Linux

Redhat、Ubuntu用ホストセキュリティ(EDR)エージェントのインストール方法

エージェントのインストール時にrootアカウントが必要

設置案内

1. EDRエージェントのインストール

sudo -s

curl https://repo.plura.io/v5/agent/install.sh | bash

2. ライセンスキーの登録と実行

WebUIの「Install Agents」でライセンスキーを確認してから入力してください。
ライセンスキーの確認: PLURAウェブログイン後、上部メニューの「管理」>「ライセンス」。

/etc/plura/plura.sh register ****

コマンド内の****部分をライセンスキーに置き換えて実行してください。

3. インストール情報確認

/etc/plura/plurad -version

version: x.x.x

4. ユーザー定義設定

設定ファイルの修正

vi /etc/plura/conf/plura.conf

1) システム起動時のエージェントログイン遅延の設定
# login_delay_sec = 0
（秒単位）

2) AWS環境でAuto Scalingを使用する際のインスタンス固有識別子をPLURA V5システムに転送する設定
# login_with_machine_id = 0
（値が1の場合に転送）

3) 複数のネットワークインターフェイスを使用する際にPLURA V5ウェブに表示されるIPアドレスの設定
# interface = eth1
# interface_mon = eth1 （システム > リソース監視 > ネットワークトラフィックを収集するインターフェイスの設定）

4) システム起動時のhostname変更によるログイン遅延の設定
# login_hostname_check = 0
（default = 0）

0：設定された遅延時間まで無期限に待機
1：hostname変更が1回検出されたら遅延中断
2：hostname変更が2回検出されたら遅延中断

5. 設置映像

Audit活性化のために下記の1、2番の中から選択使用

1. Auditログパッケージ個別インストール

CentOS、Red Hat、Rocky Linux、Amazon Linux

dnf -y install audit audisp-plugins

Ubuntu

apt -y update
apt -y install auditd audispd-plugins

2. Syslog + Auditログパッケージ統合インストール

3番パッケージの設置が含まれる

/etc/plura/plura.sh install_syslog

3. システム登録

CentOS、Red Hat、Rocky Linux、Amazon Linux

/sbin/init.d/syslogd start

Ubuntu

apt -y update
apt -y install cron logrotate rsyslog

1. エージェントのインストール (by root)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. ライセンスキーの登録と実行

/etc/plura/plura.sh register ***

3. ウェブログモジュールのインストール

/etc/plura/plura.sh install_web

4. エージェントの再実行

/etc/plura/plura.sh stop

/etc/plura/plura.sh start

5. ウェブログ集約設定

6. エージェント削除

/etc/plura/plura.sh uninstall

7. 設置映像

1. エージェントのインストール (by root)

sudo -s
curl https://repo.plura.io/v5/agent/linux/install.sh | bash

2. ライセンスキーの登録と実行

/etc/plura/plura.sh register ***

3. ウェブログモジュールのインストール

/etc/plura/plura.sh install_pluraweb

4. 環境設定

vi /etc/pluraweb/conf/pluraweb.conf

<例示>
interface = eth0
logfile = /var/log/plura/weblog.log
host = 10.100.10.10
port = 80

service plurawebd start

5. エージェントの再実行

/etc/plura/plura.sh stop

/etc/plura/plura.sh start

6. エージェント削除

/etc/plura/plura.sh uninstall

1. Linuxコマンド(command)のインストール

辞書Syslogのインストールが必要

curl https://repo.plura.io/v5/module/rsyslog/pcmd.sh -o /etc/profile.d/pcmd.sh
source /etc/profile

2. Command 対数収集中止

trap - DEBUG
rm /etc/profile.d/pcmd.sh
source /etc/profile

1. PLC

sudo -s

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s PLC

2. Squid

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s squid

3. Haproxy

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s haproxy

4. Embedded Linux for Commax

4.1. 32 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx32

4.2. 64 bit

curl -s https://repo.plura.io/v5/agent/linux/install | bash -s commanx64

PreviousSysmon Nextウェブファイアウォール(WAF)

Last updated 5 months ago