Debian 用インストーラを使用してエージェントを作成する

このドキュメントでは、Google Security Operations プラットフォームのインストール ウィザードを使用してリモート エージェントをデプロイする手順について説明します。リモート エージェントは重要なリンクとして機能し、SOAR 環境がローカル セキュリティ ツールやデバイスと安全に通信できるようにします。

始める前に

開始する前に、各アクションが正常に実行されることを確認するため、コマンドを個別に実行することをおすすめします。

次の手順に沿って、ネイティブ インストーラ パッケージを使用して Debian 12 にリモート エージェントをインストールします。

1. Linux ページをインストールします。

apt update -y
apt install wget -y
apt install make -y
apt install build-essential -y
apt install libbz2-dev -y
apt install sqlite3 -y
apt install libffi-dev -y
apt install python3-dev -y
apt install zlib1g-dev -y
apt install libssl-dev -y
apt install supervisor -y
apt install at -y
apt install sharutils -y
apt install xz-utils -y
apt install curl -y
apt install gnupg2 -y
apt install coreutils -y
apt install libc6-dev -y
apt install pkg-config -y

2. システム サービスを開始します。

systemctl start atd
systemctl enable atd

3. Python 3.7.4 をインストールします。

cd /usr/local/src
wget https://www.python.org/ftp/python/3.7.4/Python-3.7.4.tgz
tar -xzf Python-3.7.4.tgz
cd Python-3.7.4
./configure --prefix=/usr/local
make -j$(nproc) altinstall

4. Python 3.11.8 をインストールします。

cd /usr/local/src
wget https://www.python.org/ftp/python/3.11.8/Python-3.11.8.tgz
tar -xzf Python-3.11.8.tgz
cd Python-3.11.8
./configure --prefix=/usr/local
make -j$(nproc) altinstall
ln -s /usr/local/bin/python3.11 /usr/local/bin/python3

5. pip を構成します。

cd /usr/local/src
wget -O get-pip-3.7.py https://bootstrap.pypa.io/pip/3.7/get-pip.py
wget -O get-pip-3.11.py https://bootstrap.pypa.io/get-pip.py
/usr/local/bin/python3.7 get-pip-3.7.py
/usr/local/bin/python3.11 get-pip-3.11.py

6. エージェント ユーザーを追加します。

groupadd -r siemplify_agent && useradd -r -s /bin/bash -g siemplify_agent siemplify_agent -m
cp -n /home/siemplify_agent/.profile /home/siemplify_agent/.bash_profile 2>/dev/null
mkdir -p /opt/SiemplifyAgent
chown -R siemplify_agent:siemplify_agent /opt/* /var/log/

7. エージェント ユーザーの supervisor.service を追加します。

echo -e "[Unit]\nDescription=Process Monitoring and Control Daemon\nAfter=rc-local.service\n\n[Service]\nType=forking\nExecStart=/usr/bin/supervisord -c /etc/supervisord.conf\nRuntimeDirectory=supervisor\nRuntimeDirectoryMode=755\n\n[Install]\nWantedBy=multi-user.target" > /etc/systemd/system/supervisord.service

Microsoft SQL インテグレーションを使用する（省略可）

Microsoft SQL 統合を使用している場合は、次のコマンドを（順番に）実行して、必要な Microsoft ODBC SQL ドライバとツールをインストールします。

1. 競合を回避するため、既存の Open Database Connectivity（ODBC）パッケージを削除します。

apt -y remove unixodbc unixodbc-dev

2. Microsoft パッケージ リポジトリを追加し、ローカル パッケージ リストを更新します。

curl -fsSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor -o /usr/share/keyrings/microsoft-prod.gpg
curl https://packages.microsoft.com/config/debian/12/prod.list | tee /etc/apt/sources.list.d/mssql-release.list
apt update

3. ODBC ドライバと SQL コマンドライン ユーティリティをインストールします。

apt install -y msodbcsql18 mssql-tools unixodbc-dev

4. 標準の PATH を介してツールにアクセスできるように、bcp と sqlcmd のシンボリック リンクを作成します。

ln -sfn /opt/mssql-tools/bin/bcp /usr/bin/bcp
ln -sfn /opt/mssql-tools/bin/sqlcmd /usr/bin/sqlcmd

リモート エージェントをインストールする

この手順では、必要な前提条件をすべて満たした後にリモート エージェントを手動でインストールする方法について説明します。

プラットフォームでエージェントの設定を開始する

1. プラットフォームで、[設定> 詳細 > リモート エージェント] に移動します。
2. [追加] [エージェントを追加] をクリックして、インストール ウィザードを開始します。
3. [手動インストール] リンクをクリックします。
4. 最初の手順では、エージェントの名前を入力し、関連付ける環境を選択して、[次へ] をクリックします。
1. 2 番目の手順で、次のいずれかの配布方法を選択します。
   1. エージェント パッケージをマシンに直接ダウンロードします。
   2. ダウンロード リンクを送信するメールアドレスを入力します（メール統合が正しい環境で構成されていることを確認してください）。
   3. [環境の連絡先を追加] をクリックして、環境の [連絡担当者のメールアドレス] を自動的に使用します。
2. [次へ] をクリックします。パッケージがダウンロードされるか、メールでリンクが送信されます。

インストール マシンを準備する

ダウンロード リンクから、次の ZIP ファイルが提供されます。
• env: Siemplify 環境変数
• SiemplifyAgent_*.sh: インストーラ スクリプト ファイル
1. WinSCP などのツールを使用して、これらのファイルをターゲット インストール マシンにコピーします。
2. SSH を使用してマシンにログインし、ユーザー名とパスワードを入力します。

インストールを実行する

1. インストーラ スクリプトに実行権限を設定します。

   sudo chmod +x SiemplifyAgent_*.sh

2. インストール画面から保存したコマンドを使用してエージェントをインストールします。
3. スクリプトが完了するまで待ちます。完了すると、明確にマークされます。

接続を確認する

5. プラットフォーム ウィザードに戻り、[次へ] をクリックします。エージェントが接続されたことを示す確認メッセージが表示されます。