ビュー:
Workload Securityのデプロイメントにおいて、Workload Securityと通信していないオフラインコンピュータが多数ある場合、まずコネクタを使用してみてください (AWSアカウントの追加についてMicrosoft AzureアカウントをWorkload Securityに追加する、またはGoogle Cloud Platformアカウントを追加するを参照)。コネクタを使用すると、コンピュータのライフサイクル全体が自動的に管理され、クラウドアカウントから削除されたコンピュータもWorkload Securityから自動的に削除されます。環境でコネクタを使用できない場合は、非アクティブエージェントのクリーンアップを使用して非アクティブなコンピュータの削除を自動化できます。非アクティブエージェントのクリーンアップは、指定された期間 (2週間から12ヶ月) の間オフラインで非アクティブなコンピュータを毎時チェックし、それらを削除します。
非アクティブなエージェントのクリーンナップでは、1時間ごとのチェックで最大1000台のオフラインコンピュータが削除されます。オフラインコンピュータの数がこれより多い場合は、すべてのオフラインコンピュータが削除されるまで、チェックごとに1000台が削除されます。
非アクティブなエージェントのクリーンナップを有効にすると、次の操作を実行できます。
非アクティブなエージェントのクリーンナップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されないことに注意してください。
Trend Cloud One - Endpoint & Workload SecurityインスタンスがTrend Vision Oneにアップグレードされた場合、Trend Cloud One - Endpoint & Workload Securityエンドポイントの非アクティブなエージェントの削除はTrend Vision Oneコンソールの設定によって決定され、非アクティブなエージェントのクリーンアップオーバーライドは機能しなくなります。詳細については、アンインストールされたエージェントのクリーンアップを参照してください。

非アクティブなAgentのクリーンナップを有効にする 親トピック

手順

  1. [管理]ページに移動します。
  2. [システム設定][エージェント][非アクティブなAgentのクリーンナップ]の下で、[次の期間を超過した非アクティブなAgentを削除する]を選択します。
  3. 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
  4. アクティブなオフラインコンピュータがWorkload Securityに再接続できるようにする(任意ですが推奨されます)。
  5. [保存] をクリックします。

オフラインコンピュータの保護を維持する 親トピック

オフラインコンピュータがアクティブであるがWorkload Securityと不規則に通信する場合、非アクティブなエージェントのクリーンアップは指定された非アクティブ期間内に通信しない場合にそれらを削除します。これらのコンピュータがWorkload Securityに再接続することを確実にするために、[Agentからのリモート有効化][不明なAgentの再有効化]の両方を有効にすることができます。そのためには、[システム設定][エージェント][Agentからのリモート有効化]の下で、まず[Agentからのリモート有効化を許可]を選択し、次に[不明なAgentの再有効化]を選択します。
削除されたコンピュータが再接続すると、ポリシーがないため、新しいコンピュータとして追加されます。コンピュータへの直接リンクはすべて、Workload Securityイベントデータから削除されます。
エージェントによるアクティベーション時に、イベントベースのタスクを使用してコンピュータにポリシーを自動的に割り当てることができます。

コンピュータが削除されないようにする 親トピック

コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。
オーバーライドは次のように設定します。

手順

  1. [コンピュータ]または[ポリシー]エディターを開き、オーバーライドを設定したいコンピュータまたはポリシーを選択してください。
  2. [設定][一般] に移動します。
  3. [非アクティブなAgentのクリーンナップ Override][はい]を選択します。
  4. [保存] をクリックします。

削除されたコンピュータの監査を確認する 親トピック

非アクティブなエージェントのクリーンナップジョブが実行されると、削除されたコンピュータの追跡に使用できるシステムイベントが生成されます。
次のシステムイベントを確認します。
  • 2953 - 非アクティブなAgentのクリーンナップが正常に完了しました
  • 251 - コンピュータの削除
  • 716 - 不明なエージェントによる再アクティベーションの試行 (不明なエージェントの再アクティベートが有効な場合)

システムイベントを検索する 親トピック

非アクティブなエージェントのクリーンナップジョブによって生成されたシステムイベントを表示するには、イベントをフィルタする検索を作成します。

手順

  1. [イベントとレポート]ページに移動します。
  2. 右上隅で[検索]フィールドをクリックし、[詳細検索を開く]を選択します。
    advanced-search-filter=d9e85a92-575c-43f8-9f1d-868e3f2a8cf4.png
  3. [期間]のために、[カスタム範囲]を選択してください。
  4. [開始]には、非アクティブなエージェントのクリーンアップジョブが最初に実行された直前の日付と時刻を入力します。[終了]には、クリーンアップジョブが終了した直後の日付と時刻を入力します。
  5. [検索]のために、[イベントID][In]を選択し、[2953, 251]を入力してください。任意で[716]とコンピュータ再起動に関連するイベントID ([130, 790, 350, 250]) を入力できます。
非アクティブなエージェントのクリーンナップジョブによって生成されたすべてのシステムイベントが表示されます。対応する列をクリックすると、時間、イベントID、またはイベント名でイベントを並べ替えることができます。イベントをダブルクリックすると、そのイベントの詳細を表示できます。

システムイベントの詳細 親トピック

2953 - 非アクティブなAgentのクリーンナップが正常に完了しました
このイベントは、非アクティブなエージェントのクリーンナップジョブが実行され、コンピュータが正常に削除されたときに生成されます。このイベントの説明は、削除されたコンピュータの数を示します。
すべてのコンピュータを削除するために複数のチェックが必要な場合は、チェックごとに個別のシステムイベントが生成されます。
251 - コンピュータの削除
[非アクティブなエージェントのクリーンナップが正常に完了しました] イベントに加えて、削除されたコンピュータごとに個別の [コンピュータの削除] イベントが生成されます。
716 - 不明なAgentの再有効化の試行
[不明なエージェントの再アクティブ化] が有効な場合、このイベントは、アクティブ化されたコンピュータがWorkload Securityに再接続しようとしたときに削除された場合に生成されます。再アクティベートされた各コンピュータでは、次のシステムイベントも生成されます。
  • 130 - 資格情報の生成
  • 790 - Agentからのリモート有効化の要求
  • 350 - ポリシーの作成 (ポリシーを割り当てるイベントベースのタスクを有効にしている場合)
  • 250 - コンピュータの作成または252 - コンピュータのアップデート