本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

インストールスクリプトを使用したコンピュータの追加と保護

Deep Securityの保護されたリソースのリストにコンピュータを追加し、保護を実装することは、複数のステップからなるプロセスです。ほとんどの手順は、コンピュータのコマンドラインから実行できるので、スクリプト化が可能です。Deep Security Managerには、 サポート情報メニューからアクセスできる配信スクリプト作成アシスタントが含まれています。

Deep Security Managerによって生成された配信スクリプトは、次の処理を実行します。

  • Deep Security Agentを選択したプラットフォームにインストールします。
  • エージェントをアクティベートする
  • エージェントにポリシーを割り当てる

インストールスクリプトを生成する

  1. 開始前の準備:
    1. エージェントソフトウェアがDeep Security Managerにインポートされていることを確認してください。詳細については、 Deep Security Agentソフトウェアの入手 の入手を参照してください。
    2. エージェントのバージョン管理設定が必要に応じて設定されていることを確認してください。詳細については、 エージェントのバージョン管理を設定する の設定を参照してください。
    3. エージェント起動アクティベーション(AIA)が有効になっていることを確認してください。AIAは、インストールスクリプトをインストール後にエージェントを有効にする場合に必要です。 Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する を使用したエージェントのアクティベートおよび保護を参照してください。
  2. Deep Security Managerコンソールの右上隅で、[サポート]→[インストールスクリプト] をクリックします。
  3. ソフトウェアをインストールするプラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。

    Agentはコンピュータを保護するポリシーの適用前に有効にする必要があります。有効化により、最初の通信時にManagerにAgentが登録されます。

  5. 必要に応じて、[セキュリティポリシー][コンピュータグループ][Relayグループ][Deep Security Managerへの接続に使用するプロキシ][Relayへの接続に使用するプロキシ] を選択します。
  6. 必要に応じて (ただし、強く推奨します)、[Deep Security ManagerのTLS証明書を確認する] を選択します。

    このオプションを選択すると、AgentソフトウェアをダウンロードするときにDeep Security Managerが信頼できる認証局 (CA) の有効なTLS証明書を使用するため、「中間者」攻撃を回避できます。Deep Security Managerコンソールのブラウザバーで、Deep Security Managerが有効なCA証明書を使用しているかどうかをチェックできます。初期設定では、Deep Security Managerは自己署名証明書を使用するため、[Deep Security Manager TLS証明書の検証] オプションと互換性がありません。Deep Security Managerがロードバランサの背後に配置されていない場合に、初期設定の自己署名証明書と信頼できる認証局の証明書を置き換えるときの手順については、Deep Security ManagerのTLS証明書を変更します。を参照してください。Managerがロードバランサの背後に配置されている場合は、ロードバランサの証明書を置き換える必要があります。

  7. オプションで(), を強くお勧めします。 を選択してください。エージェントインストーラファイルのデジタル署名チェックを開始するには、エージェントインストーラ の署名の妥当性検査を実行します。チェックに成功すると、エージェントのインストールが続行されます。チェックに失敗した場合、エージェントのインストールは中止されます。このオプションを有効にする前に、次の点を理解してください。
    • このオプションはLinuxおよびWindowsインストーラ(RPM、DEB、またはMSIファイルの).のみ)でサポートされます。
    • (Linuxのみ)このオプションでは、公開スクリプトを実行するクライアントコンピュータごとにパブリック署名キーをインポートする必要があります。詳細は、 RPMファイルの署名の確認 および DEBファイルの署名の確認の署名を確認します。
  8. インストールスクリプトジェネレータにスクリプトが表示されます。[クリップボードにコピー] をクリックして、使用する配信ツールにインストールスクリプトを貼り付けるか、[ファイルに保存] をクリックします。

Deep Security Manager for Windowsエージェントの配信で生成される配信スクリプトには、Windows PowerShell 4.0以上が必要です。PowerShellを管理者として実行する必要があります。スクリプトを実行するには、次のコマンドを実行する必要があります。 Set-ExecutionPolicy RemoteSigned
PowerShell 4.0またはcurl 7.34.0を最低限必要とする以前のバージョンのWindowsまたはLinuxにエージェントを配信する場合は、初期のTLSがマネージャおよびリレーで許可されていることを確認してください。詳細については、TLS 1.2が強制されているかどうかを確認するおよび初期のTLS (1.0) を有効にするを参照してください。また、次のように配置スクリプトを編集します。
  • Linux: --tls1.2 タグを削除します。
  • Windows: #requires -version 4.0 行を削除します。また、初期のTLS(バージョン1.0)がManagerとの通信に使用されるように、 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; 行も削除します。

Amazon Web Servicesを使用していて、新しいAmazon EC2、Amazon WorkSpacesまたはVPCのインスタンスを作成する場合は、生成したスクリプトをコピーして [User Data] フィールドに貼り付けます。このスクリプトによって既存のAmazon Machine Image (AMI) が起動され、Agentが自動的にインストールされて有効化されます。新しいインスタンスは、生成したインストールスクリプトで指定されているURLにアクセスできる必要があります。つまり、Deep Security Managerがインターネットに接続されているか、Amazon Web ServicesにVPN接続または直接接続されているか、またはDeep Security ManagerがAmazon Web Servicesにもインストールされている必要があります。

Linux環境用の [User Data] フィールドにインストールスクリプトをコピーする場合、インストールスクリプトをそのまま [User Data]フィールドにコピーすると、CloudInitによってsudoでスクリプトが実行されます(エラーが発生した場合、/var/log/cloud-init.logに記録されます)。

[User Data] フィールドは、CloudFormationなどの他のサービスでも使用します。詳細については次を参照してください。
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-waitcondition.html

トラブルシューティングおよびヒント

  • インストールスクリプトを実行しようとして、終了コード2「AgentパッケージダウンロードでTLS証明書の検証に失敗しました。Deep Security Manager TLS証明書が信頼されたルート証明機関によって署名されていることを確認してください。詳細については、 Deep Securityのヘルプセンターで「配信スクリプト」を検索してください。「」、 「 Deep Security Manager TLS証明書のEDC証明書の検証」 チェックボックスが選択された配信スクリプトが作成されました。このエラーは、Deep Security ManagerがDeep Security ManagerとそのAgentの間の接続に公的に信頼されていない証明書 (初期設定の自己署名証明書など) を使用している場合、または証明書と信頼済みCAの間の信頼チェーンの証明書が見つからないなど、サードパーティの証明書に問題がある場合に表示されます。証明書の詳細については、Deep Security ManagerのTLS証明書を変更します。を参照してください。信頼する証明書を置き換える代わりに、配置スクリプトの生成時に [ Deep Security Manager TLS証明書の検証] チェックボックスをオフにすることもできます。セキュリティ上の理由から、この方法はお勧めしません。
  • PowerShell (x86) を使用してAgentをインストールする場合、次のエラーメッセージが表示されます。C:\Program Files (x86)\Trend Micro\Deep Security Agent\dsa_control' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

    PowerShellスクリプトではProgramFilesの環境変数が「Program Files (x86)」ではなく、「Program Files」に設定されている必要があります。この問題を解決するには、PowerShell (x86) を終了して、スクリプトをPowerShellで管理者として実行します。

  • Windowsコンピュータでは、ローカルOSと同じプロキシ設定を使用してインストールスクリプトが実行されます。ローカルOSがプロキシを使用するように設定されていて、直接接続でしかDeep Security Managerにアクセスできない場合、インストールスクリプトは失敗します。
  • 展開スクリプトは rpm -Urpm -ihv を変更することで、エージェントの更新の代わりに、新規インストールを実行するように変更することができます。
  • 配信スクリプトで使用される特定のエージェントのバージョンを制御する必要がある場合は、次の2つのオプションを使用してこの目標を達成できます。
    • エージェントバージョン管理を使用します。詳細については、 エージェントのバージョン管理を設定する の設定を参照してください。このアプローチには、各スクリプトにエージェントのバージョン自体をハードコードする必要がないという利点があります。これは、一部の展開ではより柔軟なアプローチになる可能性があります。
    • 展開スクリプトを変更するか、独自のスクリプトを作成して、展開に固有の要件を満たしてください。エージェントをダウンロードするためのURL形式の詳細は、こちらを参照してください。 エージェントのダウンロードURL形式のダウンロードURL形式。
  • マネージャによって生成された配信スクリプトを使用する代わりに、独自の自動化メソッドとクライアントダウンロードURLを組み合わせて、クライアントのダウンロードとインストールを自動化できます。詳細については、エージェントのダウンロードURL形式を参照してください。