Deep Security Agentに関連する設定は、[管理]→[システム設定]→[エージェント]にあります。次のものが含まれます。
ヒント
ヒント
エージェントに関連するシステム設定の変更は、Deep Security APIを使用して自動化できます。例については、ポリシー、コンピュータ、およびシステム設定の設定を参照してください。

ホスト名

コンピュータをIPで登録していてIPの変更が検出された場合、コンピュータの [ホスト名] を自動的に更新: IPの変更が検出された場合に、コンピュータの [ホスト名] フィールドに表示されるIPアドレスをアップデートします
注意
注意
Deep Security Managerは、IPアドレスまたはホスト名ではなく、一意のフィンガープリントを使用して保護されたコンピュータを識別します。

エージェント起動アクティベーション(AIA)

Deep Security Managerで新しいエージェントを有効にするには、クラウドコネクタを使用するか、[コンピュータ]で手動で新しいコンピュータを追加します。また、エージェントが自動的にアクティベートするように設定することもできます。も参照エージェント起動および通信を使用してエージェントをアクティベートおよび保護します。
Agentからのリモート有効化を許可: エージェントが自身にアクティベーションを行うためにマネージャに接続できるようにします。次に、エージェント起動によるアクティベーションを実行できるコンピュータを選択します。
  • 任意のコンピュータ: すでに [コンピュータ] に登録されているコンピュータであるかどうか。
    警告
    警告
    許可されていないエージェントのアクティベーションを防止するには、インターネットなどの信頼されないネットワークからのDeep Security Managerへの接続がネットワークで許可されている場合は、このオプションを有効にしないでください。同様にDeep Security Agentを不正な管理者から保護するために、では、認証されたマネージャのみでエージェントのアクティベーションを許可します。
  • 既存のコンピュータ:はすでに[コンピュータ]にリストされているコンピュータのみ。
  • 次のIPリストにあるコンピュータ: 指定したIPリストとIPアドレスが一致するコンピュータのみを対象とします。
また、開始動作を設定します。
  • 割り当てるポリシー (有効化スクリプトによってポリシーが割り当てられていない場合): アクティベーション時にコンピュータに割り当てるセキュリティポリシー。この設定は、エージェントのアクティベーションスクリプトまたはAIAイベントベースのタスクでポリシーが指定されていない場合にのみ適用されます。
  • [Agentによるホスト名指定を許可: エージェントは、起動時にDeep Security Managerにそれを提供することで、そのホスト名を指定することができます。
  • 同じ名前のコンピュータがすでに存在する場合: 新しいコンピュータが既存のコンピュータと同じクライアントGUIDまたは証明書を使用しようとした場合に、アクティベーション試行を処理する方法:
    • 有効化を許可しない: コンピュータを起動しないでください。
    • [同じ名前で新規コンピュータを有効化: 新しい名前を使用して新しいコンピュータオブジェクトを作成し、コンピュータを有効にします。
    • [既存のコンピュータの再有効化: 同じ名前を使用して既存のコンピュータオブジェクトを再利用し、コンピュータを有効にします。
    この設定は、物理コンピュータ、Azure仮想マシン (VM)、Google Cloud Platform (GCP) VM、またはVMware VMにのみ適用されます。(AWSは、Deep Security ManagerがすべてのAWSインスタンスを区別するために使用するユニークなインスタンスIDを提供するため、これらのコンピュータに対してはこの設定は無視されます。)
  • [クローンAgentの再有効化:] クローンを新しいコンピュータとして再アクティブ化し、ポリシーの割り当て (アクティベーションスクリプトでポリシーが割り当てられていない場合)で選択されたポリシーを割り当てます。これは、コンピュータのハードディスクを再イメージングする場合や、すでにアクティブ化されたDeep Securityエージェントを含む「ゴールデンイメージ」を使用して新しいVMインスタンスやAMIを展開する場合に便利です。同じソフトウェアイメージをコピーして展開しても、各コンピュータが一意のエージェントGUIDを持つことを保証します。
    クローンは、最初のアクティベーションの後、最初のハートビート中に検出されます。別のコンピュータで同じエージェントGUIDが使用されている場合、マネージャはクローンを検出してそれらのコンピュータを再度有効化します。
    注意
    注意
    このオプションを無効にすると、クローンは自動的に再有効化されません。マネージャを使用して手動でアクティベートするか、アクティベーションスクリプトを使用する必要があります。
    この設定は、AWSインスタンス、Azure仮想マシン (VM)、Google Cloud Platform (GCP) VM、または [コンピュータ]→[アカウントを追加]を使用して追加したVMware VMにのみ適用されます。
  • 不明なAgentの再有効化: 削除された (以前にアクティベートされていた) コンピュータを新しいコンピュータとして再有効化します (再接続した場合)。元のコンピュータの割り当てられたポリシーまたはルールは、初期設定ではコンピュータに再度割り当てられません。手動で再度割り当てたり、次のようなツールを使用する必要があります。イベントベースのタスク自動的に割り当てます。この設定は、非アクティブなエージェントクリーンナップと同時に使用すると便利です。削除された任意のコンピュータが自動的に再アクティベートされることがあります。も参照してください非アクティブなエージェントのクリーンナップを使用したオフラインのコンピュータの削除の自動化
    以前に知られていたエージェントは、最初のアクティベーション後、次のハートビート中に検出されます。ハートビートにエージェントGUID (アクティベーション前のアクティベーションを示している) があり、そのコンピュータが現在 [コンピュータ]にリストされていない場合、マネージャはコンピュータを再アクティベーションします。
    注意
    注意
    以前のイベントメッセージは引き続き古いコンピュータオブジェクトにリンクされますが、新しいメッセージオブジェクトにリンクされることはありません。
  • Agent有効化トークン: 任意。エージェントのアクティベーションシークレット指定する場合、エージェントはアクティベーション時に同じ値を指定する必要があります。
    注意
    注意
    Deep Security Managerがマルチテナントの場合、この設定はプライマリテナントにのみ適用されます。
    これを設定するには、エージェント起動スクリプトの token パラメータを次のように使用します。
    /opt/ds_agent/dsa_control -a dsm://172.16.0.5:4120/ "token:secret"

Agentのアップグレード

Agentを有効化するときに自動的にアップグレードする: アクティベーション時に、Deep Security Agentを、Deep Security Managerと互換性のある最新のソフトウェアバージョンにアップグレードします。Linuxコンピュータのみ。アクティベーション時にエージェントを自動的にアップグレードするを参照してください。

非アクティブなAgentのクリーンナップ

あなたは (多くのオフラインコンピュータを持っている場合であること、のDeep Security Managerの), と通信していないコンピュータが自動的に非アクティブなエージェントのクリーンアップを使用して [コンピュータ] からそれらを削除することができます。この設定は、現在未知のエージェントを再アクティベートする場合に便利です。非アクティブなエージェントのクリーンナップを使用したオフラインのコンピュータの削除の自動化も参照してください。
次の期間を超過した非アクティブなAgentを削除する: コンピュータを非アクティブにして削除するまでの時間。

データプライバシー

ネットワークイベントのパケットデータの取り込みを許可: この設定では、エージェントがDeep Security Managerにパケットデータをキャプチャし、侵入防御およびファイアウォールのイベントを検出します。この設定のオプションは次のとおりです。
  • はい (暗号化されたトラフィックを除く): 初期設定のオプションです。すべての暗号化されていないパケットデータがDeep Security Managerに送信されます。
  • はい (すべてのトラフィック): すべてのパケットデータがDeep Security Managerに送信され、暗号化されたパケットデータが含まれます。暗号化された接続でパケットデータを取得するためのリソース要件は、暗号化されていない接続よりも高くなります。このオプションを選択してワークロードのパフォーマンスに問題が発生した場合は、暗号化されたトラフィックを除外するオプションに切り替えることを検討してください。
  • No: パケットデータはエージェントからDeep Security Managerにキャプチャまたは送信されません。規制された環境にいる顧客や、ネットワークコンテンツのDeep Security Managerへの送信を懸念する顧客は、この設定を無効にすることができます。Deep Security Managerに送信されるデータの詳細については、Deep Security 20.0 データ収集通知を参照してください。
注意
注意
この機能は、 Deep Security Agent 12.5.0.1001以降でサポートされています。

AgentレスによるvCloud保護

ApplianceによるvCloud仮想マシンの保護を許可: は、VMwareのvCloudの仮想マシンを代わりに (またはそれに加えて) のDeep Security AgentのDeep Security仮想アプライアンスによって保護することを可能にします。Deep Security Managerがマルチテナントの場合、テナントはそれらのVMのセキュリティポリシーを設定します。