檢視次數:
重要
重要
Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶
您仍然可以使用 API 將新帳戶新增到 Server & Workload Security保護。然而,趨勢科技 建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。本主題僅供參考。
您可以在 Server & Workload Security保護 中為由 AWS Auto Scaling 創建的新實例設置自動保護。
每個由 Auto Scaling 建立的實例都需要安裝代理程式。您可以透過兩種方式來完成此操作:您可以在用於建立 AMI 的 EC2 實例中包含預先安裝的代理程式,或者在 AMI 的啟動配置中包含部署程式檔來安裝代理程式。每個選項都有其優缺點:
  • 如果您包含預先安裝的代理程式,實例將更快啟動,因為不需要下載和安裝代理程式軟體。缺點是代理程式軟體可能不是最新的。為了解決此問題,您可以啟用啟動時升級功能。
  • 如果您使用部署程式檔來安裝代理程式,它將始終從Server & Workload Security保護獲取代理程式軟體的最新版本。

預先安裝代理程式 上層主題

如果您已經配置了代理的 EC2 實例,您可以使用該實例來創建 Auto Scaling 的 AMI。在創建 AMI 之前,您必須停用 EC2 實例上的代理並停止該實例:
dsa_control -r
每個由 Auto Scaling 建立的新 EC2 執行個體都需要啟用其代理程式並套用策略(如果尚未套用)。有兩種方法可以做到這一點:
  • 您可以建立一個部署程式檔來啟動代理程式,並選擇性地套用政策。然後將部署程式檔新增到 AWS 啟動配置中,以便在建立新實例時執行。請參閱下方的「使用部署程式檔安裝代理程式」部分的說明,但省略部署程式檔中獲取和安裝代理程式的部分。您只需要程式檔中的 dsa_control -a 部分。
注意
注意
要使部署腳本正常運作,必須在Server & Workload Security保護中啟用代理啟動的通訊。關於此設定的詳細資訊,請參閱使用代理啟動的啟動和通訊來啟動和保護代理
  • 您可以在Server & Workload Security保護中設置基於事件的任務,當實例啟動並發生“電腦防護已建立(由系統)”事件時,將激活代理並可選擇性地應用策略。

使用部署程式檔安裝代理程式 上層主題

Server & Workload Security保護 提供產生自訂部署程式檔的功能,您可以在建立 EC2 執行個體時執行這些程式檔。如果 EC2 執行個體未包含預先安裝的代理程式,部署程式檔應安裝代理程式、啟用代理程式、套用政策,並可選擇性地將機器指派到電腦群組和中繼群組。
秘訣
秘訣
您可以使用 Server & Workload Security保護 API 生成部署程式檔來自動化代理程式安裝。詳細資訊,請參閱 生成部署程式檔
為了使部署程式檔正常運作:
要使用部署程式檔為實例設置自動保護:

步驟

  1. 登入Server & Workload Security保護主控台。
  2. 從右上角的技術支援中心選單中,選擇Deployment Scripts
  3. 選擇您的平台。
  4. 選擇Activate Agent automatically after installation
  5. 選擇適當的Security Policy電腦群組Relay Group
  6. 點選 Copy to Clipboard
  7. 前往 AWS 啟動配置,展開 Advanced Details 並將部署程式檔貼到 User Data
    aws-autoscaling-and-ds-launchconfig_2=29683548-1e58-4790-b9b2-2fe764e16090.png

接下來需執行的動作

注意
注意
如果您在 Microsoft Windows AMI 上執行 PowerShell 部署程式檔時遇到問題,這些問題可能是由於從正在運行的實例創建 AMI 所引起的。AWS 支援從正在運行的實例創建 AMI,但此選項會禁用所有在從 AMI 創建的任何實例啟動時運行的 Ec2Config 任務。此行為會阻止實例嘗試運行 PowerShell 程式檔。
注意
注意
當您在 Windows 上建立 AMI 時,您需要手動或作為映像建立過程的一部分重新啟動用戶資料處理。用戶資料處理僅在 Windows 基礎 AMI 的第一次啟動時運行,除非明確指示否則(在初始啟動過程中已禁用),因此從自定義 AMI 建立的實例不會運行用戶資料,除非重新啟動該功能。使用 EC2Config 服務配置 Windows 實例 有關於如何重置該功能或確保其在第一次啟動時不被禁用的詳細說明和指示。最簡單的機制是將 <persist>true</persist> 包含在您的用戶資料中,前提是您擁有 EC2Config 版本 2.1.10 或更高版本。

由於自動調整,從 Server & Workload Security保護 刪除實例 上層主題

在您將 AWS 帳戶新增到 Server & Workload Security保護 後,因自動調整而不再存在於 AWS 的實例將自動從 Server & Workload Security保護 中移除。