本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

インストールスクリプトを使用したコンピュータの追加と保護

Deep Securityで保護対象リソースのリストにコンピュータを追加し、保護を実装するには、複数の手順を実行する必要があります。ほとんどの手順は、コンピュータのコマンドラインから実行できるので、スクリプト化が可能です。Deep Security Managerには、インストールスクリプトの作成を支援する機能が用意されており、[サポート] メニューからアクセスできます。

Agentからのリモート有効化を有効にする

インストールスクリプトのインストール後にDeep Security Agentを自動的に有効にする場合は、Agentからのリモート有効化を許可するようにDeep Security Managerを設定する必要があります。Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する「Agentからのリモート有効化を有効にする」セクションを参照してください。

インストールスクリプトを生成する

  1. Deep Security Managerコンソールの右上隅で、[サポート]→[インストールスクリプト] をクリックします。
  2. ソフトウェアをインストールするプラットフォームを選択します。

    リスト内のプラットフォームは、Deep Security ManagerにインポートされたAgentソフトウェアに対応します。Deep Securityソフトウェアのインポートの詳細については、Deep Security Agentソフトウェアの入手を参照してください。

  3. [インストール後にAgentを自動的に有効化] を選択します。

    Agentはコンピュータを保護するポリシーの適用前に有効にする必要があります。有効化により、最初の通信時にManagerにAgentが登録されます。

  4. 必要に応じて、[セキュリティポリシー][コンピュータグループ][Relayグループ][Deep Security Managerへの接続に使用するプロキシ][Relayへの接続に使用するプロキシ] を選択します。
  5. 必要に応じて (ただし、強く推奨します)、[Deep Security ManagerのTLS証明書を確認する] を選択します。

    このオプションを選択すると、AgentソフトウェアをダウンロードするときにDeep Security Managerが信頼できる認証局 (CA) の有効なTLS証明書を使用するため、「中間者」攻撃を回避できます。Deep Security Managerコンソールのブラウザバーで、Deep Security Managerが有効なCA証明書を使用しているかどうかをチェックできます。初期設定では、Deep Security Managerは自己署名証明書を使用するため、[Deep Security Manager TLS証明書の検証] オプションと互換性がありません。Deep Security Managerがロードバランサの背後に配置されていない場合に、初期設定の自己署名証明書と信頼できる認証局の証明書を置き換えるときの手順については、Deep Security Manager TLS証明書の置き換えを参照してください。Managerがロードバランサの背後に配置されている場合は、ロードバランサの証明書を置き換える必要があります。

  6. オプションで(), を強くお勧めします。 を選択してください。エージェントインストーラファイルのデジタル署名チェックを開始するには、エージェントインストーラ の署名の妥当性検査を実行します。チェックに成功すると、エージェントのインストールが続行されます。チェックに失敗した場合、エージェントのインストールは中止されます。このオプションを有効にする前に、次の点を理解してください。
    • このオプションはLinuxおよびWindowsインストーラ(RPM、DEB、またはMSIファイルの).のみ)でサポートされます。
    • (Linuxのみ)このオプションでは、公開スクリプトを実行するクライアントコンピュータごとにパブリック署名キーをインポートする必要があります。詳細は、 RPMファイルの署名の確認 および DEBファイルの署名の確認の署名を確認します。
  7. インストールスクリプトジェネレータにスクリプトが表示されます。[クリップボードにコピー] をクリックして、使用する配信ツールにインストールスクリプトを貼り付けるか、[ファイルに保存] をクリックします。

Deep Security ManagerによってWindows Agent環境用に生成されるインストールスクリプトには、Windows PowerShell 4.0以降が必要です。Powershellは管理者として実行する必要があり、スクリプトを実行するために次のコマンドを実行しなければならない場合があります。Set-ExcecutionPolicy RemoteSigned
PowerShell 4.0またはcurl 7.34.0を最低限必要とする以前のバージョンのWindowsまたはLinuxにエージェントを配信する場合は、初期のTLSがマネージャおよびリレーで許可されていることを確認してください。詳細については、TLS 1.2が強制されているかどうかを確認するおよび初期のTLS (1.0) を有効にするを参照してください。また、次のように配置スクリプトを編集します。
  • Linux: --tls1.2 タグを削除します。
  • Windows: #requires -version 4.0 行を削除します。また、初期のTLS(バージョン1.0)がManagerとの通信に使用されるように、 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; 行も削除します。

Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpacesまたはVPCのインスタンスを作成する場合は、生成したスクリプトをコピーして [User Data] フィールドに貼り付けます。このスクリプトによって既存のAmazon Machine Image (AMI) が起動され、Agentが自動的にインストールされて有効化されます。新しいインスタンスは、生成したインストールスクリプトで指定されているURLにアクセスできる必要があります。つまり、Deep Security Managerがインターネットに接続されているか、Amazon Web ServicesにVPN接続または直接接続されているか、またはDeep Security ManagerがAmazon Web Servicesにもインストールされている必要があります。

Linux環境用の [User Data] フィールドにインストールスクリプトをコピーする場合、インストールスクリプトをそのまま [User Data]フィールドにコピーすると、CloudInitによってsudoでスクリプトが実行されます(エラーが発生した場合、/var/log/cloud-init.logに記録されます)。

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用します。詳細については次を参照してください。
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

トラブルシューティングおよびヒント

  • インストールスクリプトを実行しようとして、終了コード2「AgentパッケージダウンロードでTLS証明書の検証に失敗しました。Deep Security Manager TLS証明書が信頼されたルート証明機関によって署名されていることを確認してください。詳細については、Deep Securityヘルプセンターで「インストールスクリプト」を検索してください。」が表示された場合、インストールスクリプトは、[Deep Security Manager TLS証明書の検証] チェックボックスを使用して作成されています。このエラーは、Deep Security ManagerがDeep Security ManagerとそのAgentの間の接続に公的に信頼されていない証明書 (初期設定の自己署名証明書など) を使用している場合、または証明書と信頼済みCAの間の信頼チェーンの証明書が見つからないなど、サードパーティの証明書に問題がある場合に表示されます。証明書の詳細については、Deep Security Manager TLS証明書の置き換えを参照してください。信頼済み証明書を置き換える代わりに、インストールスクリプトの生成時に [Deep Security Manager TLS証明書の検証] チェックボックスをオフにできます。セキュリティ上の理由から、この方法はお勧めしません。
  • PowerShell (x86) を使用してAgentをインストールする場合、次のエラーメッセージが表示されます。C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

    PowerShellスクリプトではProgramFilesの環境変数が「Program Files (x86)」ではなく、「Program Files」に設定されている必要があります。この問題を解決するには、PowerShell (x86) を終了して、スクリプトをPowerShellで管理者として実行します。

  • Windowsコンピュータでは、ローカルOSと同じプロキシ設定を使用してインストールスクリプトが実行されます。ローカルOSがプロキシを使用するように設定されていて、直接接続でしかDeep Security Managerにアクセスできない場合、インストールスクリプトは失敗します。
  • 展開スクリプトは rpm -Urpm -ihv を変更することで、エージェントの更新の代わりに、新規インストールを実行するように変更することができます。