インストールスクリプトを使用したコンピュータの追加と保護

Deep Securityで保護対象リソースのリストにコンピュータを追加し、保護を実装するには、複数の手順を実行する必要があります。ほとんどの手順は、コンピュータのコマンドラインから実行できるので、スクリプト化が可能です。Deep Security Managerには、インストールスクリプトの作成を支援する機能が用意されており、[サポート] メニューからアクセスできます。

PowerShell 4.0以降またはcurl 7.3.4以降がインストールされていない、WindowsまたはLinuxの古いバージョンにAgentをインストールする場合は、Deep Security Manager 10.1以降で提供されるものとは異なるインストールスクリプトを使用する必要があります。これについては、Deep Security ManagerでTLS 1.2を使用するに記載されています。Deep Security Manager 10.1以降のインストールスクリプトを使用できないのは、--tlsv1.2 (Linux) タグまたはTls12; (Windows) タグが含まれているからです。このタグがあると、AgentとManagerの間でTLS 1.2通信の使用が強制されますが、古いOSではこの通信がサポートされていません。

Agentからのリモート有効化を有効にする

インストールスクリプトのインストール後にDeep Security Agentを自動的に有効にする場合は、Agentからのリモート有効化を許可するようにDeep Security Managerを設定する必要があります。この設定の詳細については、クラウドアカウント環境の通信方向およびAgentの設定を参照してください。

  1. [管理]→[システム設定]→[Agent] の順に選択します。
  2. [Agentからのリモート有効化を許可] を選択します。

インストールスクリプトを生成する

  1. Deep Security Managerコンソールの右上隅で、[サポート]→[インストールスクリプト] をクリックします。
  2. ソフトウェアをインストールするプラットフォームを選択します。

    リスト内のプラットフォームは、Deep Security ManagerにインポートされたAgentソフトウェアに対応します。Deep Securityソフトウェアのインポートの詳細については、Deep Security Agentソフトウェアの入手を参照してください。

  3. [インストール後にAgentを自動的に有効化] を選択します。

    Agentはコンピュータを保護するポリシーの適用前に有効にする必要があります。有効化により、最初の通信時にManagerにAgentが登録されます。

  4. 必要に応じて、[セキュリティポリシー][コンピュータグループ][Relayグループ][Deep Security Managerへの接続に使用するプロキシ][Relayへの接続に使用するプロキシ] を選択します。
  5. 必要に応じて (ただし、強く推奨します)、[Deep Security ManagerのTLS証明書を確認する] を選択します。

    このオプションを選択すると、AgentソフトウェアをダウンロードするときにDeep Security Managerが信頼できる認証局 (CA) の有効なTLS証明書を使用するため、「中間者」攻撃を回避できます。Deep Security Managerコンソールのブラウザバーで、Deep Security Managerが有効なCA証明書を使用しているかどうかをチェックできます。初期設定では、Deep Security Managerは自己署名証明書を使用するため、[Deep Security Manager TLS証明書の検証] オプションと互換性がありません。Deep Security Managerがロードバランサの背後に配置されていない場合に、初期設定の自己署名証明書と信頼できる認証局の証明書を置き換えるときの手順については、Deep Security Manager SSL証明書の置き換えを参照してください。Managerがロードバランサの背後に配置されている場合は、ロードバランサの証明書を置き換える必要があります。

  6. インストールスクリプトジェネレータにスクリプトが表示されます。[クリップボードにコピー] をクリックして、使用する配信ツールにインストールスクリプトを貼り付けるか、[ファイルに保存] をクリックします。

Deep Security ManagerによってWindows Agent環境用に生成されるインストールスクリプトには、Windows PowerShell 4.0以降が必要です。Powershellは管理者として実行する必要があり、スクリプトを実行するために次のコマンドを実行しなければならない場合があります。
Set-ExcecutionPolicy RemoteSigned

Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpacesまたはVPCのインスタンスを作成する場合は、生成したスクリプトをコピーして [User Data] フィールドに貼り付けます。このスクリプトによって既存のAmazon Machine Image (AMI) が起動され、Agentが自動的にインストールされて有効化されます。新しいインスタンスは、生成したインストールスクリプトで指定されているURLにアクセスできる必要があります。つまり、Deep Security Managerがインターネットに接続されているか、Amazon Web ServicesにVPN接続または直接接続されているか、またはDeep Security ManagerがAmazon Web Servicesにもインストールされている必要があります。

Linux環境用の [User Data] フィールドにインストールスクリプトをコピーする場合、インストールスクリプトをそのまま [User Data] フィールドにコピーすると、CloudInitによってsudoでスクリプトが実行されます (エラーが発生した場合、/var/log/cloud-init.logに記録されます)。

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用します。詳細については次を参照してください。
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

トラブルシューティングおよびヒント

  • インストールスクリプトを実行しようとして、終了コード2「AgentパッケージダウンロードでTLS証明書の検証に失敗しました。Deep Security Manager TLS証明書が信頼されたルート証明機関によって署名されていることを確認してください。詳細については、Deep Securityヘルプセンターで「インストールスクリプト」を検索してください。」が表示された場合、インストールスクリプトは、[Deep Security Manager TLS証明書の検証] チェックボックスを使用して作成されています。このエラーは、Deep Security ManagerがDeep Security ManagerとそのAgentの間の接続に公的に信頼されていない証明書 (初期設定の自己署名証明書など) を使用している場合、または証明書と信頼済みCAの間の信頼チェーンの証明書が見つからないなど、サードパーティの証明書に問題がある場合に表示されます。証明書の詳細については、Deep Security Manager SSL証明書の置き換えを参照してください。信頼済み証明書を置き換える代わりに、インストールスクリプトの生成時に [Deep Security Manager TLS証明書の検証] チェックボックスをオフにできます。セキュリティ上の理由から、この方法はお勧めしません。
  • PowerShell (x86) を使用してAgentをインストールする場合、次のエラーメッセージが表示されます。
    C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' は、コマンドレット、関数、スクリプトファイル、または操作可能なプログラムの名前として認識されません。名前が正しく記述されていることを確認し、パスが含まれている場合はそのパスが正しいことを確認してから、再試行してください。

    PowerShellスクリプトではProgramFilesの環境変数が「Program Files (x86)」ではなく、「Program Files」に設定されている必要があります。この問題を解決するには、PowerShell (x86) を終了して、スクリプトをPowerShellで管理者として実行します。

  • コンピュータで不正プログラム対策保護を使用しない場合は、不正プログラム対策エンジンをインストールしないように指定できます。指定するには、インストールスクリプト内の文字列「ADDLOCAL=ALL」を削除します。
  • Windowsコンピュータでは、ローカルOSと同じプロキシ設定を使用してインストールスクリプトが実行されます。ローカルOSがプロキシを使用するように設定されていて、直接接続でしかDeep Security Managerにアクセスできない場合、インストールスクリプトは失敗します。