VMworld 2020 で Carbon Black Cloud Workload の Free Trial の話を聞き,こちらは即行申請して vSphere 環境に Deploy してみたのですが,私のメイン担当は Linux 系 VM ばかりなので,もう一歩突っ込んだ検証をしてみたいと思い,Endpoint の PoC を始めています. (ご支援いただいている Networld さま,ありがとうございます! ) まだまだ Bare Metal PC が主体の組織なので,VDI や NSX 等をフル活用出来ずにいましたが,Endpoint から固めていくアプローチは悪く無いと思っています.(実際,Workload に一番近い所の対策なので,ZTA 的にも重要な要素のハズです.) CB の基本設定等は多くの方が Blog 等で書かれているので,PoC 中に気づいた点等を随時 Post して行きたいと思います.
・Cloud Workload と Cloud Endpoint の UI
同一 Console で一元管理できるのかと思ってましたが,Console は別で,微妙に UI が異なっています. (左が Endpoint, 右が Workload)
Workload の方には Dashboard や Alerts が無く,Inventory の VM Workloads メニューで仮想マシンを管理出来ます.Policies は Endpoint の方にもあり,Enforce メニューを展開すると表示されます.
その Polices の UI も Endpoint の方が設定できる項目が圧倒的に多いです.
↓Endpoint の Policy UI
↓Workload の Policy UI ( Prevention と Local Scan のタブも無い)
・Sensor 未対応 の OS 上での挙動
CentOS だと Sensor の Version 意識せずについつい yum update を実行してしまいがちです(苦笑).Cloud Workload では CentOS 8.1-1911 (CB Sensor 未対応) 上だと Sensor 自身起動はしてくれますが,Console から Vulnerability を確認出来なくなってしまいます.
vCenter から見ても当然同じですね(笑).
Endpoint の方は Bare Metal PC で触っていたのですが,うっかり Windows Update を手動にしていなかったせいで,1/13 の Patch が当たってしまいました(汗).Windows は起動はしますが,Sensor はエラーで起動出来ません.
こうなったら一旦適用された Patch を Uninstall するしかありません.再起動後に Sensor が正常に起動する事は確認済,数日前に Sensor Ver 3.6.0.1979 がリリースされていたようなので,ついでに Console から Sensor Update してみます.
・Cloud Endpoint で CB Sensor の Update
Sensor の初期 Deploy は unattended で実行するかと思いますが,Sensor の Update は Console から可能です. Inventory -> Endpoints から Update 対象のデバイスを選択して Take Action -> Update sensors を選択し,表示される Dialog で対象の Version を指定します.
Update の状況は Sensor Update Status タブで確認出来ます.
さらに,Audit Log から誰がどのデバイスに対していつ Update を実行したのか確認する事も出来ます.
1 台だけなので,ほぼ 10 分で完了,
"device may be rebooted" とありましたが,OS の再起動はかかりませんでした. 今回は 3.6.0.1941 -> 3.6.0.1979 とパッチセット変更のみだからかもしれません.