadow-utils

Linux Endpoint Agent のインストール検証🔗

エンドポイントが報告していることを検証するには、以下の手順に従ってください。

Taegis Menu から Endpoint Agents → Summary を選択します。Endpoint Agents Summary が表示されます。
テーブルに、インストールしたばかりのセンサーのバージョンなどの関連情報とともにエンドポイントが表示されていることを確認します。

Red Cloak Endpoint Agent テストイベント🔗

Windows エージェント🔗

Windowsエンドポイントで Red Cloak Endpoint Agent が正常に動作していることを検証するには、以下の手順でテストイベントを生成してください。

Red Cloak Endpoint Agent が稼働しているMicrosoft Windowsシステムでコマンドプロンプトを開きます。

以下のコマンドを実行します:

notepad.exe redcloaktest
C:\>notepad.exe redcloaktest

Notepadウィンドウが開き、redcloaktest.txt ファイルが見つからない旨のプロンプトが表示されます。NOを選択してください。

redcloaktext.txt
Red Cloak Endpoint Agent のインストールが完了したことをSecureworksの担当者に通知してください。

Linux エージェント🔗

Linuxエンドポイントで Red Cloak Endpoint Agent が正常に動作していることを検証するには、以下を実施してください。

Redcloakサービスのステータスを確認します:
```
service redcloak status
```
ルートユーザーとしてエージェントのクラウド接続を確認します。

バージョン1.2.11.0以降、デフォルトのアプリケーションディレクトリは /opt/secureworks/redcloak です。したがって、以下のコマンドが有効です:
```
/opt/secureworks/redcloak/bin/redcloak --check
```
バージョン1.2.10.0を使用しており、デフォルトのアプリケーションディレクトリが /opt/secureworks/redcloak の場合は、以下のコマンドを使用してください:
```
/opt/secureworks/redcloak/bin/redcloak --check --override-root /opt/secureworks/redcloak/
```
バージョン1.2.9.0以下、またはデフォルトのアプリケーションディレクトリが /var/opt/secureworks/redcloak の場合は、以下を実行してください:
```
/var/opt/secureworks/redcloak/bin/redcloak --check
```

Red Cloak Endpoint Agent 資産の確認🔗

XDR がエンドポイントのテレメトリーを処理すると、資産のリストが生成されます。これらの資産は、Taegis Menu から Endpoint Agents に移動して確認できます。お客様のエンドポイントは、他の関連情報とともにそこに表示されます。