AWSにDeep Discovery InspectorVirtual Applianceをデプロイする

Trend Micro Vision One は、AWSにデプロイされたDeep Discovery Inspector仮想アプライアンスに接続できます。

注:
  • AWSでDeep Discovery Inspector仮想アプライアンスにアクセスして使用するには、AWS Marketplaceに有効なAWSアカウントがすでに存在し、継続的に管理されている必要があります。また、そのようなAWSアカウントを使用した購入とメンテナンス、およびAmazon Webサービスの使用はお客様の責任となります。 Deep Discovery Inspector仮想アプライアンスの配置に必要なプラットフォーム/インフラストラクチャ。

  • 次の手順は、2020年12月1日現在のものです。新しいリリースのAWSを使用している場合は、AWSの設定が異なる場合があります。ご使用のリリースに関連する具体的な情報については、AWSのドキュメントを参照してください。

  1. Trend Micro Vision One コンソールで、 Inventory Management > Network Inventoryに移動し、[ Connect Network Sensor]をクリックします。

    Connect Network Sensor パネルが表示されます。

  2. [ 製品]で、[ New Deep Discovery Inspector]を選択します。
  3. クリックMarketplaceでAMIを入手するをクリックしてAWS Marketplaceを開き、 Deep Discovery Inspectorをデプロイします。

    Amazon EC2コンソールが開きます。

  4. インスタンスの起動を開始します。
    1. 画面上部のナビゲーションバーで、ニーズに合ったインスタンスの[リージョン]を選択します。
    2. Amazon EC2 コンソールのダッシュボードで、[ Launch instance]を選択します。


  5. Deep Discovery InspectorのAMIを選択します。
    1. [Amazon Machine Image(AMI) の選択]画面の左側のペインで、[ AWS Marketplace ]を選択します。
    2. 検索ボックスで、 Trend Micro Deep Discovery Inspectorを検索します。


    3. 検索結果が表示されたら、[ 選択済み for Trend Micro Deep Discovery Inspector<version>]をクリックします。
  6. インスタンスの種類を選択します。
    1. [Instance Type ]画面で、ライセンスを取得したモデルのスループットに基づく最小仕様を満たすインスタンスタイプを選択します。

      詳細については、「 Deep Discovery Inspector AWS Deployment Guide」を参照してください。

    2. [Next:Configure Instance Details ]を選択して、インスタンスをさらに設定します。


  7. インスタンスの詳細を設定します。
    1. [Configure Instance Details ]画面で、次の設定を変更します。
      • ネットワーク:VPCを選択します。

      • Subnet:インスタンスを起動するサブネットを選択します。データポートのサブネットとして計画されているサブネットを選択します。

      • Public-IPを自動割り当て:[ 無効にするを無効にする]を選択します。トレンドマイクロ では、 Deep Discovery Inspector仮想アプライアンスをAWS NATゲートウェイの背後に配置することをお勧めします。



      • Network Interfaces:[ Add Device]を選択して、 Deep Discovery Inspector仮想アプライアンスインスタンスのセカンダリネットワークインタフェースを追加します。

        重要:

        オンプレミスのDeep Discovery Inspectorの管理ポートは、最初のNICポート( Deep Discovery Inspectorのeth0)に固定されています。AWS環境に適応するために、 Deep Discovery Inspector仮想アプライアンスは、管理ポートのポート列挙をポート1(eth1)に、データポートをポート0(eth0)にスワップしました。

      • デバイスeth0:

        • Subnet:サブネットは前の手順で設定済みです。

        • プライマリIP:サブネットの範囲からプライベートIPv4アドレスを入力するか、 を自動割り当てのままにして、AWSにプライベートIPv4アドレスを選択させます。

      • デバイスeth1:

        • Subnet:管理ポートのサブネットとして計画されているサブネットを選択します。

        • プライマリIP:サブネットの範囲からプライベートIPv4アドレスを入力するか、 を自動割り当てのままにして、AWSにプライベートIPv4アドレスを選択させます。

        • IPv6 IPs:(オプション)[ Add IP ]をクリックしてサブネットの範囲からIPv6アドレスを入力するか、 Auto-sign をそのままにしてAWSにIPv6アドレスを選択させます。



    2. [ Next:Add Storage ]をクリックして、インスタンスのルートボリュームサイズを指定します。
  8. ストレージを追加します。
    1. [Storage の追加]画面で次の設定を指定します。
      • サイズ:ストレージサイズは、ライセンスを取得したモデルのスループットに基づく最小仕様を満たしている必要があります。

        詳細については、「 Deep Discovery Inspector AWS Deployment Guide」を参照してください。

        注:

        ストレージサイズを増やすには、 Volume Type:Rootのストレージサイズを指定します。Deep Discovery Inspector仮想アプライアンスは、 Volume TypeRootの場合にのみ、ストレージをパーティション分割します。追加のストレージは使用されません。

      • Volume Type:初期設定値の 一般 SSD(gp2)を使用します。



    2. [ Next:Add ]をクリックして、カスタムタグを追加します。
  9. タグを追加します。
    1. [タグの追加] 画面で、キーと値の組み合わせを指定してタグを指定します。

      たとえば、 キーの場合は タイプの Name タイプの vDDI-demoです。

    2. [ Next:Configure Security Group]をクリックします。


  10. セキュリティグループを設定します。
    1. [Configure Security Group ]画面で、セキュリティグループを使用してDeep Discovery Inspector仮想アプライアンスインスタンスのファイアウォールルールを定義します。
      • 既存のセキュリティグループを使用するには、[ Select an existing security group]を選択し、セキュリティグループを選択します。

      • 新しいセキュリティグループを作成するには、[ Create a new security group]を選択します。

    2. 選択したセキュリティグループに次のルールが含まれていることを確認してください。
      表 1. 受信ルール

      種類

      プロトコル

      ポート範囲

      ソース

      理由

      SSH

      TCP

      22

      インスタンスに到達可能なCIDR

      Deep Discovery Inspector仮想アプライアンス事前設定コンソールにアクセスします。

      HTTPS

      TCP

      443

      インスタンスに到達可能なCIDR

      Deep Discovery Inspector仮想アプライアンス管理コンソールにアクセスします。

      カスタムUDP

      UDP

      4789

      ミラーソースまたはNLBのCIDR

      AWSトラフィックミラーで必要なVXLANトラフィックの場合

      カスタムTCP

      TCP

      14789

      NLBのCIDR

      Deep Discovery Inspector仮想アプライアンスによって実装され、NLBヘルスチェックに応答します。

      注:
      送信ルール:初期設定のセキュリティグループのルールでは、すべてのトラフィックが許可されます。Deep Discovery Inspector仮想アプライアンスは、初期設定の送信ルールで正常に動作します。次の例外が発生することがあります。
      • ポリシーでより具体的なプロトコルとポート番号が必要になる場合がある組織については、「 Deep Discovery Inspector Installation and Deployment Guide」の Chapter 2:About Your System> Ports Used by the Appliance を参照してください。

      • インフラストラクチャでインターネットへのアクセスを許可するドメインを備えたアウトバウンドプロキシが必要な組織では、詳細なアドレスについては Deep Discovery Inspector管理者ガイド を参照してください。

    3. [ Review]をクリックしてを起動します。
  11. [Instance Launch]を確認し、キーペアを選択します。
    1. [ Review Instance Launch ]画面でインスタンスの詳細を確認し、適切な[ Edit ]リンクを選択して必要な変更を加えます。
    2. [ Launch]をクリックします。
    3. [ 既存のキーペアの選択]または[新しいキーペア の作成]ダイアログボックスで、[ Proceed without a key pair]を選択します。
    4. インスタンスを起動するには、[確認]チェックボックスをオンにして、[ Launch Instances]をクリックします。


  12. Deep Discovery Inspector仮想アプライアンスの準備ができるまで待ちます。
    注:

    Deep Discovery Inspector仮想アプライアンスの準備が完了するまでに約15分かかります。

    1. 次の手順に従って、 Deep Discovery Inspectorのインストールの進行状況を表示します。
      1. 左側のナビゲーションページで、[ Instances]をクリックします。

      2. Deep Discovery Inspector仮想アプライアンスインスタンスを選択します。

      3. [ Actions] [ > Instance Settings] [ > Get Instance]スクリーンショット[]を選択します。


      詳細については、「 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html」を参照してください。

    2. Deep Discovery Inspector仮想アプライアンス事前設定コンソールが表示されたら、Deep Discovery Deep Discovery Inspectorの準備は完了です。


  13. Deep Discovery Inspectorのネットワーク設定を表示または設定します。
    1. https://console.aws.amazon.com/ec2/.でAmazon EC2コンソールを開きます。
    2. ナビゲーションペインで、[ Instances]を選択します。
    3. Deep Discovery Inspector仮想アプライアンスを選択します。
    4. アクションを選択します。 > ネットワーク > IPアドレスの管理
    5. eth1を展開します。 プライベートIPアドレス は、 Deep Discovery Inspector仮想アプライアンスの管理コンソールのIPアドレスです。
  14. Deep Discovery Inspectorを Trend Micro Vision Oneに接続します。

    詳細については、「 配置済みのDeep Discovery Inspectorの接続」を参照してください。

  15. Deep Discovery Inspectorを設定します。

    https://docs.trendmicro.com/en-us/enterprise/deep-discovery-inspector.aspxで、さまざまな導入オプションについては Deep Discovery Inspector AWS Deployment Guide を、Deep Discovery Inspectorの設定と管理の詳細については Deep Deep Discovery Inspector Deep Discovery Inspector管理者ガイド を参照してください。

  16. (オプション)ネットワークインベントリサービスを使用してネットワークセンサーを設定します。

    Workbench アプリからNetwork Analyticsレポートにアクセスするには、最初に特定の製品を設定する必要があります。

    詳細については、「 Network Inventory Serviceを使用したNetwork Sensorの設定」を参照してください。