Workload Securityで保護されたリソースのリストにコンピュータを追加し、保護を実装するには、複数のステップが必要です。これらのステップのほとんどはコマンドラインから実行できるため、スクリプトを使用できます。Workload Securityコンソールには、[サポート]メニューからアクセスできるデプロイメントスクリプト作成アシスタントが含まれています。
Workload Security を介して生成された配信スクリプトは、次の処理を行います。
  • 選択したプラットフォームにエージェントをインストールする
  • Agentの有効化
  • エージェントへのポリシーの割り当て

インストールスクリプトを生成する 親トピック

生成されるインストールスクリプトはリージョンによって異なるため、リージョン間で同じインストールスクリプトを使用することはできません。

手順

  1. 開始する前に、以下を確認してください。 a. エージェントのバージョン管理設定を構成しました。詳細については、エージェントのバージョン管理を構成するを参照してください。 b. エージェントによるアクティベーション (AIA) を有効にしました。インストール後にデプロイスクリプトでエージェントをアクティベートするには、これが必要です。詳細については、エージェントによるアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。
  2. Workload Securityコンソールの右上にある [サポート][インストールスクリプト] をクリックします。
  3. ソフトウェアをインストールするプラットフォームを選択します。
  4. [インストール後にエージェントを自動的に有効化]を選択します。Agentはコンピュータを保護するポリシーの適用前に有効にする必要があります。有効化により、最初の通信時にManagerにAgentが登録されます。
  5. 必要に応じて、[セキュリティポリシー][コンピュータグループ][Relay グループ][プロキシを選択して、Workload Security]に連絡し、[プロキシから Relay (]) に接続します。
  6. 任意ですが (推奨)、[Workload Security TLS証明書の検証]を選択してください。このオプションを選択すると、Workload Securityがエージェントソフトウェアをダウンロードする際に、信頼できる証明書機関 (CA) からの有効なトランスポート層セキュリティ (TLS) 証明書を使用することを保証します。これにより、中間者攻撃を防ぐことができます。Workload Securityコンソールのブラウザバーを確認することで、Workload Securityが有効なCA証明書を使用しているかどうかを確認できます。
  7. オプションとして (推奨)、[エージェントインストーラーの署名を検証]を選択して、デプロイスクリプトがエージェントインストーラーファイルのデジタル署名チェックを開始するようにします。チェックが成功すると、エージェントのインストールが進行します。チェックが失敗すると、エージェントのインストールは中止されます。このオプションを有効にする前に、次の点を考慮してください:
    • このオプションは、LinuxおよびWindowsのインストーラ(RPM、DEB、またはMSIファイル)、およびmacOS(PKGファイル)でのみサポートされます。
    • Linuxでは、このオプションを使用するには、デプロイスクリプトが実行される各エージェントコンピュータに公開署名キーをインポートする必要があります。詳細については、RPMファイルの署名を確認するおよびDEBファイルの署名を確認するを参照してください。
  8. デプロイメントスクリプトジェネレーターがスクリプトを表示します。[クリップボードにコピー]をクリックして、デプロイメントスクリプトをお好みのデプロイメントツールに貼り付けるか、[ファイルに保存]をクリックしてください。
    DeploymentScriptImg=9d896578-e650-4cda-ab62-0628d62f915a.png

次に進む前に

Workload Securityによって生成されたWindowsエージェントのデプロイスクリプトは、Windows PowerShellバージョン4.0以降が必要です。PowerShellを管理者として実行する必要があり、スクリプトを実行できるようにするために次のコマンドを実行する必要がある場合があります: Set-ExecutionPolicy RemoteSigned
注意
注意
WindowsまたはLinuxの初期バージョンにエージェントを展開する場合、最低でもPowerShell 4.0またはcurl 7.34.0が含まれていない場合は、マネージャおよびリレーで初期TLSが許可されていることを確認してください。詳細については、TLS 1.2が強制されているかどうかを確認するおよび初期TLS (1.0) を有効にするを参照してください。また、次のようにデプロイスクリプトを編集します:
  • Linux: 削除 
    --tls1.2
    タグ.
  • Windows: 削除 
    #requires -version 4.0
    行も削除 
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;
    行を追加して、初期のTLS (バージョン1.0) を使用してマネージャと通信するようにします。
Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpace、またはVPCインスタンスをデプロイしている場合は、生成されたスクリプトをコピーして、[User Data]フィールドに貼り付けます。これにより、既存のAmazon Machine Image (AMI) を起動し、起動時にエージェントを自動的にインストールしてアクティベートできます。新しいインスタンスは、生成された配置スクリプトで指定されたURLにアクセスできる必要があります。
[Linux] 配置の [User Data] フィールドに配置スクリプトをコピーする場合、配置スクリプトをそのまま [User Data] フィールドにコピーすると、CloudInitはsudoを使用してスクリプトを実行します。失敗した場合は、/var/log/cloud-init.logに記録されます。
[ユーザーデータ]フィールドは、CloudFormationなどの他のサービスでも使用されます。詳細については、AWS CloudFormation: WaitConditionを参照してください。

トラブルシューティングおよびヒント 親トピック

  • PowerShell (x86) からエージェントをデプロイしようとすると、次のエラーが発生する可能性があります : C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' は、cmdlet、関数、スクリプトファイル、または操作可能なプログラムの名前として認識されません。名前のスペルを確認するか、パスが含まれている場合は、パスが正しいことを確認してから再試行してください。 PowerShellスクリプトは、ProgramFiles の環境変数が Program Files フォルダに設定されていることを期待していますが、Program Files (x86) には設定されていません。この問題を解決するには、PowerShell (x86) を閉じて、管理者としてPowerShellでスクリプトを実行してください。
  • デプロイスクリプトは、rpm -ihvrpm -Uに変更することで、新規インストールではなくエージェントの更新を実行するように変更できます。
  • 配信スクリプトで使用される特定のバージョンのエージェントを制御する必要がある場合は、次の2つの方法があります。
    • エージェントのバージョン管理を使用します。詳細については、エージェントのバージョン管理を構成するを参照してください。この方法には、各スクリプトにエージェントのバージョン自体をハードコードする必要がないという利点があり、一部のデプロイメントにとってより柔軟なアプローチとなります。
    • デプロイメントスクリプトを修正するか、独自のスクリプトを作成して、デプロイメントの特定の要件を満たしてください。エージェントをダウンロードするためのURL形式の詳細については、こちらをご覧ください エージェントのダウンロード用URL形式
  • マネージャによって生成されたデプロイスクリプトを使用する代わりに、エージェントダウンロードURLを使用して独自の自動化方法を組み合わせて、エージェントのダウンロードとインストールを自動化できます。詳細については、エージェントのダウンロードURL形式を参照してください。