こんにちは。SB C&Sの大塚です。
今回は2023/11/27（米国時間）にリリースされた、Asset Groupsについての概要と注意点についてのご紹介です。Carbon Black Cloudをご利用されている全ての方に対して影響がございますのでご一読をお願いします。

Asset Groups について

Asset Groupsとは現在のSensor Groupsに置き換わる、エンドポイントへのグルーピング機能になります。
現在のSensor GroupはOSバージョンやその他基準を自ら定義し、この定義に基いて単一のポリシーを自動的にエンドポイントへ割り当てる機能です。このSensor GroupsがAsset Groupsへ置き換わることで、より柔軟なエンドポイントの参加条件を設定することが可能になります。具体的にはAND / OR 条件の二階層設定、条件項目の増加によってより詳細なグルーピングが可能になります。

注意事項・更新手順

Sensor GroupsからAsset Groupsへの更新作業は、Carbon Black Cloudを利用されているお客様それぞれがCarbon Black Cloudコンソールの操作で実施します。お客様のタイミングで実施できますが、更新の実施にあたりいくつかの注意事項がございます。

主な注意事項は下記になります。

• Asset Groupsへ更新するとSensor Groupsへ戻すことは不可
• 現在のSensor Groupsで作成されているグループは、Asset Groups移行時に変換・反映はされず全て削除される
• 更新時に既存Sensor Groups設定が削除されてしまうため、更新実施前には必ず現在のSensor Groupsをエクスポートすること
• 更新中、更新後、エンドポイントに適用されているポリシーに変更は発生しない

更新の猶予期間は2024/12/1まで予定されており、早急に実施する必要はございません。事前準備をしっかりと行ったうえで実行してください。

Asset Groupsへの更新を実施する際は注意事項を考慮し、以下のようなステップで実施することとなります。

1. Sensor Groupsのエクスポート
2. Asset Groupsへのアップグレード
3. Asset Groupsの設定

以降の章では、ステップ毎の概要手順をご紹介いたします。

1.Sensor Groupsのエクスポート

まず、Asset Groupsへの更新を行う前に既存のSensor Group設定をエクスポートします。

Carbon Black Cloudコンソールの[インベントリ]-[センサーグループ]を開き、[エクスポート]をクリックすることでCSVファイルがエクスポートされます。

ダウンロードしたCSVファイルを開くと、Sensor Groupsの既存設定内容が確認できます。
※下記画面キャプチャはダウンロードしたCSVファイルをEXCELで開いています。

エクスポートした情報は、Asset Groupsで新しいグループを作成する際に、参考情報として利用します。

2.Asset Groupsへのアップグレード

Sensor GroupsからAsset Groupsへのアップグレードの実行は、お客様自身の操作で実施します。
Asset Groupsが利用できるようになった2023/11/27以降は、Carbon Black Cloudコンソールの[インベントリ]-[センサーグループ]の画面上部に下記のような通知が表示されています。

通知にある「Start Upgrade」のボタンを押し、先の画面で承諾することでAsset Groupsへの更新がされます。なお、「Start Upgrade」は「Super Admin」権限を持ったアカウントのみ押下可能になります。

移行後のコンソール上にはAsset Groupsの画面のみ表示されるようになります。

また、Asset Groupsへのアップグレード後に[適用]-[ポリシー]の管理画面を確認すると、新たにポリシーのランク設定項目が追加され画面が変更されていることを確認できます。ポリシーのランク付けは、エンドポイントが複数のAsset Groupsに所属している場合に、どのポリシーを優先して割り当てるかを判断するための定義となります。詳細は次章の後半でご紹介致します。

3.Asset Groupsの設定

Asset Groupsへの更新作業後はグループが何も作成されていない状態になるため、事前にエクスポートしたSensor Groupsの情報を参考に、新たなAsset Groupsのグループを作成します。[インベントリ]-[アセットグループ]を開き、[グループを追加]からグループの作成を行います。

下記はAsset Groupsの設定画面です。
まずの名前と説明を入力します。"基準(Criteria)"の設定画面で[ビルド]を選択することで、従来のSensor Groupsに近いGUIベースで条件設定を作成することができます。事前の作業でエクスポートしたcsvファイルの情報を元に、条件設定を定義します。

また、Asset Groupsでは新たに、クエリベースでの条件設定も可能になります。[クエリ]を選択すると、クエリ形式でグループの条件設定内容を表示および編集することができます。

条件設定で使用できるカテゴリの種類、各フィールド数もSensor Groupsより増加しています。使用できるカテゴリ・フィールドは下記のとおりです。

カテゴリ	フィールド
Active Directory	組織名・ドメイン・組織単位
Cloud Provider	アカウントID・Infrastructure provider・VPC ID・ASG・AWSタグ
アセット	アセット名・インストールした者・OS・OSバージョン・ センサーバージョン・ユーザー
ネットワーク	サブネット
仮想マシンのワークロード	クラスタ・データセンタ・ESX ホスト名・vCenter Server ホスト名・vCenter Server UUID・仮想マシン名

次に、"ポリシー"の設定項目でAsset Groupsの条件に合致した際に割り当てるポリシーを選択し、保存して完了です。このようなAsset Grouspの作成操作を、事前の作業でエクスポートしたcsvファイルの情報を参考に作成することでSensor GroupsからAsset Groupsへのアップグレード作業は完了となります。

今回は一例として上記キャプチャのようなAsset Groupsを作成しました。
この条件設定では、まずOSが「Windows」、バージョンが「Windows 10 x64」であることを全て満たしているのが第１の条件となります。そのうえでESXiホスト名が「esxi-01.demo.local」もしくは「esxi-01.demo.local」であればtestポリシーを適用させる、すなわちどちらかのESXiホスト上で稼働しているWindows 10の仮想マシンに対してtestポリシーを適用させる、といった条件設定になっています。従来のSensor Groupと異なり、階層条件の設定ができるようになっていることがお分かりいただけるかと思います。

また、エンドポイントは複数のAsset Groupsへ所属させることもできます。

下記例は仮想マシン「OTSUKA-CBSDKdemo」が参加しているAsset Groupsを表示しています。各Asset Groupsには条件を満たした場合に適用させるポリシーを設定していますが、仮想マシンに適用されているポリシーは「test」だけになります。１つのエンドポイントに適用できるポリシーは１つのみのためです。

このように複数のAsset Groupsに所属している場合は、ポリシーランクの高いポリシーが適用されます。ポリシーランクの設定は、[適用]-[ポリシー]の管理画面で[ランクを変更]から変更できます。

まとめ

今回リリースされたAsset Groupsによってエンドポイントを複数のAsset Groupsへ所属させることができ、柔軟なグループ作成が可能となりました。一方でAsset Groupsへの更新には注意事項があるため、事前準備を行ったうえで更新をお願いします。