ビュー:
Deep SecurityからWorkload Securityへの移行は複数のステップを要するプロセスです。

前提条件

  • APIを使用して移行する場合は、Deep Security Manager 20.0.321 (20 LTS 2021-01-26) 以降を使用していることを確認してください。また、Deep Security Manager移行ツールを使用して移行する場合は、Deep Security Manager 20.0.513 (20 LTS Update 2021-10-14) 以降を使用していることを確認してください。
  • Deep Security エージェント 20.0.0-3445 (20 LTS Update 2021-11-24) 以降を使用していることを確認してください。その後、Workload Security コンソールで [管理]→[アップデート]→[ソフトウェア]→[ローカル] に移動し、アカウントに対応する Deep Security エージェント パッケージがあることを確認してください。
  • エージェントが移行をサポートするプラットフォームで実行されていることを確認してください:
    • エージェントプラットフォームサポート表 に、 Deep Security Manager 20でサポートされるエージェントプラットフォームを示します。
    • エージェントの移行は、Intelアーキテクチャ上のWindowsおよびLinuxプラットフォームでのみ検証されています。
    • Windows 2008 32ビット版ではエージェントの移行はサポートされていません。
  • Deep Security ManagerとWorkload Securityの機能の違いにより、エージェントを移行する前に以下を無効にしてください:
  • まだ行っていない場合は、Deep SecurityからWorkload Securityへの移行で説明されている以前の手順を完了してください。これには、Trend Cloud Oneアカウントの作成、APIキーの作成、およびWorkload Securityへのリンクの準備が含まれます。

移行ツールを使用してエージェントを移行する

Trend Vision One Endpoint Securityへの移行ツールは、以前はWorkload Securityへの移行ツールと呼ばれていました。このツールは、Trend Vision One Endpoint Security - サーバ& Workload ProtectionおよびTrend Cloud One - Endpoint & Workload Securityの両方の移行を可能にします。なお、ツール自体に加えて、関連するロール設定も名前が変更されています。
  1. Deep Security Managerコンソールで、[サポート]→[Trend Vision One Endpoint Securityへの移行]を選択します。
  2. 表示される[Trend Vision One Endpoint Securityへの移行]ページで、[Agent]タブを選択します。
  3. [コンピュータ] ページを使用した移行]を選択します。Deep Security[コンピュータ]ページが表示されます。
  4. 移行するコンピュータを1台以上選択します。
  5. [アクション]→[Trend Vision One Endpoint Securityへの移行]を選択してください。
  6. エージェントを移動する際に適用したい設定を指定し、[移行]をクリックしてください。
    • [セキュリティポリシー: Deep SecurityポリシーをWorkload Securityに移行し、移行したエージェントに同じポリシーを適用したい場合は、[移行済みポリシーを割り当てる]を選択してください。別のポリシーを割り当てたい場合は、[Trend Vision One Endpoint Securityからポリシーを選択してください]を選択し、新しいポリシーを選択してください。
    • コンピュータグループ: エージェントがWorkload Security内で配置されるコンピュータグループ。
    • Relayグループ: すべてのエージェントは、Workload SecurityのプライマリRelayグループに割り当てられます。
    • ServerおよびWorkload Protection Managerへの接続に使用するプロキシ: Workload Securityに接続する必要がある場合は、プロキシを選択します。
    • Relayへの接続に使用するプロキシ: Workload Security上のRelayに接続する必要がある場合は、プロキシを選択します。
    • 既存のホスト名、表示名、説明を使用して移行する: 移行したエージェントの既存のホスト名、表示名、および説明を使用する場合に選択します。
    • コンピュータレベルで設定のオーバーライドを使用して移行する: コンピュータレベルでオーバーライドのある設定を移行する場合に選択します。ルールの割り当ては含まれません。
  7. 移動ステータスを確認する
  8. 問題が発生した場合は、のトラブルシューティングを確認してください

移動ステータスを確認

移動タスクのステータスは、API応答、コンピュータのページ、およびシステムイベントで確認できます。移動ステータスは、 スマートフォルダの検索条件でもあります。
移動タスクの元の状態は、エージェントがオンプレミスのDeep Security Managerによって管理されている状態です。
エージェントステータス移動の図
ステータス
説明
元の状態に復元する方法
移行要求済み
Workload Security への移動タスクが要求されました。
移動タスクはDeep Security Managerによって受け入れられましたが、まだエージェントに送信されていません。
なし
移行中
コンピュータを Workload Securityに移動しています。
エージェントは移動タスクを受け入れ、 Workload Securityに移動しています。
なし
移行完了
コンピュータは Workload Securityに正常に移動されました。
Deep Security Managerは、移動されたエージェントが Workload Securityで有効化されていることを識別できます。
エージェントを手動で再有効化してDeep Security Managerに戻します。
エージェントはすでにWorkload Securityの公開証明書を信頼しています。エージェントをDeep Security Managerに再度アクティブ化する前に、ds_agent_dsm_public_ca.crtファイルを手動で削除する必要があります。
移行失敗
エージェントから Workload Securityへの接続の問題により、コンピュータは Workload Security に移動されませんでした。
エージェントは事前チェックを行っている間に移動タスクを拒否しました。
移動を再試行する前に:
  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。
  • エージェントがWorkload Securityにアクセスするのを妨げるネットワークまたはファイアウォール設定がないことを確認します。
  • CLIを使用して、失敗した移動に関する情報を含む ds_agent.log ファイルを含むエージェント診断パッケージを作成します。診断パッケージの作成手順については、 診断パッケージとログの作成を参照してください。
コンソールで[警告]をクリアします。
エージェントは引き続きDeep Security Managerによって管理されます。
移行失敗 (応答がありません)
エージェントが移動タスクに適切なタイミングで応答しなかったため、コンピュータが Workload Security に移動されませんでした。
移動を再試行する前に:
  • エージェントが稼働中であることを確認します。
  • エージェントがDeep Security Managerと適切に通信できることを確認します。
コンソールの警告をクリアします。
エージェントは引き続きDeep Security Managerによって管理されます。
移行失敗 (有効化に失敗しました)
Workload Security への移動が、アクティベーションの問題により失敗し、ロールバックされました。
事前チェックに成功しましたが、エージェントを Workload Securityに有効化できませんでした。
移動を再試行する前に:
  • Trend Vision One Endpoint Securityリンク (以前はWorkload Securityリンクと呼ばれていました) が最新であることを確認してください。
  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。
  • CLIを使用して、失敗した移動に関する情報を含む dsa_move.log ファイルと dsa_control.log ファイルを含むエージェント診断パッケージを作成します。診断パッケージの作成手順については、診断パッケージとログの作成を参照してください。
コンソールの警告をクリアします。
エージェントは引き続きDeep Security Managerによって管理されます。
移行失敗 (非管理対象です)
アクティベーションの問題により、 Workload Security への移動が失敗し、移動を自動的にロールバックできませんでした。コンピュータが管理対象外の状態です。
事前チェックに成功しましたが、エージェントを Workload Securityに有効化できませんでした。
この状態のエージェントは、ロールバック中に不明な問題が発生した可能性があり、エージェントの手動操作が必要です。
この問題のトラブルシューティングを行うには、次の手順を実行します。
  • 失敗した移動に関する情報を含むdsa_move.logファイルを調べます。
  • エージェントを手動で復元するか、エージェントを再有効化します。詳細については、トラブルシューティングを参照してください。
移動を再試行する前に:
  • Trend Vision One Endpoint Securityリンク (以前はWorkload Securityリンクと呼ばれていました) が最新であることを確認してください。
  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。
Deep Security Managerにエージェントを手動で復元します。
エージェントは引き続きホストコンピュータを保護していますが、 Deep Security Managerによって管理されていません。
詳細については、トラブルシューティングを参照してください。

スマートフォルダを使用して移動ステータスを表示する

  1. スマートフォルダエディタから、[検索条件]を展開します。
  2. 最初のリストで、プロパティ[ステータス: 移行ステータス]を選択します。
  3. 2番目のリストで、[移行完了][移行失敗]などの値を選択してください。
スマートフォルダクエリの移動ステータスを表示

トラブルシューティング

手動で管理されていないエージェントを復元する

dsa_move.log ファイルを確認して、移動の失敗の根本原因を特定します。エージェントの停止または開始に失敗したため、エージェントの復元に失敗した可能性があります。

エージェントを停止できなかった場合

復元プロセス中にエージェントの停止に失敗した場合、ログに次のエラーメッセージが表示されます。
Unable to stop the agent. Agent restore failed.
エージェントを復元する方法は次のとおりです。
  1. エージェントサービスを停止します。
  2. エージェントのバックアップを復元します。
    1. エージェントの作業ディレクトリを探します。
      • Windowsのエージェント作業ディレクトリ: %ProgramData%\Trend Micro\Deep Security Agent\
      • Linux / Unixのエージェント作業ディレクトリ: /var/opt/ds_agent/
    2. そのディレクトリ内で、バックアップ名は backup_ で始まり、日付で終わります。次に例を示します。backup_2021-05-11_20.11.45
    3. diag ディレクトリと backup_* ディレクトリを除いて、エージェントの作業ディレクトリからすべてを削除します。
    4. backup_* ディレクトリからエージェントの作業ディレクトリにすべてをコピーします。
  3. エージェントサービスを開始します。
  4. dsa_control -mを使用してDeep Security Managerにハートビートを送信する
  5. backup_* ディレクトリを削除します。

エージェントを起動できなかった場合

復元プロセス中にエージェントの起動に失敗した場合は、次のエラーメッセージがログに表示されます。
Unable to start the agent. Agent restore failed.
エージェントを復元する方法は次のとおりです。
  1. エージェントサービスを開始します。
  2. dsa_control -mを使用してDeep Security Managerにハートビートを送信する

エージェントを移行するその他の方法

環境に十分な自動化ツールが含まれている場合、Workload Securityコンソール内のデプロイスクリプトからアクティベーションコマンドを抽出してエージェントを再アクティベートできます。エージェントがない新しいホストはスクリプト全体を実行する必要があります。既存の最新のエージェントがあるホストは、デプロイスクリプトの最後のコメントにあるdsa_controlコマンドを実行するだけで済みます。プロキシが使用されている場合、このコマンドの前にある数行に注意し、正しい値で実行してからアクティベーションコマンドを実行してください。再アクティベーションは再起動を必要とせず、プロセス中に保護が失われることはありません。
十分な自動化インフラストラクチャがない環境では、Deep Security MoveAgent APIを使用できます。これにより、対象のWorkload Securityアカウントに設定されたTrend Vision One Endpoint Security Link (以前はWorkload Security Linkと呼ばれていた) を使用してエージェントが自動的に再活性化されます。この方法には、Deep Security Manager 20.0.321 (20 LTS 2021-01-26) 以降およびDeep Security Agent 20.0.0-3445 (20 LTS Update 2021-11-24) 以降が必要です。手順については、Deep SecurityおよびWorkload Security APIを使用した移行を参照してください。
Trend Microは、Workload Securityでエージェントを最新の状態に保つために、エージェントの自動アップグレードを有効化することを推奨します。各Trend Cloud Oneリージョンで利用可能なエージェントの最低バージョンは異なります。Trend Microは可能な限り最新のエージェントバージョンを使用することを推奨しますが、アカウントで利用できない古いエージェントバージョンが必要な場合は、Trend Microサポートにお問い合わせください。