Sensor Gateway を Linux マシンでコンテナ イメージとしてホストします。そのため、Linux サーバにはコンテナ実行機能が必要です。このタイプのインストールでは、複数の Sensor Gateway サーバをインストールする場合は、Sensor Gateway サーバごとに次の手順を繰り返す必要があります。

次の高レベルなインストール ワークフローは、センサーが Sensor Gateway を介して Carbon Black Cloud と通信できるように、システムにさまざまなコンポーネントをインストールして構成する手順を示しています。

環境で Sensor Gateway を有効にするためのインストール フロー。

前提条件

手順

  1. Docker をインストールします。
    Linux ディストリビューションでサポートされている Sensor Gateway に Docker エンジンをインストールする方法については、「 CentOS への Docker エンジンのインストール」、「 RHEL への Docker エンジンのインストール」、または「 Ubuntu への Docker エンジンのインストール」を参照してください。
  2. インストール スクリプトがまだ実行可能でない場合は実行可能にします。
    chmod +x sensor_gw_install.sh
  3. インストール スクリプトを実行します。
    ./sensor_gw_install.sh
  4. プロンプトが表示されたら、次を入力します。
    オプション 説明
    API ID

    Carbon Black Cloud コンソールで生成された API ID と API シークレット キーにより、Sensor GatewayCarbon Black Cloud の間の認証通信が可能になります。

    API ID と API シークレット キーの両方がペアで生成されます。不一致があるため、Carbon Black CloudSensor Gateway からの通信を拒否します。

    注:

    Sensor Gateway ごとに新しい API ID と API シークレット キーを生成する必要があります。

    9Z5QY2ZDAN
    API シークレット キー 8UE3SHE475T2LZLJNJ2M98TK
    Carbon Black Cloud URL

    この URL は、サービスがホストされている環境を示します。Carbon Black Cloud は複数のリージョンでホストされており、URL が異なる場合があります。Carbon Black Cloud 環境のリストについては、 Carbon Black Cloud のアクセス を参照してください。

    https://defense-prod05.conferdeploy.net
    注: 値が https:// で始まることを確認します
    Sensor Gateway エントリ ポイント URL (https://<sensor-gateway-node-fqdn>)

    エントリ ポイントは、センサーが通常、Sensor Gateway をどのように対処するかを意味します。

    これは次と一致する必要があります。

    • CA 署名付き証明書または自己署名証明書を使用する場合、この値は証明書に指定された CN と同じである必要があります。
    • マシンの IP アドレスまたは FQDN は、証明書の CN と同じである必要があります。
    https://sensorgateway.company.com

    この例では、証明書の CN が sensorgateway.company.com であると仮定しています。

    注:

    Sensor Gateway サービスは SSL を使用してホストされるため、値が https:// で始まることを確認します。

    プロキシ タイプ
    • なし: これはデフォルトのオプションです。
    • HTTPS または HTTP: それぞれについて、次のいずれかのオプションを選択します。
      • プロキシ ホスト: プロキシ ホストの FQDN または IP アドレスを指定します。
      • プロキシ ポート: プロキシ サーバが要求を受信するポートを指定します。
    HTTP
    [オプション:] ボリューム マウント ディレクトリ

    Sensor Gateway は、固定ディレクトリを使用して証明書を検索し、ログを保存します。

    値を指定しない場合、デフォルトの場所は /data ディレクトリです。証明書またはログを別のディレクトリに保存することを選択した場合は、ここで絶対パスを指定できます。

    別のフォルダを選択する場合は、このパスの下に証明書とログ フォルダを作成してください。同時に、次のパラメータに進む前に、証明書、プライベート キー、および証明書チェーン(オプション)が証明書フォルダに保存されていることを確認する必要があります。

    インストール スクリプトは root 権限で実行されるため、デフォルトでは、これらのディレクトリはすべて所有者およびグループとして root 権限を持ちます。

    /data
    [オプション: ]センサー ゲートウェイが実行されているポート デフォルトで、Sensor Gateway サービスはポート 443 の SSL でホストされます。このポートが、Sensor Gateway をインストールするマシンで何らかの理由で使用されている場合は、別のポートを使用できます。 デフォルトでは、Sensor Gateway はポート 443 で実行されます。
    [オプション:] 証明書プライベート キーのパスフレーズ

    推奨として、証明書の生成時にプライベート キーを保護するためのパスワードを入力します。Sensor Gateway のインストール中にプロンプトが表示されたら、同じパスワードを入力します。

    Sensor Gateway は、同じパスワードを使用して証明書を使用し、センサーとそれ自体の間の通信を暗号化します。

    sgw_key.pem がパスワードで保護されている場合は、パスワードを入力します。
    Sensor Gateway サービスが起動し、 Carbon Black Cloud に登録されます。登録が完了するまでに数分かかります。

結果

登録が正常に完了すると、 Carbon Black Cloud コンソールの [設定] > [API アクセス] > [Sensor Gateways] 画面に Sensor Gateway が接続済みとして表示されます。

Sensor Gateway 名は API キーから来ています。

正常に登録されると、[API アクセス] 画面に Sensor Gateways が表示されます。

次のタスク

Sensor Gateway は信頼性が高く、高い可用性を備えています。複数の Sensor Gateway サーバを展開し、許容可能な遅延でトラフィックを処理するように HA モード(手動)で構成できます。接続またはリソースのしきい値が原因で Sensor Gateway サーバで障害が発生した場合は、別の Sensor Gateway インスタンスにログインして接続の管理を引き継ぐことができます。