インストールスクリプトを使用したコンピュータの追加と保護

ビュー:

Server & Workload Protection の保護対象リソースのリストにコンピュータを追加して保護を実装するには、複数の手順を実行する必要があります。これらの手順のほとんどは、コンピュータのコマンドラインから実行できるため、スクリプトを記述することができます。 Server & Workload Protection コンソールには、[サポート]メニューからアクセスできる配置スクリプト作成アシスタントが含まれています。

Server & Workload Protection で生成された配信スクリプトは、次の処理を実行します。

選択したプラットフォームにエージェントをインストールする
エージェントの有効化
エージェントにポリシーを割り当てる

インストールスクリプトを生成する

注意

生成されるデプロイスクリプトはリージョンによって異なるため、リージョン間で同じデプロイスクリプトを使用することはできません。

手順

開始する前に:エージェントのバージョン管理設定が適切に設定されていることを確認します。参照エージェントのバージョン管理の設定詳細については、 b. Agentからのアクティベーション (AIA) が有効になっていることを確認します。インストール後に配信スクリプトでエージェントをアクティベートする場合は、AIAが必要です。参照Agentからの有効化と通信を使用したAgentの有効化と保護詳細については、
Server & Workload Protection コンソールの右上にある [管理] → [アップデート] → [使用ソフトウェア名] → [ローカル] → [インストールスクリプトの生成]をクリックします。
ソフトウェアをインストールするプラットフォームを選択します。
[インストール後にエージェントを自動的に有効化する]を選択します。コンピュータを保護するポリシーを適用する前に、エージェントを有効にする必要があります。アクティベーションでは、初回通信時にエージェントがManagerに登録されます。
必要に応じて、 [セキュリティポリシー]、 [コンピュータグループ]、 [Relayグループ]、 [Server & Workload Protectionに接続するためのプロキシ]、および [Relayへの接続に使用するプロキシ]を選択します。
必要に応じて (ただし、強くお勧めします)、 [サーバおよびWorkload ProtectionのTLS証明書の検証]を選択します。このオプションを選択すると、 Server & Workload Protection がエージェントソフトウェアのダウンロード時に信頼された認証局 (CA) からの有効なTLS証明書を使用しているかどうかが確認されます。これにより、中間者攻撃の防止に役立ちます。 Server & Workload Protection コンソールのブラウザバーで、 Server & Workload Protection が有効なCA証明書を使用しているかどうかを確認できます。
必要に応じて (ただし、強くお勧めします)、 [エージェントインストーラでの署名の検証] を選択すると、配信スクリプトによってエージェントインストーラファイルのデジタル署名チェックが開始されます。チェックに成功すると、エージェントのインストールが続行されます。チェックに失敗すると、エージェントのインストールは中止されます。
このオプションを有効にする前に、次の点を理解してください。
- このオプションは、LinuxおよびWindowsインストーラ (RPM、DEB、またはMSIファイル) およびmacOS (PKGファイル) でのみサポートされます。
- (Linux のみ) このオプションを使用するには、デプロイスクリプトが実行される各エージェントコンピュータに公開署名キーをインポートする必要があります。詳細については、RPM ファイルの署名を確認するおよびDEB ファイルの署名を確認するを参照してください。
配信スクリプトジェネレータにスクリプトが表示されます。 [クリップボードにコピー] をクリックして、目的の配置ツールに配置スクリプトを貼り付けるか、 [ファイルに保存]をクリックします。

次に進む前に

注意

Windowsエージェントの配信用に Server & Workload Protection によって生成される配信スクリプトには、Windows PowerShellバージョン4.0以降が必要です。 PowerShellは管理者として実行する必要があります。スクリプトを実行するには、次のコマンドを実行する必要があります。Set-ExecutionPolicy RemoteSigned

注意

PowerShell 4.0またはcurl 7.34.0以降がインストールされていない初期バージョンのWindowsまたはLinuxにエージェントを配信する場合は、ManagerとRelayで初期のTLSが許可されていることを確認してください。参照TLS 1.2が適用されているかどうかを確認する詳細については、また、配置スクリプトを次のように編集します。

[○Linux:●]
```
--tls1.2
```
タグ。
[Windows:]
```
#requires -version 4.0
```
線。また、
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;
```
Managerとの通信に初期のTLS (バージョン1.0) が使用されるようにします。

Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpace、またはVPCインスタンスをデプロイしている場合は、生成されたスクリプトをコピーして、 [User Data] フィールドに貼り付けます。これにより、既存のAmazonマシンイメージ (AMI) を起動し、起動時にエージェントを自動的にインストールしてアクティベートできます。新しいインスタンスは、生成された配置スクリプトで指定されたURLにアクセスできる必要があります。

[Linux] 配置の [User Data] フィールドに配置スクリプトをコピーする場合は、配置スクリプトをそのまま「ユーザデータ」フィールドにコピーすると、CloudInitはsudoを使用してスクリプトを実行します。 (失敗した場合は、/var/log/cloud-init.logに記録されます)。

注意

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用されます。詳細については、次を参照してください。https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

トラブルシューティングおよびヒント

PowerShell (x86) からエージェントを配信しようとすると、次のエラーが表示されます。C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again. PowerShellスクリプトでは、次の環境変数が必要です。ProgramFiles「Program Files (x86)」ではなく「Program Files」に設定します。この問題を解決するには、PowerShell (x86) を終了し、管理者としてPowerShellでスクリプトを実行します。
インストールスクリプトを変更して、新規インストールの代わりにエージェントのアップデートを実行するように設定できます。rpm -ihvにrpm -U 。
配信スクリプトで使用される特定のバージョンのエージェントを制御する必要がある場合は、次の2つの方法があります。
- エージェントのバージョン管理を使用します。参照エージェントのバージョン管理の設定詳細については、この方法には、エージェントのバージョン自体を各スクリプトにハードコーディングする必要がないという利点があります。
- 配置スクリプトを変更するか、独自のスクリプトを記述して、配置固有の要件に合わせます。エージェントをダウンロードするためのURL形式の詳細については、こちらを参照してください。エージェントのダウンロード用URL形式。
Managerによって生成された配信スクリプトを使用する代わりに、独自の自動化方法とエージェントのダウンロードURLを組み合わせて、エージェントのダウンロードとインストールを自動化できます。詳細については、エージェントのダウンロード用URL形式。