ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

EC2 インスタンスに Orca Security Agent をインストールしてみた

AWS OrcaSecurity Agent

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちは、Orca Security 担当の尾谷です。

エージェントレスで環境を汚さずにリスクを洗い出せる Orca Security ですが、弱点もあります。最大の弱点は脅威の検知に時間がかかることです。
これを補う機能として、Orca Agent がリリースされました。

現段階では、Virtual Machine と Kubernetes へのエージェントのインストールが準備されています。
本ブログでは、EC2 インスタンスにインストールするところまでやってみたいと思います。

インストール

インストール方法はドキュメントに記載されていますが、root に昇格して実行する手順ですので、Systems Manager の Run Command でも実行できるのではないとみております。(後日、検証したいと思います。)

Orca コンソールから、Settings をクリックし、Agent Management を選択します。

[+ Add Agent] ボタンをクリックすると、以下のダイヤログが開くので、[ Virtual Machine ] をクリックし、[ Download VM Agent] ボタンをクリックします。

すると、ローカルに ThreatOptix_agent_vm_v1.0.18.zip がダウンロードされました。
この Zip ファイルを EC2 インスタンスに送り込みました。

インストール方法はドキュメントに記載あり

上記のウィザードで、以下のように記載されているのですが、エラーになります。繰り返しになりますが、必ずドキュメントに記載されたインストール方法に沿ってインストールを進めてください。

./install.sh

インストールエビデンス

こんな感じでインストール完了し、プロセスが起動してきました。

[ec2-user@ip-xxx-xx-xx-xxx ~]$ sudo su
[root@ip-xxx-xx-xx-xxx ec2-user]# 
[root@ip-xxx-xx-xx-xxx ec2-user]# mkdir -p /opt/ThreatOptix && unzip ThreatOptix_agent_vm_v1.0.18.zip -d /opt/ThreatOptix && cd  /opt/ThreatOptix
Archive:  ThreatOptix_agent_vm_v1.0.18.zip
 extracting: /opt/ThreatOptix/install.sh  
 extracting: /opt/ThreatOptix/uninstall.sh  
 extracting: /opt/ThreatOptix/bin/threatoptix-monitor  
[root@ip-xxx-xx-xx-xxx ThreatOptix]# chmod +x install.sh uninstall.sh bin/threatoptix-monitor
[root@ip-xxx-xx-xx-xxx ThreatOptix]# ./install.sh
+ export TO_HOST=threatoptix-ms.production.ap-southeast-2.orcasecurity.io
+ TO_HOST=threatoptix-ms.production.ap-southeast-2.orcasecurity.io
+ export TO_ID=fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx
+ TO_ID=fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx
+ export TO_PORT=443
+ TO_PORT=443
+ export MOTHERSHIP_INSECURE=true
+ MOTHERSHIP_INSECURE=true
+ install_threatoptix_monitor
+ mkdir -p /etc/threatoptix/
+ echo server:
+ echo '  host: threatoptix-ms.production.ap-southeast-2.orcasecurity.io'
+ echo '  port: 443'
+ echo '  id: fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx'
+ echo 'loglevel: info'
+ echo 'insecure: true'
+ echo '[Unit]'
+ echo 'Description=ThreatOptix Endpoint Monitor'
+ echo ''
+ echo '[Service]'
+ echo ExecStart=/opt/ThreatOptix/bin/threatoptix-monitor
+ echo Restart=always
+ echo RestartSec=30
+ echo ''
+ echo '[Install]'
+ echo WantedBy=multi-user.target
+ systemctl daemon-reload
+ systemctl enable threatoptix-monitor
+ systemctl start threatoptix-monitor
[root@ip-xxx-xx-xx-xxx ThreatOptix]#

インストールが完了し、Orca Security のコンソールにインスタンスが表示されました。
ポリシーの設定を進めていこうと思います。

以上です。