インストールスクリプトを使用したコンピュータの追加と保護

ビュー:

[Endpoint Inventory]でデプロイメントスクリプトを設定してダウンロードし、Server & Workload Protectionを使用してTrend Vision One Endpoint Securityエージェントをデプロイします。詳細については、デプロイメントスクリプトを使用してエージェントをデプロイするを参照してください。

重要

以下の手順は有効ではなく、参照情報としてのみ含まれています。

Server & Workload Protection の保護対象リソースのリストにコンピュータを追加して保護を実装するには、複数の手順を実行する必要があります。これらの手順のほとんどは、コンピュータのコマンドラインから実行できるため、スクリプトを記述することができます。 Server & Workload Protection コンソールには、[サポート]メニューからアクセスできる配置スクリプト作成アシスタントが含まれています。

Server & Workload Protection で生成された配信スクリプトは、次の処理を実行します。

選択したプラットフォームにエージェントをインストールする
エージェントの有効化
エージェントにポリシーを割り当てる

インストールスクリプトを生成する

生成されたデプロイメントスクリプトは地域によって異なるため、同じデプロイメントスクリプトを地域間で使用することはできません。

開始する前に、次のことを確認してください。

エージェントのバージョン管理設定は希望通りに構成されています。詳細については、エージェントのバージョン管理の構成を参照してください。
エージェント開始のアクティベーション (AIA) を有効にしました。インストール後にエージェントをアクティベートするためには、AIAが必要です。詳細については、エージェント開始のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。

手順

Server & Workload Protectionコンソールで、[管理] → [アップデート] → [使用ソフトウェア名] → [ローカル] → [インストールスクリプトの生成]に移動します。
ソフトウェアをインストールするプラットフォームを選択します。
[Activate agent automatically after installation]を選択します。ポリシーを適用してコンピュータを保護する前に、エージェントを有効化する必要があります。有効化により、初回の通信時にエージェントがマネージャに登録されます。
必要に応じて、[セキュリティポリシー]、[コンピュータグループ]、[Relay Group]、[Proxy to contact Server & Workload Protection]、[Proxy to contact Relays]を定義します。
任意ですが (強く推奨されます)、[Validate Server & Workload Protection TLS certificate]を選択してください。このオプションを選択すると、Server & Workload Protectionがエージェントソフトウェアをダウンロードする際に、信頼できる認証局 (CA) からの有効なTLS証明書を使用しているかどうかを確認します。これにより、「中間者攻撃」を防ぐことができます。Server & Workload Protectionコンソールのブラウザバーを確認することで、Server & Workload Protectionが有効なCA証明書を使用しているかどうかを確認できます。
任意ですが (強く推奨)、[Validate the signature on the agent installer]を選択して、エージェントインストーラファイルに対するデジタル署名チェックを開始するようにデプロイメントスクリプトを設定します。チェックが成功した場合、エージェントのインストールが続行されます。チェックが失敗した場合、エージェントのインストールは中止されます。
このオプションを有効にする前に、次を考慮してください。
- このオプションは、LinuxおよびWindowsインストーラ (RPM、DEB、またはMSIファイル) およびmacOS (PKGファイル) でのみサポートされます。
- Linuxのみ、このオプションでは、デプロイスクリプトが実行される各エージェントコンピュータに公開署名キーをインポートする必要があります。詳細については、RPMファイルの署名を確認するおよびDEBファイルの署名を確認するを参照してください。
デプロイメントスクリプトジェネレーターがスクリプトを表示します。[クリップボードにコピー]をクリックして、デプロイメントスクリプトをお好みのデプロイメントツールに貼り付けるか、[Save to File]をクリックしてください。

次のステップ

Windowsエージェントの配信用に Server & Workload Protection によって生成される配信スクリプトには、Windows PowerShellバージョン4.0以降が必要です。 PowerShellは管理者として実行する必要があります。スクリプトを実行するには、次のコマンドを実行する必要があります。Set-ExecutionPolicy RemoteSigned

WindowsまたはLinuxの初期バージョンにエージェントを展開したい場合、最低限PowerShell 4.0またはcurl 7.34.0が含まれていない場合は、マネージャとリレーで初期TLSが許可されていることを確認してください。詳細については、TLS 1.2が強制されているかどうかを確認するを参照してください。また、展開スクリプトを以下のように編集してください。

Linux: --tls1.2タグを削除します。
Windows: #requires -version 4.0行を削除します。また、[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;行を削除して、初期のTLS (バージョン1.0) を使用してマネージャと通信するようにします。

Amazon Web Servicesを使用して新しいAmazon EC2、Amazon WorkSpace、またはVPCインスタンスをデプロイする場合、生成されたスクリプトをコピーして[User Data]フィールドに貼り付けてください。これにより、既存のAmazon Machine Images (AMIs) を起動し、エージェントを自動的にインストールして起動時にアクティブ化できます。新しいインスタンスは、生成されたデプロイメントスクリプトで指定されたURLにアクセスできる必要があります。

[Linux]デプロイメントのためにデプロイメントスクリプトを[User Data]フィールドにコピーする際、デプロイメントスクリプトをそのままユーザデータフィールドにコピーしてください。CloudInitはスクリプトをsudoで実行します。失敗がある場合、それは/var/log/cloud-init.logファイルに記録されます。

[User Data]フィールドは、CloudFormationなどの他のサービスでも使用されます。詳細については、https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.htmlを参照してください

トラブルシューティング

PowerShell (x86) からエージェントを配信しようとすると、次のエラーが表示されます。C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again. PowerShellスクリプトでは、次の環境変数が必要です。ProgramFiles「Program Files (x86)」ではなく「Program Files」に設定します。この問題を解決するには、PowerShell (x86) を終了し、管理者としてPowerShellでスクリプトを実行します。
インストールスクリプトを変更して、新規インストールの代わりにエージェントのアップデートを実行するように設定できます。rpm -ihvにrpm -U 。
配信スクリプトで使用される特定のバージョンのエージェントを制御する必要がある場合は、次の2つの方法があります。
- エージェントのバージョン管理を使用します。参照エージェントのバージョン管理の設定詳細については、この方法には、エージェントのバージョン自体を各スクリプトにハードコーディングする必要がないという利点があります。
- 配置スクリプトを変更するか、独自のスクリプトを記述して、配置固有の要件に合わせます。エージェントをダウンロードするためのURL形式の詳細については、こちらを参照してください。エージェントのダウンロード用URL形式。
Managerによって生成された配信スクリプトを使用する代わりに、独自の自動化方法とエージェントのダウンロードURLを組み合わせて、エージェントのダウンロードとインストールを自動化できます。詳細については、エージェントのダウンロード用URL形式。