Installer la Protection des Points de Terminaison avec un Script¶
L'installation basée sur un script installe boost-endpoint-cli et son démon de fond sur les points de terminaison des développeurs. Utilisez cette option pour les points de terminaison qui n'utilisent pas l'extension VS Code, ou lorsque vous souhaitez gérer de manière centralisée le déploiement de la protection des points de terminaison sur les points de terminaison Windows, macOS et Linux.
C'est l'option recommandée pour un déploiement à l'échelle de l'organisation via un outil EDR ou MDM.
Exigences¶
Avant d'installer la Protection des Points de Terminaison avec un script, assurez-vous d'avoir :
- Le package de script de Protection des Points de Terminaison de votre responsable de compte Boost.
- Les scripts PowerShell pour Windows (
.ps1) pour les points de terminaison Windows. - Les scripts shell (
.sh) pour les points de terminaison macOS et Linux. - Des privilèges d'administrateur sur Windows, ou des privilèges root sur macOS et Linux.
- Une clé API Boost avec la permission Endpoint. Vous pouvez en générer une en suivant Comment créer une clé API, ou en demander une à un membre de votre équipe AppSec.
Options de Déploiement¶
Vous pouvez exécuter les scripts de deux manières :
- Installation locale - Exécutez les scripts manuellement sur un seul point de terminaison. Cela est utile pour tester le flux d'installation ou valider la configuration.
- Déploiement EDR ou MDM - Téléchargez et exécutez les scripts via un outil de déploiement de points de terminaison pour installer la Protection des Points de Terminaison sur plusieurs points de terminaison des développeurs.
Remarque : Boost a testé le déploiement de scripts avec des outils EDR tels que SentinelOne. Les étapes exactes pour télécharger, configurer et exécuter des scripts varient selon le fournisseur, y compris SentinelOne, CrowdStrike et d'autres outils similaires.
Configuration¶
Les scripts d'installation et de mise à niveau sont configurés avec des variables d'environnement.
| Variable | Requis | Description |
|---|---|---|
BOOST_API_KEY |
Oui | Clé API Boost avec la permission Endpoint. |
BOOST_INTERVAL |
Non | À quelle fréquence le point de terminaison est scanné et les mises à jour sont envoyées à Boost, en secondes. Par défaut : 43200 secondes, soit 12 heures. |
BOOST_CLI_VERSION |
Non | Version de boost-endpoint-cli à installer. Omettez cette variable pour installer la dernière version disponible. |
BOOST_ENDPOINT |
Non | URL de l'endpoint API Boost. Par défaut : https://api.boostsecurity.io. |
RUST_LOG |
Non | Installation shell uniquement. Niveau de journalisation écrit dans la configuration du démon. Par défaut : info. Utilisez debug ou trace pour le dépannage. |
L'installateur prend également en charge BOOST_CLI_URL et BOOST_CLI_BIN. Utilisez ces options uniquement lorsque Boost vous y invite.
Vous pouvez fournir ces variables de deux manières :
- Définissez les variables avant d'exécuter le script, comme montré dans les exemples ci-dessous.
- Ajoutez les variables directement dans le script avant de le déployer via votre outil EDR ou MDM.
Installer¶
Utilisez le script d'installation pour le système d'exploitation du point de terminaison.
Windows¶
Pour un déploiement centralisé, ajoutez les variables directement à votre copie de install.ps1 avant de la télécharger dans votre outil EDR ou MDM :
$env:BOOST_API_KEY = '...'
$env:BOOST_INTERVAL = '43200'
$env:BOOST_CLI_VERSION = '1.2.3'
Puis configurez l'outil EDR ou MDM pour exécuter le script avec des privilèges administratifs :
powershell -ExecutionPolicy Bypass -File install.ps1
Alternativement, si votre outil de déploiement vous permet de passer des variables et des commandes dans un seul champ, vous pouvez exécuter la commande en une ligne comme montré ci-dessous :
$env:BOOST_API_KEY='...'; $env:BOOST_INTERVAL='43200'; $env:BOOST_CLI_VERSION='1.2.3'; powershell -ExecutionPolicy Bypass -File install.ps1
Pour un test local sur un seul point de terminaison, exécutez PowerShell en tant qu'administrateur et utilisez la même commande.
Si BOOST_CLI_VERSION n'est pas défini, le script d'installation télécharge et installe la dernière version disponible.
macOS et Linux¶
Pour un déploiement centralisé, ajoutez les variables directement à votre copie de install.sh avant de la télécharger dans votre outil EDR ou MDM :
readonly BOOST_API_KEY="..."
BOOST_INTERVAL="43200"
BOOST_CLI_VERSION="1.2.3"
Puis configurez l'outil EDR ou MDM pour exécuter le script avec des privilèges root :
sh install.sh
Alternativement, si votre outil de déploiement vous permet de passer des variables et des commandes dans un seul champ, vous pouvez exécuter la commande en une ligne comme montré ci-dessous :
BOOST_API_KEY=... BOOST_INTERVAL=43200 BOOST_CLI_VERSION=1.2.3 sh install.sh
Pour un test local sur un seul point de terminaison, exécutez la même commande avec sudo :
Si BOOST_CLI_VERSION n'est pas défini, le script d'installation télécharge et installe la dernière version disponible.
Mise à Niveau¶
Utilisez le script de mise à niveau pour mettre à jour boost-endpoint-cli après qu'il ait déjà été installé. Le script de mise à niveau délègue au flux de mise à jour automatique du binaire installé, télécharge la dernière version depuis le CDN Boost, vérifie son empreinte SHA-256, et remplace le binaire sur place.
Vous pouvez également utiliser le script de mise à niveau pour faire pivoter la clé API, changer l'endpoint Boost, ou changer l'intervalle du démon. Définissez uniquement les variables que vous souhaitez changer.
Windows¶
Exécutez PowerShell en tant qu'administrateur :
powershell -ExecutionPolicy Bypass -File upgrade.ps1
Pour faire pivoter la clé API lors de la mise à niveau :
$env:BOOST_API_KEY = '...'
powershell -ExecutionPolicy Bypass -File upgrade.ps1
macOS et Linux¶
Mettez à jour uniquement le binaire :
sudo sh upgrade.sh
Mettez à jour le binaire et faites pivoter la clé API :
sudo BOOST_API_KEY=... sh upgrade.sh
Mettez à jour le binaire et changez l'intervalle de scan :
sudo BOOST_INTERVAL=600 sh upgrade.sh
Désinstaller¶
Utilisez le script de désinstallation pour arrêter et supprimer boost-endpoint-cli et son démon.
Windows¶
Exécutez PowerShell en tant qu'administrateur :
powershell -ExecutionPolicy Bypass -File uninstall.ps1
macOS et Linux¶
Exécutez le script de désinstallation shell en tant que root :
sudo sh uninstall.sh
Notes de Sécurité¶
- Utilisez une clé API limitée à la permission Endpoint, et stockez-la en toute sécurité dans votre outil de déploiement EDR ou MDM.
- Lors de l'installation sur macOS et Linux,
BOOST_API_KEYest brièvement passé du script àself-installen tant qu'argument de ligne de commande et peut être temporairement visible dans les lignes de commande des processus. Ajouter la clé directement dansinstall.shpeut éviter de l'exposer dans l'environnement shell parent, mais stocke la clé dans le script ou le payload de déploiement. - Lors de l'installation sur Windows,
BOOST_API_KEYest lu depuis l'environnement de processus du script plutôt que d'être passé sur la ligne de commande. Ajouter la clé directement dansinstall.ps1la définit toujours dans cet environnement de processus, et elle peut être visible pour des outils qui capturent des blocs d'environnement de processus.