SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Carbon Black Cloud Endpoint のインストール方法

仮想化
2021.04.15

こんにちは。SB C&S 千代田です。

今回はVMware Carbon Black Cloud Endpoint(以下、CBCEの具体的なインストール方法をお伝えします。CBCEはクラウドベースのEDR製品であり、Carbon Black Sensorと呼ばれるエージェントソフトウェアを保護対象のエンドポイント端末(Window/Mac等)へインストールして実装します。

製品を購入してからエンドポイント端末保護を開始するまでの全体の流れをイメージいただけるように、クラウドコンソールへのログイン方法や、OSへのソフトウェアインストール方法などを順番に解説していきます。

製品概要については以下の記事を参照ください。
VMwareが買収したCarbon Blackとは? EDR製品であるCarbon Black Cloud概要

Carbon Black Cloud コンソールへのログイン

CBCEは保護対象のエンドポイントをクラウドで管理する製品/サービスです。そのため、管理者はCBCEの管理コンソールとなる、クラウド上のCarbon Black Cloud コンソール(以下、CBCコンソール)へログインをして各種設定などを実施する必要があります。

製品購入後、VMware社から以下のようなメールが届くので、オレンジ色の「Confirm my Account」をクリックしてCBCコンソールのリンク先へ飛びます。

スクリーンショット 2021-04-07 10.12.30.png

初回ログイン時にはアカウントのパスワード設定が必要となります、設定が完了すると以下のログイン画面へ遷移し、メールアドレスとパスワードを入力してログインします。

写真2.png

初回ログイン後は必要に応じてCBCコンソールの管理ユーザーの追加やロールを設定します。

管理ユーザーの追加では、メールアドレスの入力とロールの選択が必須となっており、ここで入力したメールアドレス宛に、ユーザーのアクティベートメールが送信される仕組みとなっています。メールを受け取った管理ユーザーは先ほどと同じように初回ログインを行うことでCBCコンソールへログインできるようになります。

設定>ユーザー>ユーザーを追加

スクリーンショット 2021-04-07 10.19.56のコピー.png

CBCコンソールのURLと組織の仕組み

ここで、CBCコンソールのURLと、組織(Organization)と呼ばれる概念との関係について説明しておきたいと思います。インストール手順からはいったん話が逸れますが、CBCEを理解する上で重要となります。

これまで説明した通り、CBCEはこれまで説明した通りクラウドベースの製品/サービスなので、管理者はインターネット上に公開されているCBCコンソールのURLへアクセスすることで各種の管理・設定をおこないます。

こちらのURLはリージョンによって異なっており、ユーザー自身が製品購入時に利用希望するリージョンとして、米国リージョンを選択するか日本リージョンを選択するかによって変わってきます。

リージョンごとのURLに関しては以下リンク先のKBに情報がまとまっています。ちなみに、管理者によるCBCコンソールへのアクセスに使用されるURLと、管理対象のデバイスからのアクセスに使用されるURLが異なることも案内されています。なお、デバイスからのインターネットアクセスが必須である点については製品要件となりますのでご注意ください。

Carbon Black Cloud: What URLs are used to access the APIs?

VMware社はユーザーが選択したリージョンに対して企業ごとに異なるCBCコンソールのインスタンスを展開します。つまり、ユーザーが自身の環境を管理するCBCコンソールにアクセスするには、リージョンごとに異なるURLのログイン画面に、メールアドレスを使用してログインすることになります。こちらのインスタンスは「組織(Organization)」という単位で識別されており、企業と各インスタンスの紐付きを管理しています。

スクリーンショット 2021-04-14 10.31.00.png

こちらの図は、とある企業のIT管理者が3つの異なるCBCコンソールへログインしている様子を表現しています。こちらの企業ではprodnrt(日本リージョン)に組織Aと組織Bが展開されており、prod05(米国リージョン)に組織Cが展開されています。

この環境のように、組織Aと組織BのようにURL(prodnrt)が同じ場合、ひとりの管理者が異なる組織へログイン先を選択するためには、別メーリングリストアドレスやメールアドレスのエイリアス機能を活用する必要があります。例えば、組織AへはメールアドレスAで、組織BへはメールアドレスBでログインするといった工夫が必要となります。

こちらのケースのように、ひとつの企業が複数のCBCEを購入している状態はあまり一般的ではありません。しかし、導入前のPoC環境と導入後の本番環境とで利用環境を分けたい場合などには、同一のURLでメールアドレスが重複する問題が発生しうるため、あらかじめ別のメールアドレスを用意しておくようにご注意ください。

また、購入したライセンスがどの組織に割り当てられるかもとても重要です。仮に、すでに本番環境用として全社導入されている組織に対して、後に検証用として購入したライセンスが割り当てられてしまったと考えると、その問題は想像に難くないかと思いますので、購入時にはご注意ください。

これは、利用者からは見えづらい部分の話ですが、URLと組織の仕組みを知っておくことでトラブルを避けられる重要な要素だと考えたため、ここでご説明しました。

Carbon Black Sensor のインストール

CBCEでは管理対象のエンドポイント端末にCarbon Black Sensor(以下、CB Sensor)をインストールする必要があります。インストーラーはCBCコンソール上から入手が可能です。

インベントリ>エンドポイント>センサーオプション>センサーキットをダウンロード

写真4.png

サポートされているインストール対象OSのリストについては以下のURLを参照ください。なお、閲覧にはCarbon Black Communityサイトでのアカウント作成が必要となる場合があります。

https://community.carbonblack.com/t5/Documentation-Downloads/Carbon-Black-Cloud-sensor-support/ta-p/66274

CBCEによる管理対象エンドポイント端末として、VMware HorizonのVDI環境にインストールする場合は、以下の互換性情報にご注意ください。マスターイメージへのCB Sensorインストール方法についても記載されています。

https://kb.vmware.com/s/article/79180

CB Sensorのインストール方法は2つあります。Attended InstallとUnattended Installです。

Attended Installは、GUIでのインストール方法です。CBCコンソールからの招待メールによるインストール作業を実施することになります。ただし、組織におけるIT管理者ではなく従業員へインストール作業を任せる方法となるため、大規模な環境では比較的使われません。

一方、Unattended Installは、CLIによるインストール方法です。こちらは、IT管理者がインストール作業を行う方法であり、ソフトウェア配布ツールの活用やオプション指定したコマンドでのインストールが可能です。

以下はUnattended Installでインストールした様子です。

写真5.png

  • コマンドプロンプトは管理者として実行
  • [msiexec]で始まっている部分がインストールコマンド
  • 今回実行したオプションの意味
    [/q] サイレントインストール
    [/i] インストールファイルのディレクトリ指定、ダウンロードしたセンサーキットのパスが続きます
    [/L] 詳細インストールログの出力指定
    [COMPANY_CODE] 登録先CBC環境(テナント)の指定
    [GROUP_NAME] インストール時のポリシーの指定
    [CLI_USERS] 管理用コマンドの有効化
    [CURL_CRL_CHECK] CRLチェック、0で無効化
  • [sc query cbdefense] でCB Sensorの状態を確認、STATEがRUNNINGであればインストール完了

CB Sensorのインストールが完了したエンドポイント端末を、CBCコンソールで確認してみます。これで対象のデバイスはCarbon Blackによって保護されている状態となりました。

写真6.png

CB Sensorをインストールしたエンドポイント端末には、必ずポリシーを選択して適用する必要があります。今回は事前にCBCコンソールで「test-policy」というポリシーを作成した上で、Unattended Installの[GROUP_NAME]オプションで指定していますが、何も指定しない場合には、あらかじめ用意されている「Standard」ポリシーが適用されます。

写真7.png

さいごに

今回はCBCEのインストールについて大まかな流れをお伝えしました。製品概要から一歩踏み込んだ情報となっておりますので、導入難易度の調査や実際にインストール作業を行う際などにご活用ください。

CBCEは、これまでの他のVMware SDDC系製品に比べると非常に少ないステップでインストールが完了します。また、今回の内容には含んでおりませんが、CBCEにおいてポリシーは非常に重要な要素です。防御ルール、ローカルスキャンの有効化、シグネチャの更新、他のウイルス対策製品のバイパスなど様々な設定をポリシーで設定します。チューニングが必要ではありますが、その分柔軟なポリシー設定が可能です。

SDDCやEUCを主軸とするVMware社において、これまでとは領域の異なるセキュリティ製品ですので、今後もCarbon Blackに関連する情報を提供していきたいと思います。



Carbon Black Cloudの最新情報、
およびVMwareが提唱する本質的なセキュリティ戦略 "Intrinsic Security" の説明はこちら

新しい時代に対応する VMware のセキュリティ

資料ダウンロードはこちら

著者紹介

SB C&S株式会社
ICT事業本部 販売推進・技術本部 技術統括部 第1技術部 1課
千代田 寛 - Kan Chiyoda -

VMware vExpert