重要 Trend Vision One のAWSアカウントは、Cloud Accountsアプリで管理されるようになりました。新しいAWSアカウントを追加するには、CloudFormation を使用して AWS アカウントを追加を参照してください。
API を使用して、新しいアカウントを Server & Workload Protectionに追加することもできます。ただし、 トレンドマイクロ では、より高度なクラウド セキュリティと XDR 機能へのアクセスを提供するクラウド アカウント アプリを使用することをお勧めします。このトピックは参照のみを目的としています。
|
AWS Auto Scalingによって作成された新しいインスタンスに対して、 Server & Workload Protection で自動保護を設定できます。
Auto Scalingによって作成された各インスタンスには、エージェントをインストールする必要があります。これを行うには、AMIの作成に使用するEC2インスタンスに事前にインストールされたエージェントを含める方法と、AMIの起動設定に配置スクリプトを含めてエージェントをインストールする方法の2つの方法があります。各オプションには長所と短所があります。
-
プレインストールされたエージェントを含めると、 エージェントソフトウェアをダウンロードしてインストールする必要がないため、インスタンスがより迅速に起動します。欠点は、 エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード機能。
-
配信スクリプトを使用してエージェントをインストールする場合は、常に最新バージョンのエージェントソフトウェアが Server & Workload Protectionから取得されます。
エージェントの事前インストール
EC2インスタンスにすでにエージェントが設定されている場合は、そのインスタンスを使用してAuto Scaling用のAMIを作成できます。 AMIを作成する前に、EC2インスタンスのエージェントを無効にしてインスタンスを停止する必要があります。
dsa_control -r
Auto Scalingによって作成された新しいEC2インスタンスごとに、エージェントを有効化し、ポリシーを適用する必要があります (まだポリシーが適用されていない場合)。これを行うには、次の2つの方法があります。
- エージェントを有効にし、必要に応じてポリシーを適用する配信スクリプトを作成できます。次に、AWSの起動設定にデプロイスクリプトを追加して、新しいインスタンスの作成時に実行されるようにします。手順については、後述の「配信スクリプトを使用したAgentのインストール」を参照してください。ただし、配信スクリプトの中で、 エージェントを取得してインストールするセクションは省略します。スクリプトのdsa_control -aセクションのみが必要です。
注意配信スクリプトを機能させるには、 Server & Workload ProtectionでAgentからの通信を有効にする必要があります。この設定の詳細については、 Agentからの有効化と通信を使用したAgentの有効化と保護
|
- Server & Workload Protection でイベントベースのタスクを設定できます。このタスクでは、エージェントをアクティブ化し、インスタンスの起動時および「コンピュータの作成 (システム別)」イベントの発生時にポリシーを適用します。
配信スクリプトを使用してエージェントをインストールする
Server & Workload Protection では、EC2インスタンスの作成時に実行できるカスタマイズされた配信スクリプトを生成できます。 EC2インスタンスにエージェントが事前にインストールされていない場合は、配信スクリプトによってエージェントがインストールされ、有効化され、ポリシーが適用され、必要に応じてコンピュータグループとRelayグループにマシンが割り当てられます。
ヒント Server & Workload Protection APIを使用して、配信スクリプトを生成し、エージェントのインストールを自動化できます。詳細については、 配置スクリプトの生成。
|
インストールスクリプトが機能するためには、以下の要件を満たす必要があります。
-
停止したコンピュータからAMIを作成する必要があります。
-
Server & Workload ProtectionでAgentからの通信を有効にする必要があります。この設定の詳細については、 Agentからの有効化と通信を使用したAgentの有効化と保護。
インストールスクリプトを使用してインスタンスの自動保護を設定するには
手順
- Server & Workload Protection コンソールにサインインします。
- 右上隅の [サポート] メニューから、 [インストールスクリプト]を選択します。
- プラットフォームを選択します。
- [インストール後にAgentを自動的に有効化]を選択します。
- 適切な [セキュリティポリシー]、 [コンピュータグループ] 、および [Relayグループ]を選択します。
- [クリップボードにコピー]をクリックします。
- AWSの起動設定に移動し、 [高度な詳細] を展開して、配置スクリプトを [User Data]に貼り付けます。
次に進む前に
注意Microsoft WindowsベースのAMIでPowerShell配信スクリプトを実行する際に問題が発生した場合は、実行中のインスタンスからAMIを作成したことが原因である可能性があります。
AWSは、実行中のインスタンスからのAMIの作成をサポートしていますが、このオプションを選択すると、すべてのインスタンスが無効になります。
Ec2Config AMIから作成されたインスタンスで開始時に実行されるタスク。この動作により、インスタンスはPowerShellスクリプトを実行できなくなります。 |
注意Windows 上で AMI を構築する場合は、手動で、またはイメージ構築プロセスの一部として、ユーザー データの処理を再度有効にする必要があります。ユーザーデータの処理は、明示的に指示されない限り、Windows
ベース AMI の最初の起動時にのみ実行されます (初期起動プロセス中に無効になります)。そのため、機能が再設定されない限り、カスタム AMI から構築されたインスタンスはユーザーデータを実行しません。
-有効。 EC2Config サービスを使用した Windows インスタンスの構成には、機能をリセットする方法、または初回起動時に機能が無効になっていないことを確認する方法に関する詳細な説明と手順が記載されています。最も簡単なメカニズムは次のとおりです。
<persist>true</persist> EC2Config バージョン 2.1.10 以降が必要です。 |
Auto Scalingの結果として Server & Workload Protection からインスタンスを削除する
Server & Workload ProtectionにAWSアカウントを追加すると、Auto Scalingの結果としてAWSに存在しなくなったインスタンスは、自動的に Server & Workload Protectionから削除されます。