Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

インストールスクリプトを使用したコンピュータの追加と保護

Deep Securityで保護対象リソースのリストにコンピュータを追加し、保護を実装するには、複数の手順を実行する必要があります。ほとんどの手順は、コンピュータのコマンドラインから実行できるので、スクリプト化が可能です。Deep Security Managerには、インストールスクリプトの作成を支援する機能が用意されており、[サポート] メニューからアクセスできます。

エージェントを、PowerShell 4.0またはcurl 7.34.0を含まない初期バージョンのWindowsまたはLinuxに展開する場合は、Deep Security Managerで提供されているものとは異なる配置スクリプトを使用する必要があります。 10.1以上。これについては、Deep Security ManagerでTLS 1.2を使用するに記載されています。Deep Security Manager 10.1以降には、 --tlsv1.2 (Linux)タグまたは Tls12; (Windows)タグが含まれているため、このタグは使用できません。このタグがあると、AgentとManagerの間でTLS 1.2通信の使用が強制されますが、古いOSではこの通信がサポートされていません。

Agentからのリモート有効化を有効にする

インストールスクリプトのインストール後にDeep Security Agentを自動的に有効にする場合は、Agentからのリモート有効化を許可するようにDeep Security Managerを設定する必要があります。この設定の詳細については、クラウドアカウント環境の通信方向およびAgentの設定を参照してください。

  1. [管理]→[システム設定]→[Agent] の順に選択します。
  2. [Agentからのリモート有効化を許可] を選択します。

インストールスクリプトを生成する

  1. Deep Security Managerコンソールの右上隅で、[サポート]→[インストールスクリプト] をクリックします。
  2. ソフトウェアをインストールするプラットフォームを選択します。

    リスト内のプラットフォームは、Deep Security ManagerにインポートされたAgentソフトウェアに対応します。Deep Securityソフトウェアのインポートの詳細については、Deep Security Agentソフトウェアの入手を参照してください。

  3. [インストール後にAgentを自動的に有効化] を選択します。

    Agentはコンピュータを保護するポリシーの適用前に有効にする必要があります。有効化により、最初の通信時にManagerにAgentが登録されます。

  4. 必要に応じて、[セキュリティポリシー][コンピュータグループ][Relayグループ][Deep Security Managerへの接続に使用するプロキシ][Relayへの接続に使用するプロキシ] を選択します。
  5. 必要に応じて (ただし、強く推奨します)、[Deep Security ManagerのTLS証明書を確認する] を選択します。

    このオプションを選択すると、AgentソフトウェアをダウンロードするときにDeep Security Managerが信頼できる認証局 (CA) の有効なTLS証明書を使用するため、「中間者」攻撃を回避できます。Deep Security Managerコンソールのブラウザバーで、Deep Security Managerが有効なCA証明書を使用しているかどうかをチェックできます。初期設定では、Deep Security Managerは自己署名証明書を使用するため、[Deep Security Manager TLS証明書の検証] オプションと互換性がありません。Deep Security Managerがロードバランサの背後に配置されていない場合に、初期設定の自己署名証明書と信頼できる認証局の証明書を置き換えるときの手順については、Deep Security ManagerのTLS証明書を変更します。を参照してください。Managerがロードバランサの背後に配置されている場合は、ロードバランサの証明書を置き換える必要があります。

  6. インストールスクリプトジェネレータにスクリプトが表示されます。[クリップボードにコピー] をクリックして、使用する配信ツールにインストールスクリプトを貼り付けるか、[ファイルに保存] をクリックします。

Deep Security ManagerによってWindows Agent環境用に生成されるインストールスクリプトには、Windows PowerShell 4.0以降が必要です。Powershellは管理者として実行する必要があり、スクリプトを実行するために次のコマンドを実行しなければならない場合があります。
Set-ExcecutionPolicy RemoteSigned

Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpacesまたはVPCのインスタンスを作成する場合は、生成したスクリプトをコピーして [User Data] フィールドに貼り付けます。このスクリプトによって既存のAmazon Machine Image (AMI) が起動され、Agentが自動的にインストールされて有効化されます。新しいインスタンスは、生成したインストールスクリプトで指定されているURLにアクセスできる必要があります。つまり、Deep Security Managerがインターネットに接続されているか、Amazon Web ServicesにVPN接続または直接接続されているか、またはDeep Security ManagerがAmazon Web Servicesにもインストールされている必要があります。

Linux環境用の [User Data] フィールドにインストールスクリプトをコピーする場合、インストールスクリプトをそのまま [User Data]フィールドにコピーすると、CloudInitによってsudoでスクリプトが実行されます(エラーが発生した場合、/var/log/cloud-init.logに記録されます)。

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用します。詳細については次を参照してください。
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

トラブルシューティングおよびヒント

  • インストールスクリプトを実行しようとして、終了コード2「AgentパッケージダウンロードでTLS証明書の検証に失敗しました。Deep Security Manager TLS証明書が信頼されたルート証明機関によって署名されていることを確認してください。詳細については、Deep Securityヘルプセンターで「インストールスクリプト」を検索してください。」が表示された場合、インストールスクリプトは、[Deep Security Manager TLS証明書の検証] チェックボックスを使用して作成されています。このエラーは、Deep Security ManagerがDeep Security ManagerとそのAgentの間の接続に公的に信頼されていない証明書 (初期設定の自己署名証明書など) を使用している場合、または証明書と信頼済みCAの間の信頼チェーンの証明書が見つからないなど、サードパーティの証明書に問題がある場合に表示されます。証明書の詳細については、Deep Security ManagerのTLS証明書を変更します。を参照してください。信頼済み証明書を置き換える代わりに、インストールスクリプトの生成時に [Deep Security Manager TLS証明書の検証] チェックボックスをオフにできます。セキュリティ上の理由から、この方法はお勧めしません。
  • PowerShell (x86) を使用してAgentをインストールする場合、次のエラーメッセージが表示されます。
    C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

    PowerShellスクリプトではProgramFilesの環境変数が「Program Files (x86)」ではなく、「Program Files」に設定されている必要があります。この問題を解決するには、PowerShell (x86) を終了して、スクリプトをPowerShellで管理者として実行します。

  • Windowsコンピュータでは、ローカルOSと同じプロキシ設定を使用してインストールスクリプトが実行されます。ローカルOSがプロキシを使用するように設定されていて、直接接続でしかDeep Security Managerにアクセスできない場合、インストールスクリプトは失敗します。
  • 展開スクリプトは rpm -Urpm -ihv を変更することで、エージェントの更新の代わりに、新規インストールを実行するように変更することができます。