Ansichten:
Wichtig
Wichtig
AWS-Konten in Trend Vision One werden jetzt von der Cloud-Konten-App verwaltet. Um neue AWS-Konten hinzuzufügen, siehe Hinzufügen eines AWS-Kontos mit CloudFormation.
Sie können weiterhin APIs verwenden, um neue Konten zu Server- und Workload Protection hinzuzufügen. Allerdings empfiehlt Trend Micro, die Cloud Accounts-App zu verwenden, die Zugriff auf fortschrittlichere Cloud-Sicherheits- und XDR-Funktionen bietet. Dieses Thema dient nur als Referenz.
Sie können den automatischen Schutz in Server- und Workload Protection für neue Instanzen einrichten, die von AWS Auto Scaling erstellt werden.
Jede von Auto Scaling erstellte Instanz muss einen Agenten installiert haben. Es gibt zwei Möglichkeiten, dies zu tun: Sie können einen vorinstallierten Agenten in die EC2-Instanz aufnehmen, die zur Erstellung des AMI verwendet wird, oder Sie installieren den Agenten, indem Sie ein Bereitstellungsskript in die Startkonfiguration für das AMI einfügen. Jede Option hat Vor- und Nachteile:
  • Wenn Sie einen vorinstallierten Agenten einbeziehen, werden Instanzen schneller hochgefahren, da der Agent nicht heruntergeladen und installiert werden muss. Der Nachteil ist, dass die Agentensoftware möglicherweise nicht die neueste Version ist. Um dieses Problem zu umgehen, können Sie die Funktion Upgrade bei Aktivierung aktivieren.
  • Wenn Sie ein Bereitstellungsskript verwenden, um den Agenten zu installieren, wird immer die neueste Version der Agentensoftware von Server- und Workload Protection bezogen.

Agent vorinstallieren Übergeordnetes Thema

Wenn Sie bereits eine EC2-Instanz mit einem Agenten konfiguriert haben, können Sie diese Instanz verwenden, um das AMI für Auto Scaling zu erstellen. Bevor Sie das AMI erstellen, müssen Sie den Agenten auf der EC2-Instanz deaktivieren und die Instanz stoppen:
dsa_control -r
Jede neue EC2-Instanz, die durch Auto Scaling erstellt wird, muss ihren Agenten aktiviert haben und eine Richtlinie darauf angewendet werden, falls sie noch keine hat. Es gibt zwei Möglichkeiten, dies zu tun:
  • Sie können ein Bereitstellungsskript erstellen, das den Agenten aktiviert und optional eine Richtlinie anwendet. Fügen Sie dann das Bereitstellungsskript zur AWS-Startkonfiguration hinzu, damit es ausgeführt wird, wenn eine neue Instanz erstellt wird. Anweisungen finden Sie im Abschnitt "Installieren Sie den Agenten mit einem Bereitstellungsskript" unten, aber lassen Sie den Abschnitt des Bereitstellungsskripts weg, der den Agenten abruft und installiert. Sie benötigen nur den Abschnitt dsa_control -a des Skripts.
Hinweis
Hinweis
Damit die Bereitstellungsskripts funktionieren, muss die agenteninitiierte Kommunikation in Server- und Workload Protection aktiviert sein. Weitere Informationen zu dieser Einstellung finden Sie unter Aktivieren und Schützen von Agenten mit agenteninitiierter Aktivierung und Kommunikation
  • Sie können eine ereignisbasierte Aufgabe in Server- und Workload Protection einrichten, die den Agenten aktiviert und optional eine Richtlinie anwendet, wenn eine Instanz gestartet wird und das Ereignis "Computer erstellt (vom System)" auftritt.

Installieren Sie den Agenten mit einem Bereitstellungsskript Übergeordnetes Thema

Server- und Workload Protection bietet die Möglichkeit, benutzerdefinierte Bereitstellungsskripts zu erstellen, die Sie ausführen können, wenn EC2-Instanzen erstellt werden. Wenn die EC2-Instanz keinen vorinstallierten Agenten enthält, sollte das Bereitstellungsskript den Agenten installieren, aktivieren, eine Richtlinie anwenden und optional die Maschine einer Computergruppe und einer Relay-Gruppe zuweisen.
Tipp
Tipp
Sie können Bereitstellungsskripts generieren, um die Agenteninstallation mithilfe der Server- und Workload Protection-API zu automatisieren. Weitere Informationen finden Sie unter Bereitstellungsskript generieren.
Damit das Bereitstellungsskript funktioniert:
Um den automatischen Schutz für Instanzen mithilfe eines Bereitstellungsskripts einzurichten:

Prozedur

  1. Melden Sie sich bei der Server- und Workload Protection-Konsole an.
  2. Wählen Sie im Menü Support in der oberen rechten Ecke Deployment Scripts aus.
  3. Wählen Sie Ihre Plattform aus.
  4. Wählen Sie Activate Agent automatically after installation.
  5. Wählen Sie den entsprechenden Sicherheitsrichtlinie, Computergruppe und Relay Group aus.
  6. Klicken Sie auf Copy to Clipboard.
  7. Gehen Sie zur AWS-Startkonfiguration, erweitern Sie Advanced Details und fügen Sie das Bereitstellungsskripts in User Data ein.
    aws-autoscaling-and-ds-launchconfig_2=29683548-1e58-4790-b9b2-2fe764e16090.png

Nächste Schritte

Hinweis
Hinweis
Wenn Sie Probleme haben, das PowerShell-Bereitstellungsskript auf einem Microsoft Windows-basierten AMI auszuführen, können die Probleme dadurch verursacht werden, dass das AMI von einer laufenden Instanz erstellt wurde. AWS unterstützt die Erstellung von AMIs aus laufenden Instanzen, aber diese Option deaktiviert ALLE Ec2Config-Aufgaben, die beim Start auf jeder aus dem AMI erstellten Instanz ausgeführt würden. Dieses Verhalten verhindert, dass die Instanz versucht, das PowerShell-Skript auszuführen.
Hinweis
Hinweis
Wenn Sie ein AMI unter Windows erstellen, müssen Sie die Benutzerdatenverarbeitung manuell oder als Teil Ihres Image-Erstellungsprozesses erneut aktivieren. Die Benutzerdatenverarbeitung läuft nur beim ersten Start des Windows-Basis-AMI, es sei denn, es wird ausdrücklich anders angegeben (sie ist während des ersten Startvorgangs deaktiviert), sodass Instanzen, die aus einem benutzerdefinierten AMI erstellt wurden, die Benutzerdaten nicht ausführen, es sei denn, die Funktion wird erneut aktiviert. Konfigurieren einer Windows-Instanz mit dem EC2Config-Dienst enthält eine detaillierte Erklärung und Anweisungen, wie Sie die Funktion zurücksetzen oder sicherstellen können, dass sie beim ersten Start nicht deaktiviert ist. Der einfachste Mechanismus besteht darin, <persist>true</persist> in Ihre Benutzerdaten aufzunehmen, vorausgesetzt, Sie haben EC2Config Version 2.1.10 oder höher.

Löschen Sie Instanzen von Server- und Workload Protection infolge der automatischen Skalierung Übergeordnetes Thema

Nachdem Sie ein AWS-Konto in Server- und Workload Protection hinzugefügt haben, werden Instanzen, die aufgrund von Auto Scaling nicht mehr in AWS existieren, automatisch aus Server- und Workload Protection entfernt.