Verwenden Sie Bereitstellungsskripts, um Computer hinzuzufügen und zu schützen

Ansichten:

Wichtig

Um das Trend Vision One Endpunkt-Sicherheitsagent mit Server- und Workload Protection-Funktionen mithilfe eines Bereitstellungsskripts bereitzustellen, konfigurieren und laden Sie das Bereitstellungsskript in Endpoint Inventory herunter. Für Weitere Informationen siehe Bereitstellungsskript ausführen.

Die folgenden Schritte gelten nicht mehr als gültig und sind nur zur Referenz enthalten.

Einen Computer zu Ihrer Liste der geschützten Ressourcen in Server- und Workload Protection hinzuzufügen und Schutz zu implementieren, ist ein mehrstufiger Prozess. Fast alle diese Schritte können über die Befehlszeile auf dem Computer ausgeführt und daher geskriptet werden. Die Server- und Workload Protection-Konsole enthält einen Assistenten zum Schreiben von Bereitstellungsskripts, der über das Support-Menü zugänglich ist.

Die durch Server- und Workload Protection generierten Bereitstellungsskripts führen Folgendes aus:

Installieren Sie den Agenten auf einer ausgewählten Plattform
Agent aktivieren
Dem Agenten eine Richtlinie zuweisen

Bereitstellungsskript generieren

Hinweis

Das generierte Bereitstellungsskript ändert sich je nach Region, daher können Sie nicht dasselbe Bereitstellungsskript in verschiedenen Regionen verwenden.

Prozedur

Bevor Sie beginnen: a. Stellen Sie sicher, dass Ihre Einstellungen zur Versionskontrolle des Agents wie gewünscht konfiguriert sind. Siehe Konfigurieren der Versionskontrolle des Agents für Details. b. Stellen Sie sicher, dass Sie die agenteninitiierte Aktivierung (AIA) aktiviert haben. AIA ist erforderlich, wenn Ihr Bereitstellungsskript den Agenten nach der Installation aktivieren soll. Siehe Aktivieren und Schützen von Agenten mit agenteninitiierter Aktivierung und Kommunikation für Details.
Klicken Sie in der oberen rechten Ecke der Server- und Workload Protection-Konsole auf Administration → Updates → Software → Local → Generate Deployment Scripts.
Wählen Sie die Plattform aus, auf der Sie die Software bereitstellen.
Wählen Sie Activate agent automatically after installation aus. Agenten müssen aktiviert werden, bevor Sie eine Richtlinie anwenden, um den Computer zu schützen. Die Aktivierung registriert den Agenten während einer ersten Kommunikation beim Manager.
Optional können Sie die Sicherheitsrichtlinie, Computergruppe, Relay Group, Proxy to contact Server & Workload Protection und Proxy to contact Relay(s) auswählen.
Optional (aber sehr empfohlen), wählen Sie Validate Server & Workload Protection TLS certificate. Wenn diese Option ausgewählt ist, wird überprüft, ob Server- und Workload Protection ein gültiges TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwendet, wenn die Agentensoftware heruntergeladen wird, was dazu beitragen kann, einen "Man-in-the-Middle"-Angriff zu verhindern. Sie können überprüfen, ob Server- und Workload Protection ein gültiges CA-Zertifikat verwendet, indem Sie in der Server- und Workload Protection-Konsole in der Browserleiste nachsehen.
Optional (aber sehr empfohlen), wählen Sie Validate the signature on the agent installer, um das Bereitstellungsskript eine digitale Signaturprüfung der Agenten-Installationsdatei durchführen zu lassen. Wenn die Prüfung erfolgreich ist, wird die Agenteninstallation fortgesetzt. Wenn die Prüfung fehlschlägt, wird die Agenteninstallation abgebrochen.
Bevor Sie diese Option aktivieren, beachten Sie Folgendes:
- Diese Option wird nur für Linux- und Windows-Installer (RPM-, DEB- oder MSI-Dateien) sowie macOS (PKG-Dateien) unterstützt.
- (Nur Linux) Diese Option erfordert, dass Sie den öffentlichen Signierschlüssel auf jeden Agent-Computer importieren, auf dem das Bereitstellungsskript ausgeführt wird. Weitere Informationen finden Sie unter Signatur einer RPM-Datei überprüfen und Signatur einer DEB-Datei überprüfen.
Der Bereitstellungsskript-Generator zeigt das Skript an. Klicken Sie auf "In die Zwischenablage kopieren" und fügen Sie das Bereitstellungsskript in Ihr bevorzugtes Bereitstellungstool ein, oder klicken Sie auf Save to File.

Nächste Schritte

Hinweis

Die von Server- und Workload Protection für Windows-Agent-Bereitstellungen generierten Bereitstellungsskripts erfordern Windows PowerShell Version 4.0 oder höher. Sie müssen PowerShell als Administrator ausführen und möglicherweise den folgenden Befehl ausführen, um Skripts ausführen zu können: Set-ExecutionPolicy RemoteSigned

Hinweis

Wenn Sie einen Agent auf einer frühen Version von Windows oder Linux bereitstellen möchten, die mindestens PowerShell 4.0 oder curl 7.34.0 nicht enthält, stellen Sie sicher, dass frühes TLS auf dem Manager und den Relays erlaubt ist. Siehe Bestimmen, ob TLS 1.2 erzwungen wird für Details. Bearbeiten Sie außerdem das Bereitstellungsskript wie folgt:

Linux: Entfernen Sie das --tls1.2-Tag.
Windows: Entfernen Sie die #requires -version 4.0-Zeile. Entfernen Sie auch die [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;-Zeile, damit frühes TLS (Version 1.0) zur Kommunikation mit dem Manager verwendet wird.

Wenn Sie Amazon Web-Services verwenden und neue Amazon EC2-, Amazon WorkSpace- oder VPC-Instanzen bereitstellen, kopieren Sie das generierte Skript und fügen Sie es in das User Data-Feld ein. Dadurch können Sie vorhandene Amazon Machine Images (AMIs) starten und den Agenten automatisch bei der Inbetriebnahme installieren und aktivieren. Die neuen Instanzen müssen in der Lage sein, auf die in den generierten Bereitstellungsskripts angegebenen URLs zuzugreifen.

Beim Kopieren des Bereitstellungsskripts in das User Data-Feld für eine Linux-Bereitstellung, kopieren Sie das Bereitstellungsskript unverändert in das "Benutzerdaten"-Feld, und CloudInit wird das Skript mit sudo ausführen. (Bei Fehlern werden diese in /var/log/cloud-init.log vermerkt.)

Hinweis

Das User Data-Feld wird auch mit anderen Diensten wie CloudFormation verwendet. Weitere Informationen finden Sie unter: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

Fehlerbehebung und Tipps

Wenn Sie versuchen, den Agenten über PowerShell (x86) bereitzustellen, erhalten Sie den folgenden Fehler: C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again. Das PowerShell-Skript erwartet, dass die Umgebungsvariable für ProgramFiles auf "Programmdateien" und nicht auf "Programmdateien (x86)" gesetzt ist. Um das Problem zu beheben, schließen Sie PowerShell (x86) und führen Sie das Skript als Administrator in PowerShell aus.
Das Bereitstellungsskript kann modifiziert werden, um Agent-Updates anstelle von Neuinstallationen durchzuführen, indem rpm -ihv in rpm -U geändert wird.
Wenn es erforderlich ist, die spezifische Agentenversion zu steuern, die von den Bereitstellungsskripts verwendet wird, gibt es zwei Optionen, um dieses Ziel zu erreichen:
- Verwenden Sie die Versionskontrolle für Agenten. Weitere Informationen finden Sie unter Agenten-Versionskontrolle konfigurieren. Dieser Ansatz hat den Vorteil, dass Sie die Agentenversion nicht in jedes Skript fest codieren müssen, was für einige Bereitstellungen eine flexiblere Vorgehensweise sein kann.
- Entweder ändern Sie das Bereitstellungsskript oder schreiben Sie Ihre eigenen Skripte, um die spezifischen Anforderungen Ihrer Bereitstellung zu erfüllen. Einzelheiten zum URL-Format zum Herunterladen von Agenten finden Sie hier URL-Format für den Download des Agenten.
Anstatt die vom Manager generierten Bereitstellungsskripts zu verwenden, können Sie Ihre eigene Automatisierungsmethode zusammen mit einer Agent-Download-URL verwenden, um den Download und die Installation des Agents zu automatisieren. Weitere Informationen finden Sie unter URL-Format für den Download des Agents.