Deep Security Managerをインストールする

インストーラによって既存のManagerのインストールが検出された場合は、新規インストールまたはアップグレードの選択画面が表示されます。

• 新規インストール（既存または新規のデータベースを使用できます）： Deep Securityソフトウェアをインストールし、データベースを初期化します。
• アップグレードのアップグレード：このオプションでは、新しいDeep Securityソフトウェアがインストールされますが、既存のコンピュータの詳細、ポリシー、侵入防御ルール、ファイアウォールルールなどは保持されます。必要に応じてデータベーススキーマが更新されます。必要に応じて、データは新しい形式に移行されます。

1. [ データベース]画面で、[ Microsoft SQL Server, Oracle Database]または[ PostreSQL]（ データベースの設定を設定します。
2. [ ホスト名 ]フィールドに、データベースホスト名を入力します。
3. [ データベース名 ]に、Deep Securityで使用するために作成した空のデータベースの名前を入力します。
4. Microsoft SQL Serverを選択した場合、マネージャの接続設定は認証の種類によって異なります。
   • SQL Server認証： SQLユーザの ユーザ名 および パスワード を入力します。
   • Active Directory認証： Active Directoryユーザの ユーザ名（ドメインなし）と パスワード を入力し、[ Advanced ]をクリックして、 ドメイン を個別に入力します。Active Directory認証は、Kerberos認証またはWindowsドメイン認証とも呼ばれます。

   SQL Serverドメイン認証の問題も参照してください。

   Microsoft SQL Serverでは、Windowsワークグループ認証はサポートされていません。

5. Oracle Database または PostgreSQLを選択した場合は、Deep Securityで使用するために作成した空のデータベースに対する権限を持つデータベース・ユーザのユーザ名とパスワードを入力します。

[ マスターキー ]画面で、マスターキーを設定します。このキーは、マネージャのデータベース、 dsm.properties ファイル、および configuration.properties ファイルのパスワードの暗号化に使用されます。次のいずれかのオプションを選択します。

• 後でを設定します。このオプションを選択すると、マスターキーは生成されません。代わりに、インストーラはハードコードされたシードを使用して上記のパスワードを暗号化します。暗号化されたパスワードの先頭には $1$が付いています（例： database.Oracle.password=$1$***）。後で、ハードコードされたシードの代わりにマスターキーを使用することにしたければ、 dsm_c -action masterkey コマンドを使用して切り替えることができます。詳細については、コマンドラインの基本を参照してください。
• Amazon Web Services（AWS）Key Management Service（KMS）を使用します。これは、ローカルファイルに依存しないため、キーのプロビジョニングに推奨される方法です。このオプションを選択すると、インストーラはAWS KMSと通信して、256ビット の対称カスタママスターキー（CMK）を取得します。このキーは、上記のパスワードの暗号化に使用されます。まだAWS KMSにCMKがない場合は、AWSの手順に従ってを作成してください。CMKのARNを、マネージャのインストーラの Amazonリソース名（ARN） フィールドに指定します。ARNを検索するには、AWSの手順に従ってください。暗号化されたパスワードの先頭には $DMK$が付いています（例： database.Oracle.password=$DMK$***）。
• ローカル環境変数（自動作成）を使用します。このオプションを選択すると、インストーラはマスターキーを生成し、これを使用して前述のパスワードを暗号化します。暗号化されたパスワードのプレフィックスは $DMK$です。インストーラは、 Secret フィールドで指定したシークレットを使用してマスターキーを暗号化し、暗号化されたキーを「name」が「LOCAL_KEY_SECRET」のローカル環境変数に格納します。秘密には次のものを含める必要
  • 大文字
  • 小文字の手紙
  • 数字
  • 特殊文字
  • 8〜64文字の間

  このシークレットは、 Deep Security Managerの初期設定時および の追加マネージャノードのインストール時に必要になるため、削除しないでください。

  LOCAL_KEY_SECRET値は、データベースを暗号化する実際のマスターキーを生成する目的で、salt（鍵生成プロセスに提供される一意の追加データ）です。鍵がなければ、データベースを盗む人はそれを復号化できません。塩がなければ、鍵自体は再計算できません。このシークレットのクライアント管理部分は、キー生成プロセスを独自の追加データでカスタマイズするためのオプションとして提供されています。しかし、塩の有無にかかわらず、実際のキーはクリアテキストでは保存されません。また、この文字列は、読み取り専用の権限を持つファイルに保存されます。

Deep Securityには少なくとも1つのリレーが必要です。Relayは保護対象のコンピュータにセキュリティアップデートを配布します。リレーの詳細については、 追加のリレーを配信する。

Deep Security Managerインストーラを実行すると、そのローカルディレクトリ内でエージェントインストーラの完全なZIPパッケージが検索されます。(Relayはその機能を有効にしたAgentです。)ZIPが見つからない場合、マネージャのインストーラはインターネット上のトレンドマイクロダウンロードセンターからダウンロードしようとします。

• どちらかの場所でAgentインストーラが見つかった場合、Managerのインストーラは、最新のRelayをインストールするよう提案します。

  次の理由から、トレンドマイクロではサーバ上にRelayをインストールすることを推奨します。

  • ManagerにとってローカルなRelayを提供する。
  • Relayがインストールされた古いコンピュータを廃止した場合も、少なくとも1つのRelayが常に使用可能となる。
  ManagerのインストーラがAgentをそのサーバに追加しても、Relay機能が有効になるだけです。セキュリティの初期設定は適用されません。Deep Security Managerでサーバを保護するには、 はそのエージェントにセキュリティポリシー を適用します。
• エージェントのインストーラが見つからない場合は、エージェントをダウンロードしてインストールしたり、後でリレーすることができます。