Deep Security Managerをインストールする

開始前の準備

1. マネージャのシステム要件を確認する: システム要件を参照してください。
2. データベースを準備する:: 詳細は、データベースの要件、データベースサーバのインストール、およびデータベースの構成を参照してください。
3. オープンポート:: 適切なポート番号で管理者との間で送受信する送受信を許可してください。Deep Securityのポート番号を参照してください。
4. URLを許可する: マネージャサーバとの間のURLの制限を計画している場合は、Deep Security URLsに記載されているURLを許可してください。
5. 時計を同期する:: マネージャのサーバのOSクロックをデータベースの時計と同期します。両方のコンピュータで同じNTPサービスを使用する必要があります。
6. DNSを構成する:: 適切なレコードでDNSを設定して、マネージャ、エージェント、アプライアンス、およびリレーがDNS検索クエリを実行できるようにします。または、IPアドレスを使用するか、マネージャのhostsファイルにエントリを追加します。サーバのDNS名は、0000-dsm.example.comのように数字から始まることはできません。存在する場合は、インストールログに次の情報が表示されます。java.io.IOException: DNSName components must begin with a letter
7. マネージャソフトウェアをダウンロード:: はhttps://help.deepsecurity.trendmicro.com/software.htmlで利用可能です。
8. マネージャのインストーラファイルのデジタル署名を確認::については、インストーラーファイル (EXE、MSI、RPM、またはDEBファイル) の署名を確認するを参照してください。
9. 準備チェックを実行する::については、準備チェックを実行するを参照してください。

Managerをインストールする

新規インストールまたはアップグレードの選択

• [新規インストール (既存のデータベースまたは新しいデータベースを使用可能)]: このオプションはDeep Securityソフトウェアをインストールし、データベースを初期化します。
• [アップグレード]: このオプションでは、新しいDeep Securityソフトウェアがインストールされますが、既存のコンピュータの詳細、ポリシー、侵入防御ルール、ファイアウォールルールなどは保持されます。必要に応じてデータベーススキーマが更新されます。必要に応じて、データは新しい形式に移行されます。

警告 [新規インストール (既存のデータベースまたは新しいデータベースを使用可能)]を選択すると、インストーラーは以前のインストールからのすべてのデータを削除します。

データベース接続の詳細の設定

1. [データベース]画面で、データベースの構成で設定した[Microsoft SQL Server]、[Oracle Database]、または[PostreSQL]のいずれかを選択します。
2. [ホスト名]フィールドに、データベースホスト名を入力します。
3. [データベース名]に、Deep Securityで使用するために作成した空のデータベースの名前を入力します。
4. [Microsoft SQL Server]を選択した場合、マネージャの接続設定は認証の種類によって異なります。

   • SQL Server認証:: SQLユーザの[ユーザ名]と[パスワード]を入力してください。
   • Active Directory認証:: Active Directoryユーザの[ユーザ名](ドメインなし) と[パスワード]を入力し、[詳細]をクリックして[ドメイン]を別々に入力します。Active Directory認証はKerberosまたはWindowsドメイン認証とも呼ばれます。

   注意 SQL Serverの接続の問題も参照してください。

   注意 Microsoft SQL Server では、Windows ワークグループ認証はサポートされていません。

5. [Oracle Database] または [PostgreSQL]を選択した場合は、Deep Securityで使用するために作成した空のデータベースに対する権限を持つデータベース・ユーザのユーザ名とパスワードを入力します。

マスターキーの設定

• [後で設定]。このオプションを選択すると、マスターキーは生成されません。代わりに、インストーラはハードコードされたシードを使用して上記のパスワードを暗号化します。暗号化されたパスワードの先頭には $1$ が付いています (例: database.Oracle.password=$1$***)。後で、ハードコードされたシードの代わりにマスターキーを使用することにしたければ、 dsm_c -action masterkey コマンドを使用して切り替えることができます。詳細については、コマンドラインの基本を参照してください。
• [Amazon Web Services (AWS) Key Management Service (KMS を使用する])。これはローカルファイルに依存しないため、キーをプロビジョニングする推奨方法です。このオプションを使用すると、インストーラーはAWS KMSと通信して256ビットの対称顧客マスターキー (CMK)を取得し、上記のパスワードを暗号化します。まだAWS KMSにCMKがない場合は、これらのAWSの指示に従って作成してください。マネージャのインストーラーの[Amazon Resource Name (ARN)]フィールドにCMKのARNを指定します。ARNを見つけるには、これらのAWSの指示に従ってください。暗号化されたパスワードは$DMK$で始まり、例えばdatabase.Oracle.password=$DMK$***です。
• [ローカル環境変数 (自動作成) を使用する]を使用します。このオプションを選択すると、インストーラはマスターキーを生成し、これを使用して前述のパスワードを暗号化します。暗号化されたパスワードのプレフィックスは$DMK$です。インストーラは、[秘密]フィールドで指定したシークレットを使用してマスターキーを暗号化し、暗号化されたキーをnameがLOCAL_KEY_SECRETのローカル環境変数に格納します。秘密には次のものを含める必要

  • 大文字
  • 小文字の手紙
  • 数字
  • 特殊文字
  • 8〜64文字の間

  警告 このシークレットは、Deep Security Managerの初期設定時およびの追加マネージャノードのインストール時に必要になるため、削除しないでください。

  注意 LOCAL_KEY_SECRET値は、データベースを暗号化する実際のマスターキーを生成する目的で、salt（鍵生成プロセスに提供される一意の追加データ）です。鍵がなければ、データベースを盗む人はそれを復号化できません。塩がなければ、鍵自体は再計算できません。このシークレットのクライアント管理部分は、キー生成プロセスを独自の追加データでカスタマイズするためのオプションとして提供されています。しかし、塩の有無にかかわらず、実際のキーはクリアテキストでは保存されません。また、この文字列は、読み取り専用の権限を持つファイルに保存されます。

同じ場所に配置されたリレーをインストールするかどうかを選択する

• どちらかの場所でAgentインストーラが見つかった場合、Managerのインストーラは、最新のRelayをインストールするよう提案します。

  ヒント 次の理由から、トレンドマイクロではサーバ上にRelayをインストールすることを推奨します。 ManagerにとってローカルなRelayを提供する。 Relayがインストールされた古いコンピュータを廃止した場合も、少なくとも1つのRelayが常に使用可能となる。

  警告 Managerのインストーラがエージェントをそのサーバに追加しても、[それはRelay機能のみを有効にします。デフォルトのセキュリティ設定は適用されません。]サーバを保護するには、Deep Security Managerで、そのエージェントにセキュリティポリシーを適用します。

• エージェントのインストーラが見つからない場合は、エージェントをダウンロードしてインストールしたり、後でリレーすることができます。

インストールをテストする (マネージャにログインする)

自己署名証明書の置き換え