G DATA 365 | MXDR

Anleitung zur Installation des G DATA 365 | MXDR Agents unter Linux

Das vorliegende Dokument beinhaltet wichtige Informationen zur Vorbereitung einer Installation des G DATA 365 | MXDR Linux Agent. Alle Installationsanweisungen sind erfahrungsgemäß die bestmögliche Umsetzung, allerdings nicht zwingend erforderlich. Alternative Lösungswege sind möglich, wenn dasselbe Ziel erreicht wird.

Bitte beachten Sie, dass aufgrund der vielfältigen IT-Landschaften nicht alle Möglichkeiten abgebildet sind und weitere Prozesse eventuell vorab oder nachträglich angestoßen werden müssen.

Wie Sie den Kundensupport der G DATA CyberDefense AG bei organisatorischen und technischen Rückfragen erreichen, sehen Sie hier.

Die Meldung kritischer Funde erfolgt von unserem Analyse-Team über die Funktionsadresse secmon-analysts@gdata.de. Bitte beachten Sie, dass nur Serviceadressen E-Mails empfangen können, Funktionsadressen können nur E-Mails verschicken.

Bei Kunden mit dem Service-Level G5 oder G7 werden die E-Mails über die Adresse 365@gdata.de verschickt.

Vorbereitungen

Vor der Installation des Linux Agent müssen Teile der IT-Infrastruktur vorbereitet werden, um einen fehlerfreien Service zu gewährleisten. Alle Komponenten des Linux Agent benötigen eine dauerhafte Verbindung, die bereits vor der Installation für das entsprechende System zur Verfügung stehen muss, damit der Linux Agent sich über Port 443 (TCP) zur Service-Infrastruktur von G DATA verbinden kann. Dabei wird TLS (Transport-Layer-Security) für die Sicherstellung einer verschlüsselten Verbindung eingesetzt.

Systempriorisierung

Für einen Mindestschutz sollte der Linux Agent auf allen betriebs-kritischen Kerninfrastrukturelementen installiert werden. Damit das Security-Monitoring spürbar auf das IT-Sicherheitsniveau einwirkt, sollten zusätzlich Systeme mit hoher Priorität überwacht werden. Abhängig davon, ob Systeme mittlerer Priorität im Internet exponiert oder eine breite Angriffsfläche bieten, sollten diese auch in den Service integriert werden.
Im Folgenden sind beispielhaft Systeme in die jeweiligen Prioritäten eingeordnet.

Kritisch

  • Domain Controller

  • Azure AD Connect Server

  • Exchange oder alternativer E-Mailserver

  • Backup-Systeme

  • Managementserver der Antivirensoftware

  • Infrastruktur Systeme wie z.B. DNS und DHCP Server

  • Privileged Access Workstations (PAW)

  • Unternehmenskritische Applikationsserver

  • Im Internet exponierte Systeme mit interaktivem Login, beispielsweise RDP

Hoch

  • Dateiserver

  • Im Internet exponierte Systeme

  • Terminalserver

  • Softwareverteilung

  • Applikationsserver

Mittel

  • Weitere Server Systeme wie z.B. Telefonserver, Faxserver, Druckerserver, Lizenzserver, interne Webserver, etc.

Firewall-Freigaben

Alle im Service befindlichen Systeme müssen, unabhängig von expliziten Proxys, über die Firewall eine dauerhafte Verbindung zur Service-Infrastruktur des Linux Agent herstellen können.
Folgende DNS-Adressen werden von den Komponenten des Linux Agent angesprochen und müssen freigegeben werden:

  • orchestrator.secmon.de

  • collect.secmon.de

  • file.secmon.de

Sollte Ihre Firewall DNS-Adressen als Ziel nicht unterstützen, wenden Sie sich bitte an unseren Support.

TLS-Freigaben

Sollten Sicherheitskomponenten wie TLS-Proxys, Deep-Inspection-Firewalls o.ä. verwendet werden, um TLS-Verbindungen aufzubrechen, müssen für die folgenden DNS-Adressen Ausnahmen in der entsprechenden Sicherheitskomponente hinzugefügt werden:

  • orchestrator.secmon.de

  • collect.secmon.de

  • file.secmon.de

Ein Aufbrechen der TLS-Verbindungen ist nicht möglich oder konfigurierbar, weil von den Komponenten nur dedizierte Zertifikate der Infrastruktur des Linux Agent akzeptiert werden.

Proxy-Freigaben

Falls neben einer Firewall ein separater Proxy verwendet wird, müssen alle DNS-Freigaben in der Firewall ebenfalls im Proxy vorgenommen werden (s. Punkt "Firewall-Freigaben"), um eine dauerhafte Verbindung zu gewährleisten.

Durchführung der Installation

Zur Installation des Linux Agent stehen DEB und RPM Pakete für Linux-Betriebssysteme zur Verfügung. Um Inkompatibilität zur Infrastruktur des Linux Agent zu vermeiden, wird ausschließlich die neueste Version zur Installation zugelassen. Sollte sich ein Onboarding verzögern und der Installer einen Versionsfehler anzeigen, wenden Sie sich bitte an unseren Support. Eine abgeschlossene Installation bedeutet auch den erfolgreichen Verbindungsaufbau zur Service-Infrastruktur des Linux Agent. Um den Wartungsaufwand möglichst gering zu halten, werden nach einer erfolgreichen Installation alle Updates vollautomatisch von G DATA eingespielt und der Linux Agent immer auf dem neusten Stand gehalten.

Die Abrechnung erfolgt auf Basis aller im Service erfassten System- oder Hostnamen.

Kontrollieren der Prüfsumme

Um eine Kompromittierung auszuschließen, sollte vor der Installation die Prüfsumme des DEB/RPM-Installers kontrolliert werden. Die korrekte Prüfsumme erhalten Sie separat per E-Mail.
Der folgende Bash-Befehl erzeugt die Prüfsumme des DEB-Installers.

sha256sum secmon_installer.deb

Der folgende Bash-Befehl erzeugt die Prüfsumme des RPM-Installers:

sha256sum secmon_installer.rpm

Installation des Linux Agent

Die Installation kann direkt auf dem Hostsystem, über ein Netzlaufwerk oder von einem Datenträger aus gestartet werden. Der DEB/RPM-Installer muss auf dem Zielsystem mit root-Rechten ausgeführt werden.

Um den Linux Agent auf einem Linux-Betriebssystem mit dem Paketmanager DPKG zu installieren, muss der folgende Befehl ausgeführt werden. Bitte ersetzen Sie das "IHR_TOKEN" mit dem Wert aus der E-Mail.

sudo TOKEN=IHR_TOKEN dpkg -i secmon_installer.deb

Um den Linux Agent auf einem Linux-Betriebssystem mit dem Paketmanager RPM zu installieren, muss der folgende Befehl ausgeführt werden. Bitte ersetzen Sie "IHR_TOKEN" mit dem Wert aus der E-Mail.

sudo TOKEN=IHR_TOKEN rpm -i secmon_installer.rpm