Linux

Redhat、Ubuntu用ホストセキュリティ(EDR)エージェントのインストール方法

エージェントのインストール時にrootアカウントが必要

設置案内

1. EDRエージェントのインストール

sudo -s

curl https://repo.plura.io/v5/agent/install.sh | bash

2. ライセンスキーの登録と実行

WebUI "Install Agents" でライセンスキーを確認してから入力
ライセンスキーの確認:PLURAウェブログイン後上段>管理>ライセンス

/etc/plura/plura.sh register ****

コマンドで****部分をライセンスキーに置き換えて

3. インストール情報確認

/etc/plura/plurad -version

version: x.x.x

4. 設置映像

5. ユーザー定義設定

設定ファイルの修正

vi /etc/plura/conf/plura.conf

1) システム起動時、エージェントログイン遅延の設定
  # login_delay_sec = 0 
  # (秒)

2) AWS環境でAuto Scalingを使用する時インスタンス固有識別子をPLURA V5システムに転送する設定
  # login_with_machine_id = 0
  # (値が1の時転送)

3) 複数のネットワークインターフェイスを使用する時PLURA V5ウェブに表示されるIPアドレス設定
  # interface = eth1
  # interface_mon = eth1 (システム > リソース監視 > ネットワークトラフィックを収集するインターフェイス設定)

4) システム起動時のhostname変更によるログイン遅延の設定
  # login_hostname_check = 0 
  # (default = 0)
    0 > 設定された遅延時間まで無期限待機
    1 > hostname変更が1回検出されたら遅延中断
    2 > hostname変更が2回検出されたら遅延中断

Audit活性化のために下記の1、2番の中から選択使用

1. Auditログパッケージ個別インストール

CentOS, Red Hat, Amazon Linux

dnf -y install audit audisp-plugins

Ubuntu

apt -y update
apt -y install auditd audispd-plugins

2. Syslog + Auditログパッケージ統合インストール

3番パッケージの設置が含まれる

/etc/plura/plura.sh install_syslog

3. システム登録

CentOS, Red Hat, Amazon Linux

/sbin/init.d/syslogd start

Ubuntu

apt -y update
apt -y install cron logrotate rsyslog

1. エージェントのインストール (by root)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. ライセンスキーの登録と実行

/etc/plura/plura.sh register ***

3. ウェブログモジュールのインストール

/etc/plura/plura.sh install_web

4. エージェントの再実行

/etc/plura/plura.sh stop

/etc/plura/plura.sh start

5. ウェブログ集約設定

6. エージェント削除

/etc/plura/plura.sh uninstall

1. エージェントのインストール (by root)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. ライセンスキーの登録と実行

/etc/plura/plura.sh register ***

3. ウェブログモジュールのインストール

/etc/plura/plura.sh install_pluraweb

4. 環境設定

vi /etc/pluraweb/conf/pluraweb.conf

<例>
interface = eth0
logfile = /var/log/plura/weblog.log
host = 10.100.10.10
port = 80

service plurawebd start

5. エージェントの再実行

/etc/plura/plura.sh stop

/etc/plura/plura.sh start

6. エージェント削除

/etc/plura/plura.sh uninstall

1. Linuxコマンド(command)のインストール(rsyslogを使用)

辞書Syslogのインストールが必要

curl https://repo.plura.io/v5/module/rsyslog/pcmd.sh -o /etc/profile.d/pcmd.sh
source /etc/profile

2. Command 対数収集中止

trap - DEBUG
rm /etc/profile.d/pcmd.sh
source /etc/profile

PreviousSysmon Nextウェブファイアウォール(WAF)

Last updated 6 months ago