맀λμ κ° SaaS ννλ‘ μ 곡λλ Carbon Black Cloud μ νκ³Ό λ¬λ¦¬ Carbon Black EDR μ μ¨-νλ λ―Έμ€μ μ§μ ꡬμΆμ΄ νμνλ€.
λ°λΌμ μ΄λ² ν¬μ€ν
μμλ EDR μλ²λ₯Ό μ€μΉνκ³ κ΄λ¦¬νλ λ°©λ²μ λν΄ λ€λ£° κ²μ΄λ€.
1. μ€μΉ κ³ λ €μ¬ν
1-1. OS λ° λ€νΈμν¬
OSμ λ€νΈμν¬ ν΅μ μ€μ μ΄ νμνλ€. μ§μλλ OSμ λ€νΈμν¬ μ€μ μ μ§λ ν¬μ€ν μ μ°Έμ‘°νμ¬ νμΈ κ°λ₯νλ€.
μ΅κ·Όμλ λ컀 νκ²½ κΈ°λ°μμ μ€μΉν μ μλλ‘ μ§μλκ³ μμΌλ, κΈ°λ³Έμ μΈ μ€μΉ λ°©μμΈ Linux κΈ°λ°μ μ€μΉν κ²μ΄λ€.
1-2. μΈμ¦μ
λ¨Όμ κ³ λ €ν΄μΌν Carbon Black EDR μ HTTPS λ° TLS ν΅μ μ νκ³ μλ€.
λ°λΌμ μλν¬μΈνΈλ μ λ’°λ μλ²μ ν΅μ ν μ μλλ‘ μ 곡νκ³ , μλ²λ μ λ’°λ μλν¬μΈνΈμ ν΅μ νλλ‘ μ 곡νλ€.
μΈμ¦μλ μλ²μ '/etc/cb/certs/' κ²½λ‘μ μ μ₯λμ΄ μμΌλ©°, κΈ°λ³Έμ μΌλ‘ Carbon Black μμ λ°κΈνλ μ체 μΈμ¦μλ₯Ό μ 곡νλ€.
Carbon Black μμ λ°κΈλ μ체 μΈμ¦μ λ§κ³ μ¬μ©μκ° μ§μ λ°κΈν μΈμ¦μ μ¬μ©λ κ°λ₯νλ€.
cbinit μ ν΅ν΄ μμ±ν μΈμ¦μκ° μ ν¨νμ§ νμΈνλ©°, μ ν¨μ±μ΄ νμΈλλ©΄ ν΄λΉ μλ²μμ μ¬μ© κ°λ₯νλ©°, νμΈλμ§ μμ μμλ μ체 μ 곡λλ κΈ°λ³Έ μΈμ¦μκ° μ μ©λλ€.
μΈμ¦μ μ€μ μ μ€λ₯κ° λ°μνλ©΄ ν΅μ μ΄ μ μμ μΌλ‘ 보μ₯λμ§ μμΌλ, μꡬ μ¬νμ νμΈνλ κ²μ΄ μ’λ€
2. μ€μΉ
2-1. μ€μΉ μ§ν
Carbon Black EDR μλ² μ€μΉ μ§νμ μ¨λΌμΈ νκ²½μΈμ§, μ€νλΌμΈ νκ²½μΈμ§μ λ°λΌ μ€μΉ λ°©λ²μ΄ μ λμ μ΄λ€.
μ¨λΌμΈ νκ²½μ κ°λ¨νκ² λͺ
λ Ήμ΄λ‘ μ€μΉκ° κ°λ₯νμ§λ§, μ€νλΌμΈ νκ²½μΌ κ²½μ° μΈλΆμ ν΅μ μ΄ κ°λ₯ν μΊμ μλ²μ μΌλΆ λμμ΄ νμνλ€
μ΄λ² ν¬μ€ν
μμλ μ¨λΌμΈ μ€μΉ κ³Όμ μ μ 리νμμΌλ, μ€νλΌμΈ νκ²½μ μ€μΉ κ°μ΄λλ μ 곡λκ³ μμΌλ―λ‘ νμν κ²½μ° μλ μ¬μ΄νΈλ₯Ό μ°Έμ‘°νλ©΄ λλ€
Carbon Black EDR μλ² μ€μΉ κ³Όμ μ root κΆνμΌλ‘ μ§νλλ―λ‘, sudo λͺ λ Ήμ΄λ₯Ό μ¬μ©νκ±°λ root λ‘ μ μνμ¬ μ€μΉλ₯Ό μ§ννλ©΄ λλ€.
μ μΌ λ¨Όμ νμν κ³Όμ μ Carbon Black EDR RPM νμΌμ EDR μλ²μ μ μ©νλ κ³Όμ μ΄λ€. Carbon Black EDR μλ²μ© RPM νμΌμ κ³ κ°μ¬ λ³λ‘ μ 곡λκ³ μμ΄, νμ©λμ§ μμ μ¬μ©μλ μ€μΉκ° λΆκ°νλ€.
RPM νμΌ μ΄λ¦μ carbon-black-release-<Company>.x86_64.rpm νμμ κ°μ§κ³ μλ€.
rpm νμΌμ μλ²μ μ λ‘λ νμμΌλ©΄, μλ λͺ λ Ήμ΄λ₯Ό ν΅νμ¬ rpm μ€μΉ μ§ν
rpm -ivh carbon-black-release-<customer dependent>.x86_64.rpm
Carbon Black repo νμΌ μ€μ μ§ν
vi /etc/yum.repos.d/CarbonBlack.repo
# νμΌ λ΄ baseurl λ³κ²½
baseurl= https://yum.distro.carbonblack.io/enterprise/stable/$releasever/$basearch/
# SSL Cert κ²½λ‘ νμΈ (μΈμ¦μ λ° ν€ νμΌ μ§μ )
sslclientcert=/etc/cb/certs/carbonblack-alliance-client.crt
sslclientkey=/etc/cb/certs/carbonblack-alliance-client.key
Carbon Black EDR μλ² ν¨ν€μ§ λ° μ’ μμ± νμΌ λ€μ΄λ‘λ
yum install cb-enterprise.x86_64 -y
# EL8 λ²μ μλ²μΌ κ²½μ° μλ λͺ λ Ήμ΄λ₯Ό μ€ννμ¬ νΉμ λͺ¨λ λΉνμ±ν νμ
yum module disable postgresql redis python38 python39
yum install cb-enterprise
μλ λͺ λ Ήμ΄λ₯Ό μ€ννμ¬ μ€μΉ μ§ν λ° κ΅¬μ±
/usr/share/cb/cbinit
(μ§μ λ°κΈν μΈμ¦μ μ μ© μ : /usr/share/cb/cbinit --server-cert-file= < μΈμ¦μ κ²½λ‘ > --server-cert-key=< ν€ κ²½λ‘ >)
--μ€μΉ μ μ°¨ μ§ν (μΉ κ°μ΄λ νμΈ) --
** μ€μΉλ₯Ό μ§ννλ©° μ μν μ¬ν μ£Όμν μ
# μλ²μ λ μ§ λ° μκ° μ€μ μ΄ μ ννμ§ μμ μ : SSL μΈμ¦μ μ€ν¨ν μ μμ
rdate -s time.bora.net
2-2. μ€μΉ νμΈ
μ€μΉ κ³Όμ μ΄ μλ£λλ©΄ μ€μ λ‘ μ μ λμνλμ§ νμΈμ΄ νμνλ€.
μ€μΉκ° μλ£λλ©΄ μλμΌλ‘ Carbon Black EDR μλΉμ€ λ°λͺ¬μ΄ μ€νλμ§λ§ λͺ
λ Ήμ΄λ₯Ό ν΅νμ¬ λ°λͺ¬ μ€ν νν©μ λ³Ό μ μλ€.\
# Carbon Black EDR μλΉμ€ λ°λͺ¬ νν©
service cb-enterprise status
# Carbon Black EDR μλΉμ€ λ°λͺ¬ μ€ν
service cb-enterprise start
# Carbon Black EDR μλΉμ€ λ°λͺ¬ μ€μ§
service cb-enterprise stop
μλ² μ€μΉκ° μλ£λλ©° μλμ κ°μ Carbon Black λ°λͺ¬ μλΉμ€κ° μ€νλκ³ μλ κ²μ λ³Ό μ μλ€.
λ°λͺ¬ | μ€λͺ |
cb-pgsql | μ ν΅μ μΈ κ΄κ³ν λ°μ΄ν°λ² μ΄μ€ |
cb-datagrid | λΆμ° νκ²½μμ νλμ λ°μ΄ν°λ² μ΄μ€λ₯Ό μ¬μ©ν μ μλλ‘ λ°μ΄ν° 곡μ λ₯Ό μν μλΉμ€ |
cb-redis | λ°μ΄ν° κ²μ μλλ₯Ό ν¨μ¨μ μΌλ‘ μ 곡ν μ μλλ‘ In-memory μ΄μ |
cb-rabbitmq | μΊμ λ°μ΄ν° μ μ₯μ |
cb-solr | κΈ°λ³Έ λ°μ΄ν° μ μ₯μ (μ΄λ²€νΈ, λ°μ΄λ리 λ°μ΄ν°, Feed 리ν¬νΈ, μλ λ°μ΄ν°) |
cb-nginx | μΈλΆ 443 ν΅μ μμ²μ λ΄λΆ μλΉμ€λ‘ 리λλ μ μν (λ΄λΆ λ°λͺ¬μ HTTP μλ°©ν₯ νλ‘μ μ 곡) |
cb-datastore | μ΄λ²€νΈ λ‘κ·Έ λ° λ°μ΄λ리 νμΌ λ±μ ν¬ν¨ν μΌμ μμ λ°μ΄ν° |
cb-coreservices | HTTP λ° API μ 곡νλ μλΉμ€ |
cb-sensorservices | Sensor 체ν¬μΈ, λ±λ‘, μ κ·Έλ μ΄λ λ±μ μΌμ μμ² μ²λ¦¬λ₯Ό λ΄λΉνλ μλΉμ€ |
cb-liveresponse | Live Response μλΉμ€ |
cb-alianceclient | μΈλΆ TI Feeds μ°λμ λ΄λΉνλ μλΉμ€ |
κ° λ°λͺ¬μ λν ꡬμ±λλ μλ λ§ν¬μμ μμΈν νμΈν μ μλ€.
2-3. κ΅¬μ± νμΌ
μ€μ λ‘ Carbon Black EDR μλ² μ€μ μ μ§ννλ λΆλΆμ /etc/cb/cb.conf νμΌμμ μ§νν μ μλ€.
- μΌμ λμ
- μΈμ¦μ ꡬμ±
- ν΄λ¬μ€ν° μ€μ
- λ€νΈμν¬ λ° ν¬νΈ μ€μ
- μλΉμ€ λ°λͺ¬ μ€μ
https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7/cb-edr-server-config-guide.pdf
μ΄ μΈμλ κ° μλΉμ€ λ°λͺ¬μ λν λ‘κ·Έ μ€μ λ° λ°μ΄ν°λ² μ΄μ€ μ€μ λ κ°λ₯ν©λλ€.
https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7.1/cb-edr-scm-guide/GUID-0DD5615C-D78C-4BA3-A314-6A2F8A2903AB.html
3.μ κ·Έλ μ΄λ
EDR μλ² μ
κ·Έλ μ΄λλ κ΅¬μ± λ°©λ²μ΄ λ¨λ
ꡬμ±λ μλ²μΈμ§, ν΄λ¬μ€ν° ꡬμ±λ μλ² κ΅¬μ±μΈμ§μ λ°λΌ μ
κ·Έλ μ΄λ λ°©μμ΄ λ¬λΌμ§λλ€.
μ
κ·Έλ μ΄λ κ³Όμ λ μ€μΉ κ³Όμ λ λμΌνκ² root κΆνμ΄ νμνλ―λ‘, sudo λͺ
λ Ήμ΄ μ¬μ© νΉμ λͺ
λ Ήμ΄
# Carbon Black EDR μλΉμ€ μ€μ§
service cb-enterprise stop
cbcluster stop (ν΄λ¬μ€ν° μλ²μ κ²½μ°)
# yum μΊμ νμΌ μ 리 (μ ν μ¬ν)
yum clean all
# Carbon Black EDR μλΉμ€ μ κ·Έλ μ΄λ
yum upgrade cb-enterprise
# μ κ·Έλ μ΄λ μ νΈ μ€ν (ν΄λ¬μ€ν° ꡬμ±, λ°μ΄ν°λ² μ΄μ€ μ€ν€λ§ λ° Threat Intelligence Feed λ°μ΄ν° λ§μ΄κ·Έλ μ΄μ )
/usr/share/cb/cbupgrade
#Carbon Black EDR μλΉμ€ μ€ν
service cb-enterprise start (λ¨μΌ μλ²μ κ²½μ°)
cbcluster start (ν΄λ¬μ€ν° μλ²μ κ²½μ°)
Carbon Black μ€μΉ μΈμλ λ°±μ
λ° λ³΅μ, μμ μ λν κ°μ΄λλ μ 곡λκ³ μλ€.
https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7.1/cb-edr-scm-guide/GUID-366BFC57-A61A-4A96-B294-303FA1574B86.html
'VMware > Carbon Black' μΉ΄ν κ³ λ¦¬μ λ€λ₯Έ κΈ
Carbon Black EDR κ΅¬μΆ νμΈ μ¬ν (0) | 2023.09.06 |
---|---|
Carbon Black Cloud Workload λ°°ν¬ λ° κ΅¬μ± (0) | 2023.08.17 |
Carbon Black Cloud Sensor Agent κ΄λ¦¬ (0) | 2023.08.11 |
Carbon Black Cloud κ΅¬μΆ νμΈ μ¬ν (0) | 2023.08.01 |
Carbon Black Cloud μ½μ μ¬μ©μ κ³μ κ΄λ¦¬ (0) | 2023.07.19 |
λκΈ