こんにちは、Orca Security 担当の尾谷です。
エージェントレスで環境を汚さずにリスクを洗い出せる Orca Security ですが、弱点もあります。最大の弱点は脅威の検知に時間がかかることです。
これを補う機能として、Orca Agent がリリースされました。
現段階では、Virtual Machine と Kubernetes へのエージェントのインストールが準備されています。
本ブログでは、EC2 インスタンスにインストールするところまでやってみたいと思います。
インストール
インストール方法はドキュメントに記載されていますが、root に昇格して実行する手順ですので、Systems Manager の Run Command でも実行できるのではないとみております。(後日、検証したいと思います。)
Orca コンソールから、Settings をクリックし、Agent Management を選択します。
[+ Add Agent] ボタンをクリックすると、以下のダイヤログが開くので、[ Virtual Machine ] をクリックし、[ Download VM Agent] ボタンをクリックします。
すると、ローカルに ThreatOptix_agent_vm_v1.0.18.zip がダウンロードされました。
この Zip ファイルを EC2 インスタンスに送り込みました。
インストール方法はドキュメントに記載あり
上記のウィザードで、以下のように記載されているのですが、エラーになります。繰り返しになりますが、必ずドキュメントに記載されたインストール方法に沿ってインストールを進めてください。
./install.sh
インストールエビデンス
こんな感じでインストール完了し、プロセスが起動してきました。
[ec2-user@ip-xxx-xx-xx-xxx ~]$ sudo su [root@ip-xxx-xx-xx-xxx ec2-user]# [root@ip-xxx-xx-xx-xxx ec2-user]# mkdir -p /opt/ThreatOptix && unzip ThreatOptix_agent_vm_v1.0.18.zip -d /opt/ThreatOptix && cd /opt/ThreatOptix Archive: ThreatOptix_agent_vm_v1.0.18.zip extracting: /opt/ThreatOptix/install.sh extracting: /opt/ThreatOptix/uninstall.sh extracting: /opt/ThreatOptix/bin/threatoptix-monitor [root@ip-xxx-xx-xx-xxx ThreatOptix]# chmod +x install.sh uninstall.sh bin/threatoptix-monitor [root@ip-xxx-xx-xx-xxx ThreatOptix]# ./install.sh + export TO_HOST=threatoptix-ms.production.ap-southeast-2.orcasecurity.io + TO_HOST=threatoptix-ms.production.ap-southeast-2.orcasecurity.io + export TO_ID=fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx + TO_ID=fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx + export TO_PORT=443 + TO_PORT=443 + export MOTHERSHIP_INSECURE=true + MOTHERSHIP_INSECURE=true + install_threatoptix_monitor + mkdir -p /etc/threatoptix/ + echo server: + echo ' host: threatoptix-ms.production.ap-southeast-2.orcasecurity.io' + echo ' port: 443' + echo ' id: fafxxxxx-xxxx-xxxx-xxxx-7005bcdxxxxx' + echo 'loglevel: info' + echo 'insecure: true' + echo '[Unit]' + echo 'Description=ThreatOptix Endpoint Monitor' + echo '' + echo '[Service]' + echo ExecStart=/opt/ThreatOptix/bin/threatoptix-monitor + echo Restart=always + echo RestartSec=30 + echo '' + echo '[Install]' + echo WantedBy=multi-user.target + systemctl daemon-reload + systemctl enable threatoptix-monitor + systemctl start threatoptix-monitor [root@ip-xxx-xx-xx-xxx ThreatOptix]#
インストールが完了し、Orca Security のコンソールにインスタンスが表示されました。
ポリシーの設定を進めていこうと思います。
以上です。