Aurora Endpoint Security のプロキシ要件

Aurora Endpoint Security エージェントと Aurora Protect Mobile アプリは、Arctic Wolf サーバーへのアウトバウンド通信にプロキシサーバーを使用するように設定できます。

Aurora Protect Desktop エージェントおよび Aurora Focus エージェントのプロキシの設定

必要に応じて、Aurora Protect DesktopAurora Focus がプラットフォーム要件に基づいてプロキシサーバーを使用するように設定します。

  • Arctic Wolf サーバーへのアウトバウンド通信にプロキシサーバーを使用するようにデバイス上の Aurora Protect Desktop エージェントと Aurora Focus エージェントの両方を設定する場合は、レジストリエディターで HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop に移動し、文字列値 REG_SZ を作成します。
    • 値名 = ProxyServer
    • 値データ = プロキシ IP:ポート(例:http://123.45.67.89:8080)
  • プロキシはユーザ認証無しの要求を受け入れる必要があります。SSL インスペクションはサポートされていないため、すべてのエージェントトラフィック(*.cylance.com)でバイパスする必要があります。
  • Windows 環境では、HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings でシステム全体のプロキシ設定を構成した場合、proxyIP:port を使用して ProxyServer レジストリキーの値を指定するか、https:// ではなく http:// で値を始める必要があります(HTTPS プロキシ接続はサポートされていますが、レジストリ値は https:// で開始できません)。

Windows および macOSAurora Focus エージェントのプロキシオプション

  • Aurora Focus エージェントはプロキシ対応であり、使用可能なプロキシ設定を識別して使用するために .NET フレームワークをクエリします。レジストリで ProxyServer 値を設定した場合、Aurora Focus エージェントは指定されたプロキシを使用します。Aurora Focus エージェントはまずローカルシステムとして、次に現在ログインしているユーザーとして通信を試みます。
  • Aurora Focus エージェントがプロキシを使用するように設定し、エージェントがクラウドサービスと通信できない場合、エージェントはプロキシをバイパスして直接接続を確立しようとします。Windows および macOS デバイスでは、このプロキシバイパスを無効にできます。Aurora Focus エージェントをインストールする前に、以下の操作を実行します。

    プラットフォーム

    手順

    Windows
    HKLM\SOFTWARE\Cylance\Optics\ で、文字列値 REG_SZ を作成します。
    • 値名 = DisableProxyBypass
    • 値データ = True

    macOS
    • /Library/Application Support/Cylance/Desktop/registry/LocalMachine/Software/Cylance/Desktop/ で、values.xml ファイルに次を追加します。

      <value name=“ProxyServer” type=“string”>http://proxy_server_IP:port</value>

    • /Library/Application Support/Cylance/Optics/Configuration で、次を含む ExternalConfig.xml ファイルを作成します。

      <?xml version=“1.0” encoding=“utf-8”?><EnforceProxyServer>true</EnforceProxyServer>
  • Aurora Focus が、署名されたファイルをアーチファクトとして含む検出イベントを作成すると、Windows API からのコマンドを使用して署名または証明書を検証します。このコマンドは、OCSP サーバーに検証要求を送信します。OCSP サーバーのアドレスは、Windows によって決定されます。OCSP サーバーへの外部トラフィックの送信が試行されたとプロキシサーバーから報告された場合は、デバイスのプロキシ設定を更新して、OCSP サーバーとの接続を許可します。

LinuxAurora Protect Desktop および Aurora Focus エージェントのプロキシオプション

サポートされているバージョンの RHEL、CentOSUbuntuAmazon Linux 2、および SUSE 15 で、認証されていないプロキシまたは認証済みのプロキシを使用するようにエージェントを設定するには、以下のコマンドを使用します。エージェントをインストールする前に、これらのコマンドを使用できます。次のコマンドは、Aurora Protect Desktop エージェントのプロキシを設定します。Aurora Focus エージェントのプロキシを設定するには:
  • 「cylancesvc」のすべてのインスタンスを「cyoptics」に置き換えます。
  • 各 http_proxy 行を複製し、「http_proxy」を「https_proxy」に置き換えます。HTTPS トラフィックは TCP 接続を使用してトンネリングされるため、ほとんどの場合、https_proxy は http_proxy と同じ値を使用します。ただし、組織で HTTPS ターミネーションプロキシサーバーを使用している場合は、https_proxy に適切な値を指定します。

認証されていないプロキシ:

CODE 
mkdir /etc/systemd/system/cylancesvc.service.d
echo "[Service]" > /etc/systemd/system/cylancesvc.service.d/proxy.conf
echo "Environment=http_proxy=http://proxyaddress:port" >> /etc/systemd/system/cylancesvc.service.d/proxy.conf
systemctl stop cylancesvc
systemctl daemon-reload
systemctl start cylancesvc

認証済みのプロキシ:

CODE 
mkdir /etc/systemd/system/cylancesvc.service.d
echo "[Service]" > /etc/systemd/system/cylancesvc.service.d/proxy.conf
echo "Environment=http_proxy=user:password@proxyaddress:port" >> /etc/systemd/system/cylancesvc.service.d/proxy.conf
systemctl stop cylancesvc
systemctl daemon-reload
systemctl start cylancesvc