Endpoint Security for Linux Threat Preventionの紹介 日本語ウェビナー マカフィー テクニカルサポート 2020/01/29 1
Endpoint Security for Linux Threat Preventionの紹介
日本語ウェビナー
マカフィー テクニカルサポート
2020/01/29
1
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Agenda
⚫ Endpoint Security for Linux Threat Preventionの概要
⚫ Endpoint Security for Linux Threat Preventionの機能と特徴
⚫ インストール/動作紹介
⚫ 推奨事項
⚫ よくあるご質問
⚫ Q&A
⚫ Appendix
2
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Endpoint Security for Linux Threat Prevention の概要 -1/2
⚫ 略称 ENSLTP
⚫ Linux用のマルウェア対策製品
⚫ VirusScan Enterprise for Linux (VSEL) および
Host Intrusion Prevention (HIP)の後継製品
⚫ 最新版 (リリース日)
-VSEL 1.9.2 HF1139720(2016/09/02)
-VSEL 2.0.3 HF1196448(2017/07/06)
-ENSLTP 10.6.8 (2020/01/14)
3
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Endpoint Security for Linux Threat Prevention の概要 -2/2
⚫ オンアクセススキャン(OAS)
ユーザーがファイルやディレクトリへアクセスする際、これらをスキャンして脅威を検出します。
⚫ オンデマンドスキャン(ODS)
ファイルやディレクトリのスキャンを特定の時刻に実行します。
⚫ アクセス保護(AP) ※バージョン 10.5.0以降
プロセス、ファイル、ディレクトリのアクセス制御を行います。
4
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
インストール/動作紹介 -1/2
1) マニュアル- McAfee Agent 5.6.x インストールガイド
https://docs.mcafee.com/bundle/agent-5.6.x-installation-guide
- McAfee Endpoint Security 10.6.6 - インストール ガイド - Linuxhttps://docs.mcafee.com/bundle/endpoint-security-10.6.6-installation-guide-linux
2) ナレッジベース記事- サポート要件https://kc.mcafee.com/corporate/index?page=content&id=KB87073
- 既知の問題https://kc.mcafee.com/corporate/index?page=content&id=KB87518
- ローカルLinuxファイアウォールの構成方法https://kc.mcafee.com/corporate/index?page=content&id=KB91186
- インストールオプションの紹介https://kc.mcafee.com/corporate/index?page=content&id=KB88299
5
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
インストール/動作紹介 -2/2
⚫ 使用環境Microsoft Windows Server 2016 StandardRedHat Enterprise Linux 8.0McAfee Agent for Linux 5.6.2McAfee Endpoint Security for Linux 10.6.7
⚫ ご紹介する動画の流れ
6
1. ePO管理コンソールから
McAfee Agent をプッシュインス
トール
2. ENSLTP の配備タスクを作
成し、割り当て
3. リモートツール(Putty)から
Linux OS 上でポート8081を
解放
(エージェントウェークアップのため)
4. エージェントウェークアップ成功
を確認
5. ENSLTP のインストールを確
認
6. インストール後の推奨操作を
ご紹介
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
推奨事項
ENSLTP の OAS 除外設定
別製品への動作影響の予防やパフォーマンス改善のために ENSLTP の OAS スキャン対象か
らファイルを除外することができます。
ENSLTP と他社製品を同じ OS 上でご利用いただく場合、他社製品のサポートまで推奨され
る除外設定をお問い合わせいただき、ENSLTP の OAS 除外を設定することを推奨します。
なお、スタンドアロン(ePO 非管理)の場合は一部の除外設定が事前定義されていますが、ePO
管理の場合は OAS ポリシーに事前定義された除外設定はありません。詳細は記事
KB88807、KB88569を参照してください。
7
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
よくあるご質問
Q: ENSLTP の起動、停止方法A: 以下のそれぞれのコマンドをオプション start/stop で実行します。詳細は記事KB88223をご確認ください。
# /opt/McAfee/ens/tp/init/mfetpd-control.sh [オプション]# /opt/McAfee/ens/esp/init/mfeespd-control.sh [オプション]
Q: CLI ツール mfetpcli (旧isecav) の利用方法A: 主なオプションや実行例はマニュアル(docs.mcafee.com)、ナレッジベース、ENSLTP 製品ガイドをご確認く
ださい。また、以下のコマンドでヘルプを表示することですべてのオプションを確認可能です。# /opt/McAfee/ens/tp/bin/mfetpcli --help
Q: ENSLTP インストール、アップグレード時の再起動の必要性A: VSEL1.9.2 や HIP が導入されたシステムを ENSLTP にアップグレードした場合にのみOSの再起動が必要
です。VSEL2.0.3 や ENSLTP の旧バージョンからのアップグレード時、ENSLTP の新規インストール時、ENSLTPのアンインストール時は OS の再起動が不要です。
Q: ENSLTP を10.6.6 以降のバージョンへアップグレードしたら、プロセスやファイルがなくなってしまったA: ENSLTP 10.6.6 でファイル名やファイルパスが変更されました。詳細は KB92028 をご確認ください。
Q: ログがローテーションされるタイミングやログのバックアップの仕様を知りたいA: 詳細は製品ガイドをご確認ください。
8
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Q&A -1/4
9
当時のセッションで頂いたご質問とその回答を記載いたします。
Q: Winodws 版 ENS のような GUI はありますか。
A: ENSLTP には GUI はございません。
Q: McAfeeESP-KernelModule for Linux の用途について
A: ENSLTP が使用するカーネルにインストールするものです。OAS で使用されるもので、ENSLTP のインストールよりも先に
McAfeeESP-KernelModule for Linuxをインストールする必要があります。
Q: ENS ライセンス拡張は最新バージョンを使用する必要があるか。
A: ご利用されている環境の最新バージョンに合わせる必要があります。ENSLTP ライセンス拡張は下位互換性がありますので、最新
バージョンをご使用いただくようお願いします。
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Q&A -2/4
10
Q: ENSLTP が正常に動作していることを確認するポイントA: ①サーバ観点、②クライアント観点、③スキャン検知テスト の3つに分けてご案内いたします。
①サーバ観点ePO システムツリーから該当の Linux システムの[前回の通信]の日時を確認します。
該当のシステムをクリックして、[アクション] - [エージェント] - [クライアントイベントの表示] をクリックします。イベントID:2427 (製品名 Endpoint Security Threat Prevention) の記録がないことを確認します。イベントID:2427 の生成が有効化されている必要があります。設定を確認するには KB70252 を参照してください。※このイベント ID があり、イベント受信時間と上記[前回の通信]の日時が同時間帯である場合は、ePO 上の当該システムの ENSLTP 製品のプロパティ情報の信頼性が損なわれているため、クライアント環境上の確認を必要とします。
問題がない場合、システムの製品タブを表示します。製品 [Endpoint Security Threat Prevention] をクリックします。
▪︎ アクセス保護 ステータス確認[アクセス保護]-[アクセス保護を有効にする]が"有効"であること、対応状況が"対応"であることをご確認ください。
▪︎ OAS ステータス確認[オンアクセススキャン]-[オンアクセススキャンを有効にする]が"有効"であること、対応状況が"対応"であることをご確認ください。
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Q&A -3/4
11
②クライアント観点▪︎ ENSLTP のサービスの正常確認
/opt/McAfee/ens/tp/init/mfetpd-control.sh status
ステータスが "active (running)“ または "start/running“ または "running...“ であることを確認
/opt/McAfee/ens/esp/init/mfeespd-control.sh status
ステータスが "active (running)" または "start/running“ または "running...“ であることを確認
▪︎ OAS ステータス確認
/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary | grep Scan
On-Access Scan の情報が "Enabled and Compliant“ であることを確認
▪︎ アクセス保護ステータス確認
/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig –summary
"Enabled“ であることを確認
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Q&A -4/4
12
③スキャン検知テスト▪︎ OAS による検知テストを行う場合は KB90919 をご参照ください。
ODS による検知テストを行う場合は、OAS を無効にして eicarフ ァイルを配置してテストしてください。
または、OAS の除外設定したディレクトリ配下に eicar ファイルを配置してテストしてください。
▪︎ /opt/McAfee/ens/tp/bin/mfetpcli –listqurantineitems コマンドを実行すると OAS または ODS により検知され、隔離さ
れた eicar ファイルがあることを確認できます。
ePO から ODS の完了を確認する方法は KB69428 をご参照ください。
eicar 検知は ePO 脅威イベントログからご確認ください。
Sectio
n 1
| Sectio
n 2
| Sectio
n 3
| Sectio
n 4
Appendix本ウェビナーで利用した製品バージョン一覧
⚫ チェックイン用パッケージ※ [ソフトウェア]-[マスターリポジトリ]の[パッケージのチェックイン]ボタンをクリックし、下記ファイルを指定することでチェックインします。
⚫ 拡張ファイル※[ソフトウェア]-[拡張ファイル]の[拡張ファイルのインストール]ボタンをクリックし、下記ファイルを指定することでインストールします。
13
製品名 バージョン ファイル名
McAfee Agent for LINUX 5.6.2.209 MA562LNX.zip
ePO Agent Key Updater 5.6.2.209 AgentKeyUpdate.zip
Message Bus Certificate Updater 5.6.2.209 MsgBusCertsUpdater.zip
McAfee Endpoint Security for Linux Threat Prevention - ePO Package 10.6.7.118 McAfeeTP-10.6.7-118-Release-ePO.zip
McAfee Endpoint Security Kernel Modules for Linux - ePO Package 10.6.7.117 McAfeeESP-KernelModule-10.6.7-117-Release-ePO.zip
製品名 バージョン ファイル名
McAfee Agent Extension 5.6.2.110 EPOAGENTMETA.zip
McAfee Endpoint Security for Linux License Extension 10.6.7.101 ENDPL_LIC-10.6.7-Build_101(Extension).zip
Endpoint Security Platform 10.7.0.407 Endpoint_Security_Platform_10.7.0.407_extension.zip
Threat Prevention 10.7.0.420 Threat_Prevention_10.7.0.420_extension.zip
Thank you.
14