くらめその情シス:jamfを使用してSntinelOneエージェントを配布してみた

2021.12.15

こんにちは

情シス担当、アノテーションの畠山です。

今回は、最近注目され始めているEDRの一つであるSentinelOneを、jamfPROを使用してMacに配布&インストールする方法をご紹介いたします。

はじめに

EDR製品の入替には、情シス担当の皆さんにとっては労力のかかる作業ですよね。しかし、jamfPROを使用すれば、簡単に配布してインストールすることが可能です。

なお、今回の情報は、以下のサイトにも手順等が記載されています(英語)が、今回は、Mac側の適用手順も一緒にご紹介させていただきます。

https://success.alienvault.com/s/article/SentinelOne-Installing-and-Upgrading-macOS-Kextless-Agents-with-Jamf

手順概要

  • SentinelOneから情報を入手
  • jamfにパッケージファイルと、スクリプトを登録
  • 配布用のポリシーを作成
  • Macにてポリシーを取得し、インストール

SentinelOneサイトから必要な情報を入手

ご使用のSentinelOne管理サイトのAccountもしくはSiteから、トークン文字列をコピーしておきます。

また、Mac用のエージェントインストール用のパッケージファイルもダウンロードしておいて下さい。

jamfPROにダウンロードしたパッケージファイルとトークン文字列を使用したスクリプトを登録します。

jamfPROの管理サイトで、右上の歯車アイコンからシステム設定を開きます。

左ペインの「コンピュータの管理」を選択し、右の「パッケージ」を開き、ダウンロードしたSentinelOneのパッケージファイルを登録します。

次に、「スクリプト」を登録します。

+新規ボタンから、SentinelOneインストール用のスクリプトを作成し、以下のコマンドを設定します。

なお、<トークン>と記載した場所、および<SentinelOneのインストールパッケージファイル名>のところは、実際に設定するトークン(テキスト文字列)やダウンロードしたパッケージファイル名に置き換えて下さい。

sudo echo "<トークン>" > /Library/Application\ Support/JAMF/Waiting\ Room/com.sentinelone.registration-token
sudo /usr/sbin/installer -pkg /Library/Application\ Support/JAMF/Waiting\ Room/<SentinelOneのインストールパッケージファイル名> -target /

「\ 」は「 」半角スペースをコマンド内で入力する際に指定する文字です。

このスクリプトでは、トークン文字列を「com.sentinelone.registration-token」というファイルを作成して書き込み、同じフォルダにダウンロードしたパッケージインストーラを起動することで、このトークンファイルを読み込んで、インストールされるという仕組みです。

ポリシーの作成

スクリプトを登録したら、「コンピュータ」タブの「ポリシー」で新たにSentinelOneエージェントをインストールするためのポリシーを作成します。

  • トリガーは「Recurring Check-in」にするといいでしょう。
  • 「パッケージ」を選択し、先ほど登録した、SentinelOneのパッケージを設定します。
  • パッケージのアクションには、「Cache」を選択して下さい。
  • 次に、「スクリプト」を設定します。
  • 先ほど、登録したスクリプトを選択して下さい。
  • 「優先順位」は、「After」を選択します。
  • scopeには、とりあえず検証用のMacを指定してテストすることをお勧めします。

これで、パッケージをダウンロードした後に、スクリプトが実行されます。

Macへのインストール(検証時)

Mac側では、ポリシーが「Recurring Check-in」としてあるため、ポリシーの再取得を行うことでインストールが実行されます。

なお、ポリシー再取得はコマンドでも実行できますが、あらかじめスクリプトとしてコマンドを登録しておいてSelf serviceで配布しておくと、ユーザーに実施してもらう際に、わかりやすいです。

ポリシー再取得コマンド

sudo jamf policy

正常にポリシーが配布され実行されると、Mac側にSentinelOneのエージェントがインストールされます。

登録状況の確認

ポリシー再取得を実施後、正しくインストールできたかは、ポリシーのログにて確認することができます。 ログの対象デバイスの「Details」ボタンから、インストールログを確認できます。

Mac側での設定追加

インストールが正常終了したら、Mac側のシステム環境設定内の「セキュリティとプライバシー」の「プライバシー」タブにてフルディスクアクセスにSentinelOne 関連アプリ2つを選択して、権限を追加します。

(ここの部分は、OSのバージョンやその他の環境によって出てこないケースもあるようです)

MacのステータスバーにSentinelOneアイコンが表示されて正常に起動していれば、インストール完了となります。

SentinelOneインストール時の注意事項

SentinelOneは、その他のEDR製品がインストールされていてもインストールは可能ですが、挙動が他のEDR製品に検知されるなど、誤作動を起こすことがあります。

そのため、事前に既にインストールされているEDR製品をアンインストールするポリシーを事前に実施することをお勧めします。

おわりに

SentinelOneは、Windows、Mac、Linuxに対応しており、とても優れたEDR製品だと思います。

デバイスに対するActionも多彩で、非常に管理しやすいソリューションとなっており、シグネチャだけの検知ではなく振る舞いでの検知が非常に優れているものになっているようです。

Macの安全神話も崩壊した今では、非常に安心して使用できるのではないかと思っています。

また、jamfPROは今回のように非常に柔軟な配布機能により、トークンを使用したパッケージのインストールも行うことができました。

当初は、jamf Composerを使用してトークンファイルも一緒にパッケージ化する方法を検討しておりましたが、簡単なスクリプトを使用してインストールを行うことができました。

jamf関連記事

これまでのjamfに関連した記事はこちら

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。