Carbon Black の PoC 始めました.

VMworld 2020 で Carbon Black Cloud Workload の Free Trial の話を聞き,こちらは即行申請して vSphere 環境に Deploy してみたのですが,私のメイン担当は Linux 系 VM ばかりなので,もう一歩突っ込んだ検証をしてみたいと思い,Endpoint の PoC を始めています. (ご支援いただいている Networld さま,ありがとうございます! ) まだまだ Bare Metal PC が主体の組織なので,VDI や NSX 等をフル活用出来ずにいましたが,Endpoint から固めていくアプローチは悪く無いと思っています.(実際,Workload に一番近い所の対策なので,ZTA 的にも重要な要素のハズです.) CB の基本設定等は多くの方が Blog 等で書かれているので,PoC 中に気づいた点等を随時 Post して行きたいと思います.


・Cloud Workload と Cloud Endpoint の UI

同一 Console で一元管理できるのかと思ってましたが,Console は別で,微妙に UI が異なっています. (左が Endpoint, 右が Workload)

f:id:tcpninja:20210115133638p:plain

Workload の方には Dashboard や Alerts が無く,Inventory の VM Workloads メニューで仮想マシンを管理出来ます.Policies は Endpoint の方にもあり,Enforce メニューを展開すると表示されます.

その Polices の UI も Endpoint の方が設定できる項目が圧倒的に多いです.

↓Endpoint の Policy UI f:id:tcpninja:20210115135056p:plain

↓Workload の Policy UI ( Prevention と Local Scan のタブも無い) f:id:tcpninja:20210115135138p:plain


・Sensor 未対応 の OS 上での挙動

CentOS だと Sensor の Version 意識せずについつい yum update を実行してしまいがちです(苦笑).Cloud Workload では CentOS 8.1-1911 (CB Sensor 未対応) 上だと Sensor 自身起動はしてくれますが,Console から Vulnerability を確認出来なくなってしまいます.

f:id:tcpninja:20210115155638p:plain

vCenter から見ても当然同じですね(笑).

f:id:tcpninja:20210115161351p:plain


Endpoint の方は Bare Metal PC で触っていたのですが,うっかり Windows Update を手動にしていなかったせいで,1/13 の Patch が当たってしまいました(汗).Windows は起動はしますが,Sensor はエラーで起動出来ません.

f:id:tcpninja:20210115161840p:plain

こうなったら一旦適用された Patch を Uninstall するしかありません.再起動後に Sensor が正常に起動する事は確認済,数日前に Sensor Ver 3.6.0.1979 がリリースされていたようなので,ついでに Console から Sensor Update してみます.


・Cloud Endpoint で CB Sensor の Update

Sensor の初期 Deploy は unattended で実行するかと思いますが,Sensor の Update は Console から可能です. Inventory -> Endpoints から Update 対象のデバイスを選択して Take Action -> Update sensors を選択し,表示される Dialog で対象の Version を指定します.

f:id:tcpninja:20210115170434p:plain

Update の状況は Sensor Update Status タブで確認出来ます. f:id:tcpninja:20210115170736p:plain

さらに,Audit Log から誰がどのデバイスに対していつ Update を実行したのか確認する事も出来ます. f:id:tcpninja:20210115171506p:plain

1 台だけなので,ほぼ 10 分で完了, f:id:tcpninja:20210115171752p:plain

"device may be rebooted" とありましたが,OS の再起動はかかりませんでした. 今回は 3.6.0.1941 -> 3.6.0.1979 とパッチセット変更のみだからかもしれません.