λ³Έλ¬Έ λ°”λ‘œκ°€κΈ°
VMware/Carbon Black

Carbon Black EDR μ„œλ²„ μ„€μΉ˜ 및 ꡬ성

by Seungming 2023. 9. 7.
λ°˜μ‘ν˜•

λ§€λ‹ˆμ €κ°€ SaaS ν˜•νƒœλ‘œ μ œκ³΅λ˜λŠ” Carbon Black Cloud μ œν’ˆκ³Ό 달리 Carbon Black EDR 은 온-ν”„λ ˆλ―ΈμŠ€μ— 직접 ꡬ좕이 ν•„μš”ν•˜λ‹€.
λ”°λΌμ„œ 이번 ν¬μŠ€νŒ…μ—μ„œλŠ” EDR μ„œλ²„λ₯Ό μ„€μΉ˜ν•˜κ³  κ΄€λ¦¬ν•˜λŠ” 방법에 λŒ€ν•΄ λ‹€λ£° 것이닀.

1. μ„€μΉ˜ 고렀사항

1-1. OS 및 λ„€νŠΈμ›Œν¬

OS와 λ„€νŠΈμ›Œν¬ 톡신 섀정이 ν•„μš”ν•˜λ‹€. μ§€μ›λ˜λŠ” OS와 λ„€νŠΈμ›Œν¬ 섀정은 μ§€λ‚œ ν¬μŠ€νŒ…μ„ μ°Έμ‘°ν•˜μ—¬ 확인 κ°€λŠ₯ν•˜λ‹€.

https://seungminblog.tistory.com/entry/Carbon-Black-EDR-%EA%B5%AC%EC%B6%95-%ED%99%95%EC%9D%B8-%EC%82%AC%ED%95%AD

 

Carbon Black EDR ꡬ좕 확인 사항

Carbon Black Cloud ꡬ좕 확인 사항에 이어 On-prem 버전인 Carbon Black EDR 의 ꡬ좕 확인 사항에 λŒ€ν•΄ μž‘μ„±ν•˜κ³ μž ν•œλ‹€. SaaS ν˜•μ‹μœΌλ‘œ μ œκ³΅ν•˜λŠ” Carbon Black Cloud 와 달리 Carbon Black EDR 은 On-prem 에 κ΅¬μΆ•λ˜μ–΄ 사

seungminblog.tistory.com

μ΅œκ·Όμ—λŠ” 도컀 ν™˜κ²½ κΈ°λ°˜μ—μ„œ μ„€μΉ˜ν•  수 μžˆλ„λ‘ μ§€μ›λ˜κ³  μžˆμœΌλ‚˜, 기본적인 μ„€μΉ˜ 방식인 Linux κΈ°λ°˜μ— μ„€μΉ˜ν•  것이닀.

1-2. μΈμ¦μ„œ

λ¨Όμ € κ³ λ €ν•΄μ•Όν•  Carbon Black EDR 은 HTTPS 및 TLS 톡신을 ν•˜κ³  μžˆλ‹€. 
λ”°λΌμ„œ μ—”λ“œν¬μΈνŠΈλ„ μ‹ λ’°λœ μ„œλ²„μ™€ 톡신할 수 μžˆλ„λ‘ μ œκ³΅ν•˜κ³ , μ„œλ²„λ„ μ‹ λ’°λœ μ—”λ“œν¬μΈνŠΈμ™€ ν†΅μ‹ ν•˜λ„λ‘ μ œκ³΅ν•œλ‹€.

μΈμ¦μ„œλŠ” μ„œλ²„μ˜ '/etc/cb/certs/' κ²½λ‘œμ— μ €μž₯λ˜μ–΄ 있으며, 기본적으둜 Carbon Black μ—μ„œ λ°œκΈ‰ν•˜λŠ” 자체 μΈμ¦μ„œλ₯Ό μ œκ³΅ν•œλ‹€.
Carbon Black μ—μ„œ λ°œκΈ‰λœ 자체 μΈμ¦μ„œ 말고 μ‚¬μš©μžκ°€ 직접 λ°œκΈ‰ν•œ μΈμ¦μ„œ μ‚¬μš©λ„ κ°€λŠ₯ν•˜λ‹€. 

cbinit 을 톡해 μƒμ„±ν•œ μΈμ¦μ„œκ°€ μœ νš¨ν•œμ§€ ν™•μΈν•˜λ©°, μœ νš¨μ„±μ΄ ν™•μΈλ˜λ©΄ ν•΄λ‹Ή μ„œλ²„μ—μ„œ μ‚¬μš© κ°€λŠ₯ν•˜λ©°, ν™•μΈλ˜μ§€ μ•Šμ„ μ‹œμ—λŠ” 자체 μ œκ³΅λ˜λŠ” κΈ°λ³Έ μΈμ¦μ„œκ°€ μ μš©λœλ‹€. 

μΈμ¦μ„œ 섀정에 였λ₯˜κ°€ λ°œμƒν•˜λ©΄ 톡신이 μ •μƒμ μœΌλ‘œ 보μž₯λ˜μ§€ μ•ŠμœΌλ‹ˆ, μš”κ΅¬ 사항을 ν™•μΈν•˜λŠ” 것이 μ’‹λ‹€

https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7.1/cb-edr-scm-guide/GUID-E15B4D45-D68D-4A3B-A6FB-65ABBA281A78.html

 

Substituting a Server Communication Certificate

Carbon Black EDR uses HTTPS and TLS to secure communications between endpoints and the server, and to ensure that the endpoint communications only with the Carbon Black EDR server that it trusts, and the server communications with trusted endpoints only.

docs.vmware.com

2. μ„€μΉ˜

2-1. μ„€μΉ˜ 진행

Carbon Black EDR μ„œλ²„ μ„€μΉ˜ 진행은 온라인 ν™˜κ²½μΈμ§€, μ˜€ν”„λΌμΈ ν™˜κ²½μΈμ§€μ— 따라 μ„€μΉ˜ 방법이 μœ λ™μ μ΄λ‹€.
온라인 ν™˜κ²½μ€ κ°„λ‹¨ν•˜κ²Œ λͺ…λ Ήμ–΄λ‘œ μ„€μΉ˜κ°€ κ°€λŠ₯ν•˜μ§€λ§Œ, μ˜€ν”„λΌμΈ ν™˜κ²½μΌ 경우 외뢀와 톡신이 κ°€λŠ₯ν•œ μΊμ‹œ μ„œλ²„μ˜ 일뢀 도움이 ν•„μš”ν•˜λ‹€
이번 ν¬μŠ€νŒ…μ—μ„œλŠ” 온라인 μ„€μΉ˜ 과정을 μ •λ¦¬ν•˜μ˜€μœΌλ‚˜, μ˜€ν”„λΌμΈ ν™˜κ²½μ˜ μ„€μΉ˜ κ°€μ΄λ“œλ„ 제곡되고 μžˆμœΌλ―€λ‘œ ν•„μš”ν•œ 경우 μ•„λž˜ μ‚¬μ΄νŠΈλ₯Ό μ°Έμ‘°ν•˜λ©΄ λœλ‹€ 

https://community.carbonblack.com/t5/Knowledge-Base/EDR-How-to-Perform-an-Offline-Air-Gapped-Server-Installation/ta-p/92493

 

EDR: How to Perform an Offline Air-Gapped Server Installation

Environment EDR Server: 7.x+ Linux: All Supported Versions Objective To install EDR server onto Air-Gapped Linux servers that do not have access to the public internet.  Resolution The caching server is a Linux server that connects to the Internet to coll

community.carbonblack.com

Carbon Black EDR μ„œλ²„ μ„€μΉ˜ 과정은 root κΆŒν•œμœΌλ‘œ μ§„ν–‰λ˜λ―€λ‘œ, sudo λͺ…λ Ήμ–΄λ₯Ό μ‚¬μš©ν•˜κ±°λ‚˜ root 둜 μ ‘μ†ν•˜μ—¬ μ„€μΉ˜λ₯Ό μ§„ν–‰ν•˜λ©΄ λœλ‹€.

제일 λ¨Όμ € ν•„μš”ν•œ 과정은 Carbon Black EDR RPM νŒŒμΌμ„ EDR μ„œλ²„μ— μ μš©ν•˜λŠ” 과정이닀. Carbon Black EDR μ„œλ²„μš© RPM νŒŒμΌμ€ 고객사 λ³„λ‘œ 제곡되고 μžˆμ–΄, ν—ˆμš©λ˜μ§€ μ•Šμ€ μ‚¬μš©μžλŠ” μ„€μΉ˜κ°€ λΆˆκ°€ν•˜λ‹€. 
RPM 파일 이름은 carbon-black-release-<Company>.x86_64.rpm ν˜•μ‹μ„ 가지고 μžˆλ‹€.

rpm νŒŒμΌμ„ μ„œλ²„μ— μ—…λ‘œλ“œ ν•˜μ˜€μœΌλ©΄, μ•„λž˜ λͺ…λ Ήμ–΄λ₯Ό ν†΅ν•˜μ—¬ rpm μ„€μΉ˜ 진행

rpm -ivh carbon-black-release-<customer dependent>.x86_64.rpm

Carbon Black repo 파일 μ„€μ • 진행

vi /etc/yum.repos.d/CarbonBlack.repo

# 파일 λ‚΄ baseurl λ³€κ²½
baseurl= https://yum.distro.carbonblack.io/enterprise/stable/$releasever/$basearch/
# SSL Cert 경둜 확인 (μΈμ¦μ„œ 및 ν‚€ 파일 지정)
sslclientcert=/etc/cb/certs/carbonblack-alliance-client.crt
sslclientkey=/etc/cb/certs/carbonblack-alliance-client.key

Carbon Black EDR μ„œλ²„ νŒ¨ν‚€μ§€ 및 쒅속성 파일 λ‹€μš΄λ‘œλ“œ

yum install cb-enterprise.x86_64 -y

# EL8 버전 μ„œλ²„μΌ 경우 μ•„λž˜ λͺ…λ Ήμ–΄λ₯Ό μ‹€ν–‰ν•˜μ—¬ νŠΉμ • λͺ¨λ“ˆ λΉ„ν™œμ„±ν™” ν•„μš” 
yum module disable postgresql redis python38 python39
yum install cb-enterprise

μ•„λž˜ λͺ…λ Ήμ–΄λ₯Ό μ‹€ν–‰ν•˜μ—¬ μ„€μΉ˜ 진행 및 ꡬ성

/usr/share/cb/cbinit
(직접 λ°œκΈ‰ν•œ μΈμ¦μ„œ 적용 μ‹œ : /usr/share/cb/cbinit --server-cert-file= < μΈμ¦μ„œ 경둜 > --server-cert-key=< ν‚€ 경둜 >) 

--μ„€μΉ˜ 절차 진행 (μ›Ή κ°€μ΄λ“œ 확인) -- 

** μ„€μΉ˜λ₯Ό μ§„ν–‰ν•˜λ©° μœ μ˜ν•  사항 μ£Όμ˜ν•  점

# μ„œλ²„μ˜ λ‚ μ§œ 및 μ‹œκ°„ 섀정이 μ •ν™•ν•˜μ§€ μ•Šμ„ μ‹œ : SSL 인증에 μ‹€νŒ¨ν•  수 있음
rdate -s time.bora.net

2-2. μ„€μΉ˜ 확인

μ„€μΉ˜ 과정이 μ™„λ£Œλ˜λ©΄ μ‹€μ œλ‘œ 정상 λ™μž‘ν•˜λŠ”μ§€ 확인이 ν•„μš”ν•˜λ‹€. 
μ„€μΉ˜κ°€ μ™„λ£Œλ˜λ©΄ μžλ™μœΌλ‘œ Carbon Black EDR μ„œλΉ„μŠ€ 데λͺ¬μ΄ μ‹€ν–‰λ˜μ§€λ§Œ λͺ…λ Ήμ–΄λ₯Ό ν†΅ν•˜μ—¬ 데λͺ¬ μ‹€ν–‰ ν˜„ν™©μ„ λ³Ό 수 μžˆλ‹€.\

# Carbon Black EDR μ„œλΉ„μŠ€ 데λͺ¬ ν˜„ν™©
service cb-enterprise status

# Carbon Black EDR μ„œλΉ„μŠ€ 데λͺ¬ μ‹€ν–‰
service cb-enterprise start

# Carbon Black EDR μ„œλΉ„μŠ€ 데λͺ¬ 쀑지
service cb-enterprise stop

μ„œλ²„ μ„€μΉ˜κ°€ μ™„λ£Œλ˜λ©° μ•„λž˜μ™€ 같은 Carbon Black 데λͺ¬ μ„œλΉ„μŠ€κ°€ μ‹€ν–‰λ˜κ³  μžˆλŠ” 것을 λ³Ό 수 μžˆλ‹€.

데λͺ¬ μ„€λͺ…
cb-pgsql 전톡적인 κ΄€κ³„ν˜• λ°μ΄ν„°λ² μ΄μŠ€
cb-datagrid λΆ„μ‚° ν™˜κ²½μ—μ„œ ν•˜λ‚˜μ˜ λ°μ΄ν„°λ² μ΄μŠ€λ₯Ό μ‚¬μš©ν•  수 μžˆλ„λ‘ 데이터 곡유λ₯Ό μœ„ν•œ μ„œλΉ„μŠ€ 
cb-redis 데이터 검색 속도λ₯Ό 효율적으둜 μ œκ³΅ν•  수 μžˆλ„λ‘ In-memory 운영
cb-rabbitmq μΊμ‹œ 데이터 μ €μž₯μ†Œ 
cb-solr κΈ°λ³Έ 데이터 μ €μž₯μ†Œ (이벀트, λ°”μ΄λ„ˆλ¦¬ 데이터, Feed 리포트, μ•ŒλžŒ 데이터)
cb-nginx μ™ΈλΆ€ 443 톡신 μš”μ²­μ„ λ‚΄λΆ€ μ„œλΉ„μŠ€λ‘œ λ¦¬λ””λ ‰μ…˜ μ—­ν•  (λ‚΄λΆ€ 데λͺ¬μ— HTTP μ—­λ°©ν–₯ ν”„λ‘μ‹œ 제곡)
cb-datastore 이벀트 둜그 및 λ°”μ΄λ„ˆλ¦¬ 파일 등을 ν¬ν•¨ν•œ μ„Όμ„œ μˆ˜μ‹  데이터
cb-coreservices HTTP 및 API μ œκ³΅ν•˜λŠ” μ„œλΉ„μŠ€
cb-sensorservices Sensor 체크인, 등둝, μ—…κ·Έλ ˆμ΄λ“œ λ“±μ˜ μ„Όμ„œ μš”μ²­ 처리λ₯Ό λ‹΄λ‹Ήν•˜λŠ” μ„œλΉ„μŠ€
cb-liveresponse Live Response μ„œλΉ„μŠ€
cb-alianceclient μ™ΈλΆ€ TI Feeds 연동을 λ‹΄λ‹Ήν•˜λŠ” μ„œλΉ„μŠ€

각 데λͺ¬μ— λŒ€ν•œ κ΅¬μ„±λ„λŠ” μ•„λž˜ λ§ν¬μ—μ„œ μžμ„Ένžˆ 확인할 수 μžˆλ‹€.

https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.8.0/cb-edr-scm-guide/GUID-757AF3C1-516D-4D23-93CF-A8F8BCE07426.html

 

Server Technology Stack

This topic describes the technology stack on a Carbon Black EDR server.

docs.vmware.com

2-3. ꡬ성 파일

μ‹€μ œλ‘œ Carbon Black EDR μ„œλ²„ 섀정을 μ§„ν–‰ν•˜λŠ” 뢀뢄은 /etc/cb/cb.conf νŒŒμΌμ—μ„œ 진행할 수 μžˆλ‹€.

  • μ„Όμ„œ λ™μž‘
  • μΈμ¦μ„œ ꡬ성
  • ν΄λŸ¬μŠ€ν„° μ„€μ •
  • λ„€νŠΈμ›Œν¬ 및 포트 μ„€μ •
  • μ„œλΉ„μŠ€ 데λͺ¬ μ„€μ •

https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7/cb-edr-server-config-guide.pdf

이 외에도 각 μ„œλΉ„μŠ€ 데λͺ¬μ— λŒ€ν•œ 둜그 μ„€μ • 및 λ°μ΄ν„°λ² μ΄μŠ€ 섀정도 κ°€λŠ₯ν•©λ‹ˆλ‹€. 
https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7.1/cb-edr-scm-guide/GUID-0DD5615C-D78C-4BA3-A314-6A2F8A2903AB.html

 

Server Configuration

Most major server configuration is done after the Carbon Black EDR server is installed, when the cbinit script is run. cbinit configures a combination of initial settings in both static configuration files and PostgreSQL.

docs.vmware.com

3.μ—…κ·Έλ ˆμ΄λ“œ 

EDR μ„œλ²„ μ—…κ·Έλ ˆμ΄λ“œλŠ” ꡬ성 방법이 단독 κ΅¬μ„±λœ μ„œλ²„μΈμ§€, ν΄λŸ¬μŠ€ν„° κ΅¬μ„±λœ μ„œλ²„ ꡬ성인지에 따라 μ—…κ·Έλ ˆμ΄λ“œ 방식이 λ‹¬λΌμ§‘λ‹ˆλ‹€.
μ—…κ·Έλ ˆμ΄λ“œ 과정도 μ„€μΉ˜ 과정도 λ™μΌν•˜κ²Œ root κΆŒν•œμ΄ ν•„μš”ν•˜λ―€λ‘œ, sudo λͺ…λ Ήμ–΄ μ‚¬μš© ν˜Ήμ€ λͺ…λ Ήμ–΄ 

# Carbon Black EDR μ„œλΉ„μŠ€ 쀑지
service cb-enterprise stop
cbcluster stop (ν΄λŸ¬μŠ€ν„° μ„œλ²„μ˜ 경우)

# yum μΊμ‹œ 파일 정리 (선택 사항)
yum clean all

# Carbon Black EDR μ„œλΉ„μŠ€ μ—…κ·Έλ ˆμ΄λ“œ
yum upgrade cb-enterprise

# μ—…κ·Έλ ˆμ΄λ“œ μœ ν‹Έ μ‹€ν–‰ (ν΄λŸ¬μŠ€ν„° ꡬ성, λ°μ΄ν„°λ² μ΄μŠ€ μŠ€ν‚€λ§ˆ 및 Threat Intelligence Feed 데이터 λ§ˆμ΄κ·Έλ ˆμ΄μ…˜)
/usr/share/cb/cbupgrade

#Carbon Black EDR μ„œλΉ„μŠ€ μ‹€ν–‰
service cb-enterprise start (단일 μ„œλ²„μ˜ 경우)
cbcluster start (ν΄λŸ¬μŠ€ν„° μ„œλ²„μ˜ 경우)

 

Carbon Black μ„€μΉ˜ 외에도 λ°±μ—… 및 볡원, μ‚­μ œμ— λŒ€ν•œ κ°€μ΄λ“œλ„ 제곡되고 μžˆλ‹€.
https://docs.vmware.com/en/VMware-Carbon-Black-EDR/7.7.1/cb-edr-scm-guide/GUID-366BFC57-A61A-4A96-B294-303FA1574B86.html

 

Uninstalling a Server

This topic describes the procedure for uninstalling a Carbon Black EDR server from RHEL/CentOS.

docs.vmware.com

 

λ°˜μ‘ν˜•
μ €μž‘μžν‘œμ‹œ λΉ„μ˜λ¦¬ λ³€κ²½κΈˆμ§€

'VMware > Carbon Black' μΉ΄ν…Œκ³ λ¦¬μ˜ λ‹€λ₯Έ κΈ€

Carbon Black EDR ꡬ좕 확인 사항  (0) 2023.09.06
Carbon Black Cloud Workload 배포 및 ꡬ성  (0) 2023.08.17
Carbon Black Cloud Sensor Agent 관리  (0) 2023.08.11
Carbon Black Cloud ꡬ좕 확인 사항  (0) 2023.08.01
Carbon Black Cloud μ½˜μ†” μ‚¬μš©μž 계정 관리  (0) 2023.07.19

κ΄€λ ¨κΈ€

λŒ“κΈ€

ν‹°μŠ€ν† λ¦¬νˆ΄λ°”