Come installare un endpoint su MacOSx dalla console OneView di ThreatDown?

Come installare un endpoint su MacOSx dalla console OneView di ThreatDown?

Ci sono diversi metodi di installazione, che prevedono o meno l’utilizzo di script.

Installazione a partire dal file di setup

Il metodo di installazione più semplice consiste nel copiare un file d’installazione nell’endpoint ed eseguirlo.

In questo articolo vengono illustrati i seguenti metodi:

  • utilizzo un file di installazione scaricato dalla console ed eseguito sull’endpoint;
  • installazione da riga di comando, che può essere eseguita in modo trasparente per l’utente.


Utilizzo di un programma di installazione scaricato dalla OneView

Per aggiungere manualmente un endpoint a ThreatDown OneView, scaricare il file di installazione di ThreatDown by Malwarebytes ed eseguirlo sull’endpoint. Ogni file di installazione è riferito ad un sito specifico ed eseguendolo l’endpoint comparirà nel sito.

Perché l’installazione vada a buon fine è necessario:

  • Per macOS 10.13 e 10.14 occorre approvare l’estensione del kernel/framework di sicurezza per Malwarebytes Endpoint Protection sui dispositivi Mac. Infatti, da queste versioni Apple ha bloccato la possibilità di installare usando delle estensioni del Kernel di MacOSX. Dato che ThreatDown usa proprio un’estensione del Kernel, per l’installazione, è necessario che l’utente la autorizzi esplicitamente, cliccando su un tasto nelle Preferenze di Sistema. Questa preferenza non può essere fornita via script, normalmente, e non si può cliccare su quel tasto da una sessione remota sulla macchina. Per maggiori dettagli, consultare questo documento.

Per rimediare a questo problema, ThreatDown by Malwarebytes mette a disposizione dei file di configurazione da utilizzare per le diverse versioni di MacOsX

  1. Per MacOS 10.13 o MacOS 10.14 vedere questo file.
  2. Per MacOS 10.15, macOS 11.x, mac OS 12.x vedere questo file.
  • Per macOS 10.15, macOS 11.x, macOS 12.x e macOS 13.x è necessario fornire l’accesso completo al disco, seguendo questi passaggi:
    • Sul dispositivo Mac interessato, viene visualizzato un indicatore di avviso ThreatDown sull’icona della barra dei menu.Fare clic sull’icona per aprire un menu di scelta rapida.Clicca su Problemi attuali. Viene visualizzata una nuova pagina ThreatDown che fornisce i passaggi per concedere l’accesso completo al disco.Fai clic sul pulsante per aprire Preferenze di Sistema. Vai a Sicurezza e privacy, quindi fai clic sulla  scheda Privacy.Scorri verso il basso per trovare Accesso completo al disco e selezionalo.Fai clic sull’icona del lucchetto nell’angolo in basso a sinistra delle finestre per apportare modifiche alla privacy.Viene richiesto di inserire la password di accesso per consentire le modifiche alla sicurezza e alla privacy. Fai clic su Sblocca. A seconda della licenza, verificare anche queste voci:
      • ThreatDown Endpoint Agent: visualizza se si è iscritti a ThreatDown Endpoint Detection and Response.
      • ThreatDown Protection: visualizza se si è abbonati a ThreatDown Endpoint Detection and Response o ThreatDown Endpoint Protection.
        Nota: se non vedi nessuno degli elementi precedenti, trascina e rilascia l’icona dell’applicazione ThreatDown dalla pagina ThreatDown visualizzata all’elenco Accesso completo al disco.
    • Fai clic sull’icona del lucchetto nell’angolo in basso a sinistra per impedire ulteriori modifiche alle impostazioni.


Termine dell’installazione

Gli endpoint vengono assegnati al gruppo predefinito e utilizzano la policy predefinita. Possono essere spostati in un altro gruppo (e ad un’altra policy) al termine dell’installazione, tramite gli appositi comandi della console.

Installazione remota da riga di comando

È possibile utilizzare il comando del terminale riportato di seguito per eseguire un’installazione trasparente per l’utente sugli endpoint Mac (per esempio tramite un RMM):

  • sudo -E /usr/sbin/installer -pkg Setup.MBEndpointAgent__aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa___.pkg -target /