はじめに
多数台のサーバーやPCからなるシステムからログを集めて管理する、更にはレポートを作ったりアラートを上げたりする必要があるときに、どうしますか。そのためのログサーバーやSIEMを導入するにあたって、個々のエンドポイントにはエージェントは入れないで済ませたいかもしれません。
しかし、Windowsでリアルタイムに適切にログを送信するにはエージェントを入れる必要がでてきます。また、実際にログ収集システムを運用するには、どこからどのようなログを集めるかポリシーを作って適切に設定し管理し続ける必要があります。その場合、エージェントを導入した上でその設定を集中管理する必要に迫られることになります。
Snareのエージェントでは、
しかし、
Snareエージェントには、多数のエージェントを簡単に集中管理することができるSnare Agent Manager(SAM)があります。
SAMではこんなことができます。
そこで今回は、Snareのエージェント管理の道具であるSAM(Snare Agent Manager)のライセンス配布機能(無償機能)を具体的なイメージとともに紹介します。
このブログは3回シリーズです。第2回はSAMによるSnare Windowsエージェントのリモートアップグレード機能(有償機能)を紹介し、第3回にはSAMによるエージェントのリモート設定管理(有償機能)について紹介します。ご期待ください。
Snareのエージェント管理概要
Snare Agent Manager(SAM)の概要は以下の表のとおりです。
| ツール | 提供形態 | 機能 |
| SAM (Snare Agent Manager) | Windowsアプリ | ライセンス管理(無償) ネットワークスキャン(無償) エージェントのアップグレード(有償) エージェントの設定管理(有償) |
スタンドアロンライセンスとSAMライセンス
SAMは、Windows上の単独のアプリとしてエージェントに付属する形で無償で提供しております。
Snareエージェントのライセンスには、以下のようにインストールごとのライセンスロックのあるスタンドアロンライセンスと、SAMがライセンスを数量ベースで集中管理するSAMライセンスがあります。2024年6月30日をもって弊社からのスタンドアロンライセンスの提供は終了しております。しかし、スタンドアロンライセンスの方が使いやすい場合もありますので、スタンドアロンを希望の場合はお問い合わせください。
SAMによるライセンス適用と状況確認
SAMがエージェントにライセンスを配布しそれを管理するためには、SAMと各エージェントが通信できることが必要です。この通信のために、SAMはTCPの6262ポートをリッスンして、各エージェントからの連絡を待ちます。
このため、各エージェント側にSAMのIPアドレスまたはFQDN(Fully Qualified Domain Name)と使用するポート番号(デフォルトは6262)を設定する必要があります。また、このSAMとエージェント間の通信は、セキュアなTLSのv1.2またはv1.3が使われるように設定されており、認証キーも最初から設定されています。
SnareエージェントのSAMとの通信設定
各エージェントのWeb UI(デフォルト設定ではhttps://localhost:6161でアクセス可能)で、[Access Configuration]を開きます。以下の3つのSAMとの通信に関する設定を行います。
- Snare Agent Manager IP: SAM の IP アドレスまたは FQDN (または、SAMが同じマシン上にある場合は localhost を使用できます)。エージェントは、この IP を介して SAM と通信し、接続を試みます。
- Snare Agent Manager Port: エージェントが IP:Port の組み合わせを使用して接続しようとする SAM のポート番号。 デフォルトは 6262 です。
- Snare Agent Manager Authentication Key: これは、エージェントが SAM との接続を行う際に認証に使用する秘密鍵です。このキーが無効な場合、エージェントはSAMとの接続を続行できません。このキーは、SAM の管理者によって生成されます。エージェントのインストール時のデフォルトのキーは SAM の [Settings] | [General] のデフォルトと同じです。もちろん、運用開始までに両者とも別の同じ値に更新すべきです。
SAMによる評価ライセンスの適用
SAMのインストールとエージェントとの通信設定
SAMのインストールについては、「Snare Agent Manager v2 インストールガイド」をご覧ください。
SAM側にエージェントとの間の通信に関する設定が、[Settings] | [General]にあります。エージェント側がデフォルトのままならば、SAM側もデフォルトのままで通信できます。ポート番号や認証キーは、エージェント側と一致させる必要がありますので、変更する場合は両方とも変更してください。認証キー(Authentication Key)については、以下のようにSAMに鍵マークの生成ボタンがありますので、これを使って変更して使うことをお薦めします。
評価ライセンスの入手
Snareエージェントのトライアルで、SAMから評価ライセンスを適用するには、評価用のSAMキーライセンスとエージェントの種類・機能に応じた機能ライセンスが必要です。機能ライセンスは機能毎のライセンス数が設定されているので、評価時に動作させるエージェントの機能と数量に応じた評価ライセンスが必要です。
「Snare Agent Manager v2 ライセンスガイド」の「4.ライセンスの取得」にも説明がありますので、実際に評価される方はこちらも参照願います。
新規のお客様は、「お問い合わせフォーム」を介して初期評価ライセンスをリクエストできます。評価用ライセンスを請求する場合には、Key IDs は不要です。
評価ライセンスの適用
SAM | Licenses | Add a new license に評価用ライセンス(SAMキーライセンスおよび機能ライセンスの両方とも)をアップロードするだけです。具体的には、Upload .sl file を選択した状態で、Drop files here.に、SAMキーライセンスの.slファイルと、機能ライセンスの.slファイルをドラッグ&ドロップします。
ライセンスが適用されたことは、LIcenses | Registered licenses でチェックできます。
SAMによる正規ライセンスの適用
「Snare Windows (Desktop)エージェント インストールガイド」6.1 SAM ライセンスの適用 に詳細な説明があります。SAMでの操作の流れは、以下の通りです。
- Licenses | KeyIDsからキーIDをコピペする
- Snareのお客様ポータルサイトであるSLDMにログインしてMy Licenses | SAM Key License(s) | Enter KeyIDs で開いた画面にSAMキーライセンス発行のためにキーIDを貼り付ける
- 同様にMy Licenses | Feature License(s) | Enter KeyIDsで開いた画面に、機能ライセンス発行のためにキーIDを貼り付ける。2)と同じKeyIDsでよい。
- My Licensesの画面でライセンスの生成を待ち、出来上がったらDownloadボタンをクリックしてライセンスの.slファイルをダウンロードします
- SAM | Licenses | Add a new licenseにライセンスの.slファイルをドラッグ&ドロップします
- Licenses | Registered Licenses にてライセンスがSAMに登録されたことを確認します
<参考> スタンドアロンエージェントへのライセンス適用については、「Snare Windows (Desktop)エージェントインストールガイド」6.2 スタンドアロンライセンスの適用 を参照してください。
ライセンス適用状況の確認
しばらく待ってSAM | DashboardもしくはSAM | Agents | Allでライセンスの適用状況を確認します。SAMのダッシュボードやエージェントの管理画面の詳細については、「Snare Agent Manager v2 ユーザーガイド」をご覧ください。
このSAMのダッシュボード画面では、エージェントが一つ見つかっていて、26日後に期限の切れる評価用ライセンスが適用されていることが分かります。このダッシュボードから、エージェント側から見たライセンスの割り当て状況も、SAMに登録されたライセンスから見たその使われ方もよく分かるようになっています。
このSAMのエージェントの画面では、エージェントの一番右の歯車のマークをクリックして、詳細を表示しています。一番左の二つの緑のマークは、左からライセンスステータスと到達可能性(Reachable)を示しており、この場合二つとも緑なので問題ありません。
しばらく待ってもライセンスがエージェントに適用されない場合は、各エージェントでRestart Serviceを実行すると適用される場合があります。
各エージェント側でWeb UIを開けば、ライセンスが適用されているか分かります。特に、License | Active Licensesで適用しようとしたライセンスが登録されているか確認すれば確実です。個々のライセンスにはリファレンスがついているので、リファレンスを頼りに所望のライセンスが各エージェントに適用されているか確認できます。
SAMによるライセンス管理の設定
SAMにはライセンス管理に関連する設定で重要そうなものを2つ紹介します。
連絡の取れないエージェント対策:非アクティブ遅延
非アクティブ遅延(Inactivity Delay)は、エージェントがこの設定値を超えて SAM に連絡して来ない場合、自動的にライセンスが解除される時間です。最短は 3 日間です。エージェントは、SAMと連絡が取れなくとも最大 30 日間ライセンスを保持できます。
ここには、ライセンスが誤ってSAMから無効にされないように、60日や無期限(Never expire)の設定もあります。その場合、不要となったライセンス割当てをエージェントから手動で削除しないとライセンスが無駄に割当て続けられる可能性があるので注意が必要です。
ウェブUIでの通知とメール通知
エージェントのライセンスが切れそうになった場合や、ライセンス不足が発生している場合などに、ウェブUI上に通知することとメール通知を発行することが可能です。
上記のSAMの通知画面にも通知が出ますが、“Display ticker on Dashboard”をOnに設定しておくと(デフォルトでOnです)、ダッシュボードのフッターの一にティッカーという通知が表示されます。
先ほどのダッシュボードの画面にあったティッカーは上記の部分です。
おわりに
Snare Agent Manager(SAM)によるエージェント管理の概要を説明し、SAMのライセンス関連の機能について説明しました。次回はエージェントの集中アップグレードについて説明します。最後までお読みいただき、ありがとうございました。
参考資料
今回の記事の中で引用した資料や参考となる資料のリンク集です。
- 多数のエージェントの一元管理(動画)
- 「Snare Agent Manager v2 ライセンスガイド」
- 「Snare Agent Manager v2インストールガイド」
- 「Snare Agent Manager v2 ユーザーガイド」
- 「Snare Windows(Desktop) エージェントインストールガイド」
お問い合わせ
30日無償で利用いただける評価版を以下ダウンロードリンクにご用意しております。簡単に検証が開始できますので、ぜひ気軽にお試しください。
ジュピターテクノロジー ケン
