Taegis Endpoint Agent for Linux インストール

前提条件

インストール前に、Taegis™ XDR Endpoint Agent 情報および前提条件で要件を確認し、前提手順に従ってください。

注意

お使いのシステムでSELinuxまたはAppArmorを使用している場合は、SELinux/AppArmorとエージェントのガイダンスを参照してください。

インテグレーションから提供されるデータ

	検出	Auth	DNS	ファイル収集	HTTP	NIDS	Netflow	Process	ファイル変更	API Call	Registry	Scriptblock	Management	Persistence	Thread Injection	検出結果	テクニックの検出結果	Generic
Taegis Linux エンドポイントエージェント	✓	✓		✓			✓	✓	✓						✓			✓

Secure Boot 有効時の手順

Secure Bootが有効な場合は、まずmokutilによるキー登録手順に従ってください。有効でない場合はインストールに進んでください。

1. Secureworksドライバー署名キーをダウンロードしてインポートします:

   curl https://drivers.taegiscloud.com/scwx-falco-signing-cert.der -o /tmp/drivers.der && sudo mokutil --import /tmp/drivers.der
   

   パスワードの作成を求められます。ステップ3で使用するため、記録または記憶してください。

2. 再起動します:

   sudo reboot
   

3. Secureworksドライバー署名キーを登録します:

   • 任意のキーを押してMOK管理を実行します。
   • Enroll MOK を選択し、Continue を選択します。
   • キーを登録するために Yes を選択し、ステップ1で作成したパスワードを入力します。
   • 完了したら Reboot を選択します。

   

   MOK管理の実行

インストール

1. エージェントダウンロードページのLinuxセクションからGPG Keyを選択し、XDRでGPGキーをダウンロードします。

2. ルートユーザーで次のコマンドを実行し、検証用にGPGキーをインポートします:

   sudo gpg --import [filepath]/Taegis-GPG-Public-Key
   

3. ルートユーザーで次のコマンドを実行し、Linux VMまたは物理CentOS、RHEL、Ubuntuマシンにインストールします:

   • CentOS

   sudo yum -y localinstall [filepath]/taegis-agent_[version].rpm
   

   または

   sudo rpm -i [filepath]/taegis-agent_[version].rpm
   

   • Ubuntu

   sudo apt-get -y install [filepath]/taegis-agent_[version].deb
   

4. エージェントを登録します:

   注意

   • taegisctlは、エージェントの登録、起動、停止に推奨されるコントローラーです。また、エージェントのステータス確認やドライバーのロードにも使用できます。
   • taegisctlはsudoユーザーで実行してください。
   • 続行するには、エージェントグループからRegistration KeyとRegistration Server URLが必要です。

   taegisctlのオプションは以下の通りです:

   Usage: /opt/secureworks/taegis-agent/bin/taegisctl [command] [--key <regkey>] [--server <servername>] [--allow_missing_driver] [--enforce_apparmor] [--enforce_selinux] [--use_proxy]
   commands:
   insmod    Attempt to install driver
   register  Attempt to register
   start     Starts services if not already running.  Calls insmod, background registration
   status    Lists status of components and configuration
   stop      Stops services if running
   

   コピーした登録パラメータを使用してエージェントを登録します:

   sudo /opt/secureworks/taegis-agent/bin/taegisctl register --key REGISTRATIONKEY --server REGISTRATIONSERVER
   

   taegisctlをファイルパスなしで実行するには、ディレクトリを$PATHに追加する必要があります。以下のコマンドを実行してください:

   export PATH=/opt/secureworks/taegis-agent/bin:$PATH
   

   期待される結果: registration successがコンソールに表示されます

   注意

   CentOSベースのシステムでSELinuxを使用してエージェントを登録する追加情報は、以下のSELinux/AppArmorセクションを参照してください。

5. エージェントを起動します:

   ./taegisctl start
   

プロキシサポート

Taegis Endpoint Agent for Linux 1.1.27以降、エージェントはhttp_proxyおよびhttps_proxy環境変数を参照し、Taegisバックエンドとの通信にプロキシを利用します。認証情報はagent.logファイル内で難読化されます。

この機能を利用するには、以下のコマンドを実行してください:

taegisctl stop
taegisctl register --use_proxy --key xx --server yyy
taegisctl start

インストールの検証

インストール後、以下のコマンドでサービスのステータスを確認します:

./taegisctl status

正常な出力例:

ステータス出力例

ステータス出力例

SELinux/AppArmorとエージェント

お使いのシステムでSELinuxまたはAppArmorを使用している場合は、このセクションのガイダンスに従ってください。

Secureworksは、エージェントの改ざん防止を目的としたSELinuxポリシーおよびAppArmorプロファイルを提供しています。AppArmorおよびSELinuxの自己防御サポートは実験的なものです。

SELinuxの自己防御を有効にするには--enforce_selinuxを、AppArmorの自己防御を有効にするには--enforce_apparmorを使用してください。

重要

SELinuxおよびAppArmorの状態をenforcingからpermissive、またはその逆に変更する場合、taegisctl stopおよびtaegisctl startでエージェントを停止・再起動し、SELinuxおよびAppArmorの強制変更を反映させる必要があります。

SELinux

SELinuxはenforcingとpermissiveの2つのモードで動作します。permissiveモードはシステムを保護しないため無視できます。どちらのモードが有効か確認するにはgetenforceを実行します:

[user@centos ~]$ getenforce
Enforcing

システムがenforcingモードの場合、--enforce_selinuxまたは--enforce_apparmorを指定することで、SELinuxまたはAppArmorによる自己防御を有効にできます。

重要

現在、SELinuxおよびAppArmorのサポートは実験的であり、以下のようなセキュリティ関連のログメッセージが表示される場合がありますが、無視して問題ありません。SELinuxおよびAppArmorサポートの開発が進むにつれ、これらのログメッセージは徐々に消えていきます。

SELinux:

Aug 26 15:55:10 localhost setroubleshoot: SELinux is preventing unix_chkpwd from write
access on the file /usr/sbin/unix_chkpwd. For complete SELinux messages run:
sealert -l da4bbcb0-b962-4627-89e8-d50541fd77d8

AppArmor:

Aug 26 15:57:25 dw-ubuntu20-vm kernel: [ 8988.538364] audit: type=1400
audit(1661543845.962:11736): apparmor="ALLOWED" operation="chmod"
profile="/opt/secureworks/taegis-agent/bin/taegis" name="/opt/secureworks/taegis-agent/var/status/"
pid=9098 comm="taegis" requested_mask="w" denied_mask="w" fsuid=0 ouid=0

追加情報: SELinuxポリシータイプ

enforcingモードの場合、どのSELinuxポリシーが適用されているかを知ることが役立ちます。これは/etc/selinux/config内のSELINUXTYPEで確認できます:

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing - SELinux security policy is enforced.

#     permissive - SELinux prints warnings instead of enforcing.

#     disabled - No SELinux policy is loaded.

SELINUX=enforcing
# SELINUXTYPE= can take one of three values:

#     targeted - Targeted processes are protected,

#     minimum - Modification of targeted policy. Only selected processes are protected.

#     mls - Multi Level Security protection.

SELINUXTYPE=targeted

以下の表は、サポートされているおよびサポートされていないSELinuxシステム構成の概要です:

SELinuxステータス	SELinuxポリシー	サポート状況
enforcing	targeted	サポート対象（自己防御には--enforce_selinuxを使用）
enforcing	Not targeted	ベストエフォート
permissive	すべてのポリシー	サポート対象

エンドポイントエージェントの概要を確認する

エンドポイントエージェントの概要

XDRがエンドポイントのテレメトリーを処理すると、エンドポイントの一覧が生成されます。これらを確認するには、Taegis XDRメニューからエンドポイントエージェント → 概要に移動してください。詳細については、エンドポイントエージェントの管理をご覧ください。