インストールスクリプトの使用

Deep Securityで保護対象リソースのリストにコンピュータを追加し、保護を実装するには、複数の手順を実行する必要があります。ほとんどの手順は、コンピュータのコマンドラインから実行できるので、スクリプト化が可能です。Deep Security Managerには、インストールスクリプトの作成を支援する機能が用意されており、[サポート] メニューからアクセスできます。

  1. [管理]→[システム設定]→[Agent] の順に選択します。
  2. [Agentからのリモート有効化を許可] を選択します。
  3. 画面右上にある [サポート]→[インストールスクリプト] をクリックします。

  4. ソフトウェアをインストールするプラットフォームを選択します。

    このメニューには、トレンドマイクロのダウンロードセンターからDeep Security Managerにインポートしたソフトウェアに対応するプラットフォームが表示されます。Deep Securityソフトウェアのインポートの詳細については、Deep Securityソフトウェアのアップデートを参照してください。

  5. [インストール後にAgentを自動的に有効化] を選択します

    ポリシーを適用するには、Deep Security ManagerでAgentを有効にしておく必要があります。

  6. オプションで、コンピュータに適用するポリシーを選択します。
  7. オプションで、このコンピュータに割り当てるコンピュータグループを選択します。
  8. オプションで、コンピュータで使用するRelayグループを選択します。
  9. 必要に応じて (ただし、強く推奨します)、[Deep Security ManagerのTLS証明書を確認する] を選択します。

    このオプションを選択すると、AgentソフトウェアをダウンロードするときにDeep Security Managerが信頼できる認証局 (CA) の有効なTLS証明書を使用するため、「中間者」攻撃を回避できます。Deep Security Managerコンソールのブラウザバーで、Deep Security Managerが有効なCA証明書を使用しているかどうかをチェックできます。

    Deep Securityソフトウェアのインストール環境のみ: 初期設定では、Deep Security Managerは自己署名証明書を使用するため、[Deep Security Manager TLS証明書の検証] オプションと互換性がありません。Deep Security Managerがロードバランサの背後に配置されていない場合に、初期設定の自己署名証明書と信頼できる認証局の証明書を置き換えるときの手順については、Deep Security ManagerのTLS証明書の置き換えを参照してください。Managerがロードバランサの背後に配置されている場合は、ロードバランサの証明書を置き換える必要があります。

  10. インストールスクリプトジェネレータにより、任意のインストールツールで使用できるスクリプトが生成されて表示されます。 インストールスクリプト
Deep Security ManagerによってWindows Agent環境用に生成されるインストールスクリプトには、Windows PowerShell 2.0以降が必要です。Powershellは管理者として実行する必要があり、スクリプトを実行するために次のコマンドを実行しなければならない場合があります。Set-ExcecutionPolicy RemoteSigned
インストールスクリプトでTLS 1.2を使用するには、PowerShell 4.0以降またはcurl 7.34.0以降が必要です。TLS 1.2を適用した場合、追加の要件が発生する可能性があります。詳細については、TLS 1.2適用後のAgent、Virtual Appliance、Relayのインストールに関するガイドラインを参照してください。

Amazon Web Servicesを使用していて、新しいEC2またはVPCのインスタンスを作成する場合は、生成したスクリプトを [User Data] フィールドにコピーします。このスクリプトによって既存のAmazon Machine Image (AMI) が起動され、Agentが自動的にインストールされて有効化されます。新しいインスタンスは、生成したインストールスクリプトで指定されているURLにアクセスできる必要があります。つまり、Deep Security Managerがインターネットに接続されているか、Amazon Web ServicesにVPN接続または直接接続されているか、またはDeep Security ManagerがAmazon Web Servicesにもインストールされている必要があります。

Linux環境用の [User Data] フィールドにインストールスクリプトをコピーする場合、インストールスクリプトをそのまま [User Data] フィールドにコピーすると、CloudInitによってsudoでスクリプトが実行されます (エラーが発生した場合、/var/log/cloud-init.logに記録されます)。

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用します。詳細については、を参照してください。
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/deploying.applications.html

Windowsコンピュータでは、ローカルOSと同じプロキシ設定を使用してインストールスクリプトが実行されます。ローカルOSがプロキシを使用するように設定されていて、直接接続でしかDeep Security Managerにアクセスできない場合、インストールスクリプトは失敗します。

トラブルシューティングおよびヒント

  • Deep Securityソフトウェアのインストール環境のみ: インストールスクリプトを実行しようとして、終了コード2「AgentパッケージダウンロードでTLS証明書の検証に失敗しました。Deep Security Manager TLS証明書が信頼されたルート証明機関によって署名されていることを確認してください。詳細については、Deep Securityヘルプセンターで「インストールスクリプト」を検索してください。」が表示された場合、インストールスクリプトは、[Deep Security Manager TLS証明書の検証] チェックボックスを使用して作成されています。このエラーは、Deep Security ManagerがDeep Security ManagerとそのAgentの間の接続に公的に信頼されていない証明書 (初期設定の自己署名証明書など) を使用している場合、または証明書と信頼済みCAの間の信頼チェーンの証明書が見つからないなど、サードパーティの証明書に問題がある場合に表示されます。証明書の詳細については、Deep Security ManagerのTLS証明書の置き換えを参照してください。信頼済み証明書を置き換える代わりに、インストールスクリプトの生成時に [Deep Security Manager TLS証明書の検証] チェックボックスをオフにできます。セキュリティ上の理由から、この方法はお勧めしません。