コンテンツにスキップ

Sophos Linux Sensor のインストール🔗

Sophos Linux Sensor は幅広いLinux環境で展開可能であり、Kubernetesやその他のコンテナ化された展開にはHelmチャートが推奨される方法です。Helmを使用することで、SLS をクラスター全体に一貫して展開し、アップグレードや設定変更を簡素化し、ランタイム脅威検出およびイベント収集を大規模に標準化できます。

本ドキュメントでは、Helmチャート方式を用いた SLS の展開手順を説明します。Debian/RPMパッケージやDockerベースの展開など、他のインストールオプションについては Sophosドキュメント を参照してください。

Kubernetes以外のシナリオでも、オンプレミスのベアメタル、仮想マシン、またはクラウドインスタンス上で稼働するLinuxホストに、SophosパッケージリポジトリからDebianおよびRPMパッケージを使用して SLS をインストールできます。コンテナベースのワークフローにはSophos DockerレジストリからDockerイメージも利用可能であり、HelmチャートはKubernetes環境での再現性のあるバージョン管理された展開を可能にします。これらの展開シナリオに関するガイダンスは その他のインストールガイド を参照してください。

要件🔗

  • 本ドキュメントに従う前に、Kubernetes、Docker、およびkubectlなどのコマンドラインツールについて十分な理解があることを推奨します。
  • kubectl v1.18以上が必要です。Kubernetesインストールツール を参照してください。

インストール前に、お使いのシステムが SLS をサポートしていることを確認してください。詳細は Sophos Linux Sensor のディストリビューションおよびカーネルサポート を参照してください。

Sophosパッケージリポジトリへの認証🔗

お使いのシステムが Sophos Linux Sensor をサポートしていることを確認した後、Sophosパッケージリポジトリからエージェントをインストールするために必要な認証情報を収集します。リポジトリへアクセスするための認証およびホストの設定に必要な事前手順は以下の通りです。

  1. Sophos SLSキーの取得
  2. SophosのテナントIDおよびSophosのアカウントリージョンの確認
  3. Helmレジストリへの認証

Sophos SLSキーの取得🔗

  1. Secureworks® Taegis™ XDR で、エンドポイントエージェント > ダウンロード に移動します。

  2. SLS トークンをコピー をクリックして、SLS の認証トークンをコピーします。

    SLS トークンをコピー

SophosテナントIDとリージョンの確認🔗

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェント > サマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。

エンドポイントエージェントのサマリーからSophos Centralを開く

  1. Sophos Central で、プロフィールメニュー アイコン をクリックし、アカウント の下の サポート設定 を選択します。

    サポート設定ページの下部に テナントID および アカウントリージョン が表示されます。

    Sophos Tenant ID and Region

    ヒント

    これらの情報は次の手順で使用するため、保存してください。

  2. アカウントリージョン名を下記の表の該当URLと照合してください。

    リージョン MCS URL
    United States (Oregon) https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    United States (Ohio) https://mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    Ireland https://mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    Germany https://mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    Canada https://mcs2.stn100yul.ctr.sophos.com
    Australia https://mcs2.stn100syd.ctr.sophos.com
    Asia Pacific (Tokyo) https://mcs2.stn100hnd.ctr.sophos.com
    South America (Sao Paulo) https://mcs2.stn100gru.ctr.sophos.com

    ヒント

    このURLも次のセクションで使用するため、保存してください。

Helmレジストリへの認証🔗

以下のコマンドを実行してHelmレジストリに認証します。<LINUX_REPO_API_KEY>Sophos SLS キー に置き換えてください。

helm registry login https://registry.sophosupd.com -u <LINUX_REPO_API_KEY> -p <LINUX_REPO_API_KEY>

注意

認証を行わない場合、本ドキュメント内のHelmコマンドは成功しません。

インストール🔗

最新のチャートバージョンを使用して SLS を展開し、最新の機能、検知、セキュリティ修正、およびパフォーマンス向上を利用してください。

推奨設定で SLS を展開するには、以下の手順を実施してください。

  1. values.yaml という名前のファイルを作成します。場所は任意です。

  2. 以下の行をファイルに入力し、<TENANT-ID> をSophos CentralテナントID、<CENTRAL-URL> をSophos CentralアカウントリージョンURL、<LINUX_REPO_SLS_TOKEN> をSophos LinuxリポジトリAPIキーに置き換えてください。

    endpoint:
  sensor:
      params:
        customerID: <TENANT-ID>
        mcsURL: "<CENTRAL-URL>"
        mcsToken: "<LINUX_REPO_SLS_TOKEN>"

  3. 以下のコマンドを実行し、<RELEASE_NAME>sophos-sensor-latest など任意のデプロイ名に置き換えてください。

    helm install <RELEASE_NAME> oci://registry.sophosupd.com/release/helm-sophos-linux-sensor \
--values values.yaml

    このコマンドは、最新のチャートバージョンおよびSophos推奨のベースライン設定で SLS をインストールし、テレメトリーを Secureworks® Taegis™ XDR に送信します。

アップグレード🔗

このコマンドは実行するたびに自動的に SLS の最新バージョンを取得します。特定のバージョンをインストールしたい場合は、--version 引数を使用してインストールしたいバージョンを指定してください。この引数を利用することで、同じメジャーバージョンを維持しつつ、チャートの最新パッチやマイナーバージョンに更新することができます。

次のコマンドは既存のチャートを1.2.0-679にアップグレードします。

helm upgrade <RELEASE_NAME> oci://registry.sophosupd.com/release/helm-sophos-linux-sensor \
--version ^1.2.0-679 --reuse-values

Sophos Centralからカスタムプロファイルを追加🔗

Sophos Centralからダウンロードしたカスタムプロファイルを values.yaml に適用できます。Sophos Centralからカスタムプロファイルをダウンロードするには、以下の手順を実施してください。

  1. Sophos Central テナントで、マイプロダクト > サーバー > Linuxプロファイル に移動します。
  2. アクション ボタン をクリックします。

  3. 最新バージョンをエクスポート を選択し、プロファイルをデバイスに保存します。

    ヒント

    使用したいプロファイルをクリックし、ダウンロード矢印 をクリックしてプロファイルをデバイスにダウンロードすることもできます。

  4. ダウンロードしたファイルを開きます。

  5. 必要なプロファイル情報をコピーします。
  6. values.yaml を開きます。

  7. 次の行を探します。

    rules:

  8. その行の後に内容を貼り付けます。

  9. 変更を保存します。

    これはSophos Centralからダウンロードしたカスタムプロファイルを含む values.yaml ファイルのサンプルです。

    ``` endpoint: sensor: params: customerID: ########-####-####-####-############ mcsURL: "mcs2-cloudstation-us-west-2.prod.hydra.sophos.com" mcsToken: "SLS-########"

    ルール: | Chmod of SSH Authorized Keys: enabled: true Chown of SSH Authorized Keys: enabled: true Suspicious_Interactive_Shell-parentProgramName-allowList: operations: - behavior: remove list: - /usr/bin/sshd - /usr/sbin/sshd Suspicious_Interactive_Shell-parentProgramName-blockList: operations: - behavior: add list: - /bin/sh ```

高度な設定🔗

Helmを使用することで、runtimedetections.yaml ファイルを変更せずに一部の高度なオプションを設定できます。利用可能なすべての高度な設定オプションを確認するには、次のコマンドを実行してください。

helm show values <sophos-registry> <chart version>

重要

これらのオプションは随時変更される可能性があります。変更を加える前に必ずこのコマンドを実行し、利用可能なオプションを確認することを推奨します。

高度な設定オプションを追加するには、必要なオプションを values.yaml に追加してください。他の設定が endpoint.sensor.params の下にある場合は、同じセクション内に含めてください。

これはデフォルトの監視ポート 9010 をポート 1111 に上書きするオプションを含む values.yaml ファイルのサンプルです。

endpoint:
sensor:
    params:
      monitorPort: 1111
      customerID: ########-####-####-####-############
      mcsURL: "mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
      mcsToken: "SLS-########"

アンインストール🔗

Helmを使用してSLSをアンインストールするには、以下の手順を実施してください。

  1. インストール時に選択した名前で <RELEASE_NAME> を置き換えて、次のコマンドを実行します。

    helm uninstall <RELEASE_NAME>

  2. 次のコマンドを実行してSLSが削除されたことを確認します。

    kubectl get pods

その他のインストールガイド🔗

以下のリンクから、他の SLS 展開シナリオに関するSophosドキュメントを参照できます。