ビュー:

AWSにデプロイされたDeep Discovery Inspector仮想アプライアンスを接続する方法について説明します。

注意
注意
  • AWSでDeep Discovery Inspector仮想アプライアンスにアクセスして使用するには、AWSマーケットプレイスで有効なAWSアカウントをすでに保有しており、継続的に維持している必要があります。 Deep Discovery Inspector仮想アプライアンスの配置に必要なプラットフォーム/インフラストラクチャ。
  • 次の手順は2020年12月1日現在のものです。 新しいリリースのAWSを使用している場合は、AWSの設定が異なる可能性があります。使用しているリリースに関する特定の情報については、AWSのドキュメントを参照してください。

手順

  1. Trend Vision One コンソールで、[Network Security]Network Inventory[Deep Discovery Inspector][アプライアンスを接続]の順にクリックします。
  2. [製品]で、 [新しいアプライアンス]を選択します。
  3. [オプション: AWSに仮想アプライアンスをデプロイする]で、 [MarketplaceでAMIを入手する] をクリックしてAWS Marketplaceを開き、 Deep Discovery Inspectorをデプロイします。
    Amazon EC2コンソールが開きます。
  4. インスタンスを起動します。
    1. 画面上部のナビゲーションバーで、要件を満たすインスタンスのリージョンを選択します。
    2. Amazon EC2コンソールのダッシュボードで、[インスタンスを起動] を選択します。
      launch-instance.png
  5. Deep Discovery InspectorのAMIを選択します。
    1. [Amazon マシンイメージ (AMI)] 画面の左側のペインで、[マイ AMI][所有権][共有ファイル] の順に選択します。
    2. 表示されるリストから [Trend Micro Deep Discovery Inspector <バージョン> JP] AMIを選択して、[選択] をクリックします。たとえば [Trend Micro Deep Discovery Inspector 5.7.xxxx JP] を選択します。
      aws-marketplace.png
    3. 検索結果が表示されたら、[Trend Micro Deep Discovery Inspector <バージョン>][選択] をクリックします。
  6. インスタンスタイプを選択します。
    1. [インスタンスタイプの選択] 画面で、ライセンスモデルのスループットに基づいて最小限の仕様を満たすインスタンスタイプを選択します。
      詳細については、「 Deep Discovery Inspector AWS導入ガイド」を参照してください。
    2. [次のステップ: インスタンスの詳細の設定] を選択して、さらにインスタンスを設定します。
      aws-deployment-proce.png
  7. インスタンスの詳細を設定します。
    1. [インスタンスの詳細の設定] 画面で、次の設定を変更します。
      • ネットワーク: VPC を選択します。
      • サブネット: インスタンスを起動するサブネットを選択します。データポートのサブネットに計画されているサブネットを選択します。
      • [パブリックIPの自動割り当て]: [無効化]を選択します。 トレンドマイクロ では、Deep Discovery Inspector 仮想アプライアンスを AWS NAT ゲートウェイの背後にデプロイすることをお勧めします。
        aws-deployment-proce_001.png
      • [ネットワークインタフェース]: [デバイスの追加]を選択して、 Deep Discovery Inspector仮想アプライアンスインスタンスのセカンダリネットワークインタフェースを追加します。
        重要
        重要
        オンプレミスのDeep Discovery Inspectorの管理ポートは、最初のNICポート ( Deep Discovery Inspectorではeth0) に固定されています。 AWS環境に適応するために、 Deep Discovery Inspector仮想アプライアンスでは、管理ポートのポートの列挙がポート1 (eth1) に、データポートがポート0 (eth0) にスワップされています。
      • [デバイス] の [eth0]
        • サブネット: サブネットは前の手順で設定されています。
        • プライマリIP: サブネットの範囲からプライベートIPv4アドレスを入力するか、[自動的に割り当て] のままにしてAWSがプライベートIPv4アドレスを選択するようにします。
      • [デバイス] の [eth1]
        • サブネット: 管理ポートのサブネットに計画されているサブネットを選択します。
        • プライマリIP: サブネットの範囲からプライベートIPv4アドレスを入力するか、[自動的に割り当て] のままにしてAWSがプライベートIPv4アドレスを選択するようにします。
        • IPv6 IP: (オプション) [IPの追加] をクリックしてサブネットの範囲からIPv6アドレスを入力するか、[自動的に割り当て] のままにしてAWSがIPv6アドレスを選択するようにします。
      aws-deployment-proce_002.png
    2. [次のステップ: ストレージの追加] をクリックして、インスタンスのルートボリュームサイズを指定します。
  8. ストレージを追加します。
    1. [ストレージの追加] 画面で次の設定を行います。
      • サイズ: ストレージサイズは、ライセンスモデルのスループットに基づいて最小限の仕様を満たす必要があります。
        詳細については、「 Deep Discovery Inspector AWS導入ガイド」を参照してください。
        注意
        注意
        ストレージサイズを拡大するには、 [ボリュームの種類: ルート]のストレージサイズを指定します。 Deep Discovery Inspector仮想アプライアンスは、 [ボリュームの種類][ルート]の場合にのみストレージをパーティション分割します。追加のストレージは使用されません。
      • ボリュームタイプ: 初期設定値の [汎用SSD (gp2)] を使用します。
        aws-deployment-proce_003.png
    2. [次のステップ: タグの追加] をクリックして、カスタムタグを追加します。
  9. タグを追加します。
    1. [タグの追加] 画面で、キーと値の組み合わせを入力してタグを指定します。
      たとえば、[キー] に「 Name」、[値] に「vDDI-demo」と入力します。
    2. [次のステップ: セキュリティグループの設定] をクリックします。
      config-sec-group.png
  10. セキュリティグループを設定します。
    1. [セキュリティグループの設定] 画面で、セキュリティグループを使用して、 Deep Discovery Inspector仮想アプライアンスインスタンスのファイアウォールルールを定義します。
      • 既存のセキュリティグループを使用するには、[既存のセキュリティグループを選択] を選択して、目的のセキュリティグループを選択します。
      • 新しいセキュリティグループを作成するには、[新しいセキュリティグループを作成] を選択します。
    2. 選択したセキュリティグループに次のルールが含まれていることを確認します。

      インバウンドルール

      種類
      プロトコル
      ポート範囲
      ソース
      理由
      SSH
      TCP
      22
      インスタンスに到達可能なCIDR
      Deep Discovery Inspector仮想アプライアンスの事前設定コンソールにアクセスする場合
      HTTPS
      TCP
      443
      インスタンスに到達可能なCIDR
      Deep Discovery Inspector仮想アプライアンス管理コンソールへのアクセス用
      カスタムUDP
      UDP
      4789
      ミラーソースまたはNLBのCIDR
      AWSのトラフィックミラーに必要なVXLANトラフィック用
      カスタムTCP
      TCP
      14789
      NLBのCIDR
      NLBヘルスチェックに応答するためにDeep Discovery Inspector仮想アプライアンスによって実装されます。
      注意
      注意
      送信ルール: 初期設定のセキュリティグループのルールでは、すべてのトラフィックが許可されます。 Deep Discovery Inspector仮想アプライアンスは、初期設定の送信ルールで適切に機能します。次の例外が発生する場合があります。
      • ポリシーでより具体的なプロトコルとポート番号が必要な一部の組織については、 『Deep Discovery Inspectorインストールおよび展開ガイド』第 2 章「システムについて」>「アプライアンスで使用されるポート」を参照してください。
      • インターネットへのアクセスを許可するドメインを持つ送信プロキシがインフラストラクチャに必要な組織の場合は、「 Deep Discovery Inspector管理者ガイド」でアドレスの詳細を参照してください。
    3. [確認と作成] をクリックします。
  11. インスタンスの起動を確認し、キーのペアを選択します。
    1. [インスタンスの起動を確認] 画面でインスタンスの詳細を確認し、[編集] リンクを使用して必要な変更を行います。
    2. [起動] をクリックします。
    3. [既存のキーペアを選択するか、新しいキーペアを作成します。] ダイアログボックスで、[キーペアなしで続行] を選択します。
    4. インスタンスを起動するには、確認のチェックボックスをオンにして、[インスタンスの作成] をクリックします。
      aws-deployment-proce_004.png
  12. Deep Discovery Inspector仮想アプライアンスの準備ができるまで待ちます。
    注意
    注意
    Deep Discovery Inspector仮想アプライアンスの準備ができるまで、約15分かかります。
    1. Deep Discovery Inspectorのインストールの進行状況を表示するには、次の手順を実行します。
      1. 左側のナビゲーション画面で [インスタンス] をクリックします。
      2. Deep Discovery Inspector仮想アプライアンスインスタンスを選択します。
      3. [アクション][インスタンスの設定][インスタンスのスクリーンショットを取得] の順に選択します。
        aws-deployment-proce_005.png
      詳細については、https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.htmlを参照してください。
    2. Deep Discovery Inspector仮想アプライアンスの事前設定コンソールが表示されたら、Deep Discovery Deep Discovery Inspectorの準備ができています。
      aws-deployment-proce_006.png
  13. Deep Discovery Inspectorのネットワーク設定を表示または設定します。
    1. https://console.aws.amazon.com/ec2/でAmazon EC2コンソールを開きます。
    2. ナビゲーションペインで [インスタンス] を選択します。
    3. Deep Discovery Inspector仮想アプライアンスを選択します。
    4. [アクション][ネットワーキング][IPアドレスの管理] の順に選択します。
    5. [eth1]を展開します。 [プライベートIPアドレス] は、 Deep Discovery Inspector仮想アプライアンスの管理コンソールのIPアドレスです。
  14. Deep Discovery Inspectorを Trend Vision Oneに接続します。
    For more information, see Deep Discovery Inspector接続ガイド.
  15. Deep Discovery Inspector仮想アプライアンスを設定します。
    仮想アプライアンスが接続されたら、次の手順を実行して、 Deep Discovery Inspector仮想アプライアンスをさらに設定および統合できます。