はじめに

この記事では、Cisco Secure Endpoint LinuxコネクタをRPMベースおよびDebianベースのシステムに導入するために管理者が実行できる手順について説明します。

要件

OSの互換性については、「Cisco Secure Endpoint Linux Connector OS Compatibility article」を参照してください。

推奨されるLinuxシステム要件については、『Secure Endpoint User Guide』を参照してください。

Linuxコネクタの導入

Linuxコネクタパッケージのダウンロード

1. Secure Endpoint Consoleで、Download Connectorページに移動します。
   
2. 「Linux Distribution」ドロップダウンを使用して適切なLinuxコネクタパッケージを選択し、ディストリビューションを選択します。
   
3. Downloadボタンをクリックして、選択したパッケージのダウンロードを開始します。
   
4. ダウンロードしたパッケージをエンドポイントに転送します。

Linuxコネクタパッケージの確認

Linuxコネクタは、Cisco GPG公開キーなしでインストールできます。ただし、ポリシーによってコネクタのアップデートをプッシュする場合は、エンドポイントに公開キーをインストールする必要があります。RPMベースの配布では、RPMデータベースにキーをインポートします。Debianベースのディストリビューションでは、キーをdebsigキーリングにインポートします。

このセクションでは、Cisco GPG公開キーをシステムにインポートする方法と、インポートしたキーを使用してダウンロードしたコネクタパッケージを検証する方法の概要を説明します。

Cisco GPG公開キーの取得

1. Secure Endpoint Console Download Connectorページで、LinuxセクションのShow GPG Public Keyリンクを選択します。
   
2. Cisco GPG公開キーがポップアップウィンドウに表示されます。このポップアップでDownloadを選択して、システムにキーをダウンロードします。キーは、Downloadsフォルダにcisco.gpgとして表示されます。
   
3. ダウンロードしたキーをエンドポイントに転送します。

RPMベース

RPMパッケージは署名されており、RPMパッケージマネージャーを使用して確認できます。

1. Cisco GPG公開キーをRPMデータベースにインポートします。

   sudo rpm --import cisco.gpg
   

2. Cisco GPG公開キーがインストールされていることを確認します。

   rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release} --> %{summary}\n’
   

   次の公開キーが表示されます。

   gpg-pubkey-34532611-6477a906 --> Cisco, Inc. <support@cisco.com> public key
   

3. RPMを使用してLinuxコネクタパッケージを確認します。以下に例を挙げます。

   rpm -K amp_Installation_Demo_rhel-centos-8-x86_64.rpm
   

   次の出力が表示されます。

   amp_Installation_Demo_rhel-centos-8-x86_64.rpm: digests signatures OK
   

Debianベース

DebianパッケージはDebianパッケージ署名検証(debsig)ツールを使って署名され、debsig-verifyを使って検証できます。

1. debsig-verifyツールをインストールします。

   sudo apt-get install debsig-verify
   

2. Cisco GPG公開キーをdebsigキーリングにインポートします。注：バージョン1.17.0では、debsig.gpgファイルが自動的に作成されるため、手順2は省略できます。

   sudo mkdir -p /usr/share/debsig/keyrings/914E5BE0F2FD178F
   sudo gpg --dearmor --output /usr/share/debsig/keyrings/914E5BE0F2FD178F/debsig.gpg cisco.gpg
   

3. ポリシーディレクトリを作成します。

   sudo mkdir -p /etc/debsig/policies/914E5BE0F2FD178F
   

4. 以下のポリシーの内容を新しいファイル「/etc/debsig/policies/914E5BE0F2FD178F/ciscoampconnector.pol」にコピーします。

   <?xml version="1.0"?>
   <!DOCTYPE Policy SYSTEM "https://www.debian.org/debsig/1.0/policy.dtd">
   <Policy xmlns="https://www.debian.org/debsig/1.0/">
    <Origin Name="Debsig" id="914E5BE0F2FD178F" Description="Cisco AMP for Endpoints"/>
    <Selection>
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Selection>
    <Verification MinOptional="0">
        <Required Type="origin" File="debsig.gpg" id="914E5BE0F2FD178F"/>
    </Verification>
   </Policy>
   

5. debsig-verifyを使用してシグニチャを確認します。以下に例を挙げます。

   debsig-verify ubuntu-20-04-amd64.deb
   

   次の出力が表示されます。

   debsig: Verified package from 'Cisco AMP for Endpoints' (Debsig)
   

Linuxコネクタパッケージのインストール

カーネルヘッダーのインストール

最近のほとんどのLinuxディストリビューションは、eBPFをサポートするカーネルバージョンを使用しています。これは、システムを監視するためにコネクタが使用するものです。エンドポイントのカーネルバージョンを確認するには、次のコマンドを実行します。

uname -r

配布バージョンが次のいずれかに一致する場合、コネクタはシステムモニタリングにeBPFを使用します。

• カーネルバージョン3.10.0-940以降のRPMベースのディストリビューション（EL7 / Enterprise Linux 7.9はこのカーネルバージョンの最も古いディストリビューション）
• カーネルバージョンが4.18以降のDebianベースのディストリビューション。

ディストリビューションとカーネルバージョンのマッピングの詳細については、ここを参照してください。

エンドポイントでeBPFがサポートされている場合、コネクタでシステムを監視するには、正しいカーネルヘッダーをインストールする必要があります。エンドポイントに正しいカーネルヘッダーがインストールされていない場合、コネクタはエラー11 （システム依存の欠落）を表示し、ファイル、プロセス、またはネットワークの監視を行わずに縮退状態で動作します。

正しいカーネルヘッダーをインストールする方法については、『Linux Kernel-Devel Fault』の記事を参照してください。

コネクタの取り付け

重要：ご使用の環境で他のセキュリティ製品を実行している場合、その製品がコネクタインストーラを脅威として検出する可能性があります。コネクタを正常にインストールするには、Cisco Secureを許可リストに追加するか、他のセキュリティ製品からCisco Secureを除外して、再試行します。

重要：コネクタのインストール時に、システムにcisco-amp-scan-svcという名前のユーザとグループが作成されます。このユーザまたはグループがすでに存在していても、設定が異なる場合、インストーラはユーザまたはグループを削除し、必要な設定を使用して再作成しようとします。必要な設定でユーザとグループを作成できなかった場合、インストーラは失敗します。

RPMベース

コネクタをインストールするには、次のコマンドのいずれかを実行します。[rpm package]は、ファイルの名前です(例：amp_Installation_Demo_rhel-centos-8-x86_64.rpm)。

• YUM経由：

  sudo yum localinstall -y [rpm package]
  

• Zypper経由：

  sudo zypper install -y [rpm package]
  

Debianベース

コネクタをインストールするには、次のコマンドを実行します（[deb package]はファイル名）。たとえば、amp_Installation_Demo_ubuntu-20-04-amd64.debと入力します。

sudo dpkg -i [deb package]

Linuxコネクタは、Debianベースのシステムのベースインストールに含まれるシステムパッケージに依存していますが、依存関係が欠落している場合は、次のメッセージが表示されます。

 ciscoampconnector depends on <package_name>; however:
  Package <package_name> is not installed.

ここで、<package_name>は、見つからない依存関係の名前です。次のコマンドを使用して、Linuxコネクタに必要な欠落している依存関係をインストールします。

sudo apt install <package_name>

不足している依存関係がすべてインストールされたら、コネクタのインストールを再試行できます。

Cisco GPG公開キーの比較

Linuxコネクタのバージョンが1.17.0以降の場合、コネクタの更新中にアップグレードパッケージを確認するために使用されるCisco GPG公開キーが、次の場所に自動的にインストールされます。

• RPMベース：/opt/cisco/amp/etc/rpm-gpg/RPM-GPG-KEY-cisco-amp
• Debianベース：/opt/cisco/amp/etc/dpkg-gpg/DPKG-GPG-KEY-cisco-amp

コネクタによってインストールされたキーと、セキュアエンドポイントコンソールから取得したキーを比較します。

インストールの確認

Linuxコネクタのコマンドラインインターフェイス(CLI)を使用して、Linuxコネクタに正しくインストールされたことを確認できます。/opt/cisco/amp/bin/ampcli statusを実行します。コネクタが正常にインストールされたら、Connectedであり、/opt/cisco/amp/bin/ampcli/ampcli statusコマンドを実行したときに障害が一覧に表示されていないことがわかります。

$ /opt/cisco/amp/bin/ampcli status
Trying to connect...
Connected.
Status:                    Connected
Mode:                    Normal
Scan:                    Ready for scan
Last Scan:                2024-01-09 01:45:49 PM
Policy:                    Installation Demo Policy (#9606)
Command-line:           Enabled
Orbital:                Enabled (Running)
Behavioural Protection: Protect
Faults:                    None

コネクタが接続されていることを確認するには、セキュアエンドポイントコンソールでインストールイベントの存在を確認します。

1. Eventsページに移動します。
   
2. コネクタのインストールイベントを見つけます。Install Startedイベントタイプに分類する必要があります。
   
3. コネクタのダウンロード時にFlash Scan on Installチェックボックスをオンにした場合は、2つのスキャンイベントの存在を確認することもできます。
   
4. Scanイベントタイプでフィルタリングして、コネクタのスキャンイベントを見つけます。注：グループおよびコネクタGUIDのフィルタを追加して、検索を絞り込むこともできます。スキャンの開始と終了に対応する2つのイベントが表示されます。
   

Linuxコネクタのアンインストール

RPMベース

1. システムパッケージマネージャを使用して、Linuxコネクタをアンインストールします。
   • YUM経由：

     sudo yum remove ciscoampconnector -y
     

   • Zypper経由：

     sudo zypper remove -y ciscoampconnector
     

2. 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。

   /opt/cisco/amp/bin/purge_amp_local_data
   

Debianベース

1. システムパッケージマネージャを使用して、Linuxコネクタをアンインストールします。

   sudo dpkg --remove cisco-orbital ciscoampconnector
   

2. 提供されたパージスクリプトを実行して、Linuxコネクタをパージします。

   sudo dpkg --purge cisco-orbital ciscoampconnector
   

アンインストールの詳細な手順については、『Secure Endpoint User Guide』を参照してください。

以下も参照のこと

• RHELへのCisco Secure Endpoint Connectorのインストールに関するビデオ
• Linuxカーネル開発の障害
  • Cisco Secure Endpoint Linuxのカーネル開発障害の解決に関するビデオ
• セキュアエンドポイントユーザガイド
• テクニカル サポートとドキュメント - Cisco Systems
• Secure Endpoint Linux障害のトラブルシューティング
• セキュアエンドポイントのLinuxコネクタのOS互換性の確認