GCP で自動防御を展開すると、パッチジョブがアクティブではなくなったというメッセージが表示される
2855
Created On 09/15/22 18:13 PM - Last Modified 01/03/25 05:12 AM
Symptom
- GCP で Auto Defend を展開する場合 ( [管理] > [Defenders] > [展開] > [ホスト Auto-Defend] )、顧客に「パッチ ジョブがアクティブではなくなりました」という内容の Defender のインストール失敗エラーが表示される場合があります。
Environment
- プリズマクラウドコンピューティング
- Defenderを展開する
- ホストの自動防御
- Defenderを展開する
- Google クラウド プラットフォーム
前提条件:
- ホスト自動防御を使用すると、Google Cloud アカウントの仮想マシン/インスタンスに Host Defender を自動的にデプロイできます。これは、GCP Compute Engine インスタンスを対象としています。
- インストールでは、ホスト防御を展開するためのより広範なVMマネージャーサービスの一部であるOS パッチ管理サービスが使用されます。
- Prisma Cloud は、以下に示すように、一時的に作成されたストレージ バケットに保存されたインストール スクリプトの情報と、Host Defender を展開するインスタンスのリストを使用して、OS パッチ ジョブを作成します。
Cause
- OS パッチ管理とVMマネージャーの設定の詳細が不足しています
- サービス アカウントユーザーには、一時バケットを作成および削除するための適切な権限がありません。
Resolution
- OS パッチ管理を使用するには、 VMホストがパッケージの更新またはパッチにアクセスできる必要があります。
- OS Patch Management は、パッケージの更新やパッチをホストまたは管理ん。
- OS パッチ管理機能を使用するには、 OS Config APIをセットアップする、 OS Config Agentをインストールする必要があります。詳細な手順については、 「VM Manager の設定」を参照してください。
- シナリオによっては、 VM が更新プログラムにアクセスできない場合があります。このようなシナリオでは、更新プログラムまたはパッチにアクセスできるようにするために追加の権限を完了する必要があります。
- 具体的には、GCE メタデータでOSconfig=enabled であることを確認します。
Additional Information
要約すると、 VMマネージャーを自動または手動で有効にすると、次のセットアップが行われます。
- Google Cloud プロジェクトでOS Config サービス APIとContainer Analysis APIが有効になっています。
- 選択した各VMで実行されているOS Config Agent は、必要なインスタンス メタデータ値を設定することでアクティブ化されます。注: OS Config はほとんどの VM にプリインストールされていますが、インスタンス メタデータが設定されるまでアクティブ化されません。
- OS Configサービスは環境内でのパッチ管理を可能にし、 OS Config エージェントは各オペレーティング システムの更新するメカニズムを使用してパッチを適用します。