¿Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Linux en Advanced EPDR/EDR?

¿Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Linux en Advanced EPDR/EDR?

By July 19, 2023July 20th, 2023EDR, EPDR, Soporte
+34 900 840 407
support@cytomic.ai

¿Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Linux con productos basados en Advanced EPDR/EDR?

Productos_
  • Advanced EPDR
  • Advanced EDR
INFORMACIÓN IMPORTANTE QUE DEBES LEER ANTES DE COMENZAR

Es crítico seguir este procedimiento al pie de la letra y paso a paso y que una vez finalizado, verifiques que todos los equipos clonados aparecen en la consola de administración.

¡ATENCIÓN!
Es importante clonar correctamente los equipos porque, en caso contrario, habrá consecuencias que afectarán a la visibilidad de las acciones monitorizadas, a la fiabilidad de la Protección Avanzada y por ende, se pueda comprometer la seguridad de tu infraestructura.

Si al finalizar el proceso, únicamente aparece un dispositivo clonado en la consola, es necesario repetir el procedimiento, volver a generar la imagen gold y desplegarla en el resto de los equipos nuevamente. Para cualquier duda, contacta con Advanced EPDR/EDR Support Services.

Situación_

En redes grandes formadas por muchos equipos homogéneos, el procedimiento de instalación del sistema operativo y del software que lo acompaña puede automatizarse generando una imagen gold (también conocida como imagen “master”, “base”, “maqueta” o imagen “plataforma”). Posteriormente, esta imagen se distribuye a todos los equipos de la red, lo que evita gran parte del proceso manual de instalación desde cero.

Para generar una imagen gold, es necesario instalar en un equipo de la red el sistema operativo ya actualizado junto a todo el software que el usuario vaya a necesitar, incluyendo las herramientas de seguridad. Una vez listo el equipo, es necesario utilizar un software de virtualización para “sellar” o “cerrar” la instalación y distribuirla en los equipos de la red. Para obtener información específica de tu solución de virtualización, consulta la documentación de tu proveedor.

Se preparará una plantilla (entornos persistentes) o bien una imagen gold (entornos no persistentes) que se desplegará en los equipos virtuales de la red.

En entornos persistentes, la información almacenada en el disco duro del equipo persiste entre los reinicios. Por lo tanto, debes instalar una versión actualizada del sistema operativo con todos los programas que los usuarios necesiten y después, crear la plantilla con las actualizaciones de la protección de tu producto configuradas.

En entornos no persistentes, se crearán dos perfiles de configuración de seguridad; uno para actualizar la imagen gold cuando se prepara y con fines de mantenimiento, y otro para desactivar las actualizaciones cuando se ejecuta la imagen gold, ya que no procede actualizar el software cliente cuando el sistema de almacenamiento del equipo vuelve a su estado original con cada reinicio.

En este artículo se explica paso a paso cómo instalar la protección de tu producto para Linux en entornos VDI (Virtual Desktop Infrastructure) persistentes y no persistentes sobre la plataforma Advanced EPDR/EDR. Por sus características, los equipos o instancias virtuales requieren de un procedimiento específico que garantice que las imágenes o plantillas a usar en los entornos virtuales estén actualizadas, optimizadas y sin previa identificación de equipo, de forma que cuando el equipo virtual arranque, se registre de forma unívoca en la consola.

Es importante seguir el procedimiento para:

  1. Asegurar la actualización del motor y del conocimiento.
  2. Optimizar los recursos y el consumo de ancho de banda en el caso de entornos no persistentes.
  3. Asegurar que las instancias virtuales se identifican de forma unívoca.
Prerrequisitos_
  • Para entornos persistentes, los equipos deben disponer de direcciones MAC fijas.
  • El equipo utilizado para la generación de la imagen gold o plantilla requiere tener conexión a Internet.
  • Existen dos versiones de la herramienta, en función de si se trata de un entorno con o sin dependencias. En ambos casos, debes ejecutarlas con permisos de usuario root.
Compatibilidades_

En líneas generales, el procedimiento descrito funciona* en los siguientes tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers
Procedimiento para Entornos Persistentes_

Fase I - Preparar el equipo con la plantilla

Sigue estos pasos para preparar el equipo desde el que se genera la plantilla:

  1. Instala o actualiza el sistema operativo con las aplicaciones del usuario.
  2. Desde la consola del producto, crea un grupo llamado Virtual machines donde alojar la plantilla y los equipos virtuales. Para ello, sigue estos pasos:
    • Selecciona la pestaña Equipos.
    • Selecciona Mi organización desde el menú de la izquierda.
    • Selecciona Añadir grupo.
  3. Crea un perfil de configuración con actualizaciones automáticas del agente de Advanced EPDR/EDR activadas. Para ello, sigue estos pasos:
    • Accede a la pestaña Configuración.
    • Selecciona Ajustes por equipo.
    • Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen.
    • Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
    • Asigna esta configuración al grupo Virtual machines.
  4. Haz clic en la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad.
    • Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen y que tenga activadas las actualizaciones automáticas del conocimiento.
    • Selecciona General y activa las Actualizaciones automáticas de conocimiento.
    • Asigna esta configuración al grupo Virtual machines.
  5. Instala el agente y la protección en el grupo Virtual machines:
    • Accede a la pestaña Equipos, selecciona el grupo Virtual machines y pulsa Añadir equipos. Se descargará el instalador.
    • Instala el agente en la plantilla y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección, se configurará y se actualizará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola, con icono verde. Este equipo dispondrá de la protección y el conocimiento actualizado.
  6. Descarga la herramienta Endpoint Agent Tool para Linux o Endpoint Agent Tool para Linux NO DEPS y descomprime el archivo en el equipo con la plantilla.
    • Abre la carpeta EndpointAgentTool y accede al archivo que corresponde con tu sistema operativo.NOTA: Si se trata de la versión NO DEPS, debes copiar el archivo EndpointAgentTool en el directorio /usr/local/management-agent/bin/
    • Ejecuta esta línea de comando para enviar los contadores y las detecciones y para actualizar las configuraciones y tareas del servidor:
      sudo ./EndpointAgentTool -d -c -cmd
    • Si el equipo está protegido por AntiTamper, añade la contraseña después del parámetro atp.
      sudo ./EndpointAgentTool -pei -atp:antitamperpassword
      ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
  7. Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se cambie el nombre de las instancias virtuales.

Fase II - Modificar el tipo de inicio del servicio Endpoint Agent de Advanced EDR/EPDR

Una vez creada la plantilla, ya puedes modificar el tipo de inicio del servicio Panda Endpoint Agent, ya sea a través de scripts u otras herramientas.

Procedimiento para Entornos No Persistentes_

El procedimiento para gestionar entornos VDI no persistentes consta de 3 fases:

Fase I - Preparar y Generar la Imagen Gold

Antes de generar la imagen gold, es necesario preparar la máquina desde la que se va a crear:

  1. Instala/actualiza el sistema operativo con las aplicaciones del cliente.
  2. Desde la consola del producto, crea un grupo donde alojar, por una parte, la imagen gold (Grupo Gold or template image) y por otra parte, un grupo donde alojar las máquinas virtuales (Grupo Virtual machines).
    • Grupo Gold or template image

      • Accede a la pestaña Configuración, Ajustes por equipo y crea una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
      • Establece el reinicio automático para asegurarnos que el equipo se actualiza.
      • Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
      • Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad para crear una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del conocimiento.
      • Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
    • Grupo Virtual machines
      Las instancias virtuales parten de la imagen gold actualizada. Para optimizar los recursos del servidor VDI y reducir el consumo de ancho de banda, es necesario desactivar las actualizaciones siguiendo los siguientes pasos:

      • Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.
      • Deshabilita las actualizaciones de conocimiento en la configuración de Seguridad para Estaciones y servidores, y asigna esta configuración al grupo de máquinas virtuales (Grupo Virtual machines).
  3. Instala el agente y la protección en el grupo Virtual machines para generar la imagen gold:
    • Accede a la pestaña Equipos, selecciona el grupo de la imagen gold (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
    • Instala el agente en la maquina usada para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección y se configurará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola.
  4. Descarga la herramienta Endpoint Agent Tool para Linux o Endpoint Agent Tool para Linux NO DEPS y descomprime el archivo en el equipo con la imagen gold.
    • Abre la carpeta EndpointAgentTool y accede al archivo que corresponde con tu sistema operativo.NOTA: Si se trata de la versión NO DEPS, debes copiar el archivo EndpointAgentTool en el directorio /usr/local/management-agent/bin/
    • Ejecuta la siguiente línea de comandos para enviar los contadores y las detecciones y para actualizar las configuraciones y tareas del servidor:
      sudo ./EndpointAgentTool -d -c -cmd
    • Si el equipo está protegido por AntiTamper, escribe la contraseña en el parámetro atp desde línea de comandos:
      sudo ./EndpointAgentTool -pei -gi -atp:antitamperpassword¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.

Fase II - Modificar el tipo de inicio del servicio Endpoint Agent de Advanced EDR/EPDR

Una vez creada la plantilla, ya puedes modificar el tipo de inicio del servicio Endpoint Agent, ya sea a través de script o con herramientas específicas de los propios entornos de virtualización.

Fase III - Mantenimiento de la imagen gold

Periódicamente, al menos una vez al mes, es imprescindible actualizar el agente, la protección y las firmas de la imagen gold creada. Hay que tener en cuenta que las actualizaciones son muy necesarias para garantizar la máxima protección y poder hacer frente a los nuevos métodos de ataque utilizados por los hackers.
Para actualizar la imagen gold se debe proceder del siguiente modo:

  1. Arranca el equipo donde está instalada la imagen gold.
  2. En la consola, mueve la máquina con la imagen gold al grupo Gold or template image para asegurarse de que tiene asignada las configuraciones correctas con las actualizaciones de motor y conocimientos activadas.
  3. Descarga la herramienta Endpoint Agent Tool para Linux o Endpoint Agent Tool para Linux NO DEPS en el equipo con la imagen gold.
    • Abre la carpeta EndpointAgentTool y accede al archivos que corresponde con tu sistema operativo.NOTA: Si se trata de la versión NO DEPS, debes copiar el archivo EndpointAgentTool en el directorio /usr/local/management-agent/bin/
    • Ejecuta la siguiente línea de comandos para actualizar el agente y la protección si hubiese nuevas versiones:
      sudo ./EndpointAgentTool -su
    • Ejecuta la siguiente línea de comandos para actualizar las firmas de la protección:
      sudo ./EndpointAgentTool -ku
    • Ejecuta la siguiente línea de comandos para enviar los contadores y las detecciones y para actualizar las configuraciones y tareas del servidor:
      sudo ./EndpointAgentTool -d -c -cmd
    • Si el equipo está protegido por AntiTamper, escribe la contraseña en el parámetro atp desde línea de comandos:
      sudo ./EndpointAgentTool -pei -gi -atp:antitamperpassword¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
  4. Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se cambie el nombre de las instancias virtuales.
Verificar Procedimiento_

Es esencial asegurarse de que has seguido el procedimiento correctamente.

  • Ver los equipos no persistentes
    Advanced EDR/EPDR utiliza el FQDN (Fully Qualified Domain Name) para identificar los equipos cuyo ID ha sido eliminado mediante el programa Advanced EDR/EPDR Endpoint Tool y están marcados como imagen gold.
    Para obtener una lista de ordenadores VDI no persistentes, sigue los siguientes pasos:

    • Desde la barra de navegación superior, ve a Configuración.
    • Haz clic en Entornos VDI en el panel izquierdo.
    • Haz clic en el enlace Mostrar equipos no persistentes.
      Se muestra la lista de ordenadores, con el filtro de ordenadores no persistentes aplicado.
  • Ver ordenadores persistentes
    • En la barra de navegación superior, selecciona Equipos.
    • Comprueba que todos los equipos clonados se muestran correctamente en la interfaz web.

¡IMPORTANTE! Si ves un único dispositivo en consola o no ves todas las máquinas virtuales, debes eliminar el dispositivo de la lista de ordenadores e iniciar el procedimiento desde cero, reconstruir la imagen gold y desplegarla de nuevo en los equipos afectados.

Gestión de Licencias_

Si se sigue el procedimiento correctamente, es decir, si se completa el paso de borrar el registro del agente habiendo marcado o desmarcado correctamente la opción Is a gold image como corresponde, entonces, cada vez que se arranque una máquina nueva, se calculará su identificador de máquina y se determinará si el equipo es un equipo nuevo, o bien un equipo ya existente en función del entorno previamente seleccionado.

  • En entornos no persistentes, si se ha configurado el número máximo de máquinas activas concurrentemente para las imágenes no persistentes, la gestión de licencias la hará automáticamente el servidor, siempre que haya licencias disponibles y no se supere el límite de concurrencia establecido.
  • En entornos persistentes, si se trabaja con múltiples máquinas que ya no se usan, será necesario eliminarlas de la base de datos para liberar licencias, al igual que con las máquinas físicas. Esto es posible desde la consola Advanced EPDR/EDR pulsando en la opción Borrar, ya sea seleccionando previamente las máquinas o desde el menú de los tres puntitos, una a una.