Endpointエージェントの導入および検証

Document created by RSA Information Design and Development on Oct 12, 2018
Version 1Show Document
  • View in full screen mode
 

このセクションでは、エージェントを導入して検証する手順について説明します。

エージェントの導入(Windows)

エージェントを導入するには、監視するホスト上でnwe-agent-package.exeファイルを実行します。

Windowsエージェントの検証

Windowsエージェントの導入後、次のいずれかの方法を使用して、Windowsエージェントが実行されているかどうかを検証できます。

  • NetWitness Endpoint UIの使用

    [ホスト]ビューには、エージェントが導入されているすべてのホストのリストが表示されます。エージェントがインストールされているホスト名で検索することができます。

    注:リストを更新して最新データを表示するには、[調査]>[ホスト]をクリックするか、F5を押します。

  • タスク マネージャの使用

    タスク マネージャを開き、エージェント パッケージの生成時に構成したサービス名を探します。

  • Services.mscの使用

    [ファイル名を指定して実行]でServices.mscを開き、NWEAgentを探します。

エージェントの導入(Linux)

エージェントを導入するには、監視するホスト上でnwe-agent.rpm(32ビットの場合)またはnwe-agent(64-bit).rpm(64ビットの場合)を実行します。i386マシンには32-bit rpmを使用し、x84_64マシンには64-bit rpmを使用します。

Linuxエージェントの検証

Linuxエージェントの導入後、次のいずれかの方法を使用して、Linuxエージェントが実行されているかどうかを検証できます。

  • NetWitness Endpoint UIの使用

    [ホスト]ビューには、エージェントが導入されているすべてのホストのリストが表示されます。

    注:リストを更新して最新データを表示するには、[調査]>[ホスト]をクリックするか、F5を押します。

  • コマンド ラインの使用

    次のコマンドを実行して、PIDを取得します。

    pgrep nwe-agent

  • NetWitness Endpointのバージョンを確認するには、次のコマンドを実行します。

    cat /opt/rsa/nwe-agent/config/nwe-agent.config | grep version

エージェントの導入(Mac)

エージェントを導入するには、監視するホスト上でnwe-agent.pkgファイルを実行します。

Macエージェントの検証

Macエージェントの導入後、次のいずれかの方法を使用して、Macエージェントが実行されているかどうかを検証できます。

  • NetWitness Endpoint UIの使用

    [ホスト]ビューには、エージェントが導入されているすべてのホストのリストが表示されます。

    注:リストを更新して最新データを表示するには、[調査]>[ホスト]をクリックするか、F5を押します。

  • アクティビティ モニタの使用

    アクティビティ モニタ(/Applications/Utilities/Activity Monitor.app)を開き、NWEAgentを探します。

  • コマンド ラインの使用

    次のコマンドを実行して、PIDを取得します。

    pgrep NWEAgent

  • NetWitness Endpointのバージョンを確認するには、次のコマンドを実行します。

    grep a /var/log/system.log | grep NWEAgent | grep Version:

Endpoint ServerとWindows Vista、2008 Server、MacOS X 10.9および10.10にインストールされたEndpointエージェントの間の通信の構成

デフォルトでは、Endpoint ServerではFIPSモードが有効になっています。このため、Windows Vista、2008 Server、MacOS X 10.9および10.10にインストールされているエージェントは、Endpoint Serverと通信できません。

これを解決するには、Endpoint HybridまたはEndpoint Log Hybridで次の手順を実行して、FIPSモードを無効にします。

  1. /etc/pki/tls/owb.cnfファイルを編集してFIPSモードを無効にします。

    FIPS Disable

  2. /etc/nginx/conf.d/nginx.confファイルを編集して次の行をコメント アウトします。

    FIPS Disable

  3. 次のコマンドを使用して、Nginx Serverを再起動します。

    systemctl restart nginx

Next Topic:Uninstall Agent
You are here
Deploy and Verify Agents

Attachments

    Outcomes