エージェントをTrend Cloud One - Endpoint & Workload Securityに移行する

Trend Cloud One - Endpoint & Workload Securityに移行は複数のステップを含むプロセスです。

前提条件

  • APIを使用して移行する場合は、Deep Security Manager 20.0.321 (20 LTS 2021-01-26) 以降を使用していることを確認してください。また、Deep Security Manager移行ツールを使用して移行する場合は、Deep Security Manager 20.0.513 (20 LTS Update 2021-10-14) 以降を使用してください。
  • Deep Security Agent 20.0.0-3445 (20 LTS Update 2021-11-24) 以降を使用していることを確認してください。その後、Workload Security コンソールで 管理 > アップデート > ソフトウェア > ローカル に移動し、アカウントに対応する Deep Security Agent パッケージがあることを確認してください。
  • エージェントが移行をサポートするプラットフォームで実行されていることを確認してください:
    • エージェントプラットフォームサポート表 に、 Deep Security Manager 20でサポートされるエージェントプラットフォームを示します。
    • エージェントの移行は、IntelアーキテクチャのWindowsおよびLinuxプラットフォームでのみ検証されています。
    • Windows 2008 32ビット版ではエージェントの移行はサポートされていません。
  • Deep Security Manager と Workload Security の機能の違いにより、エージェントを移行する前に次の項目を無効にしてください:
  • もしまだ行っていない場合は、Trend Cloud One - Endpoint & Workload Securityに移行で説明されている前の手順を完了してください。これには、Trend Cloud One アカウントの作成、API キーの作成、および Workload Security へのリンクの準備が含まれます。

移行ツールを使用してエージェントを移行する

Trend Vision One Endpoint Security への移行ツールは、以前は Workload Security への移行と呼ばれていました。このツールは、Trend Vision One Endpoint Security - Server & Workload Protection と Trend Cloud One - Endpoint & Workload Security の両方の移行を可能にします。さらに、ツール自体に加えて、関連するロール構成も名前が変更されていることに注意してください。

  1. Deep Security Manager コンソールで、サポート > Trend Vision One エンドポイントセキュリティに移行 を選択します。
  2. Trend Vision One Endpoint Security への移行 ページが表示されたら、エージェント タブを選択します。
  3. [[コンピュータ] ページを使用した移行]を選択します。Deep Security [Computers] 画面が表示されます。
  4. 移行するコンピュータを1台以上選択します。
  5. アクション > Trend Vision One Endpoint Security への移行 を選択します。
  6. エージェントを移動する際に適用したい設定を指定し、移行をクリックしてください:
    • セキュリティポリシー: Deep SecurityポリシーをWorkload Securityに移行し、移行したエージェントに同じポリシーを適用したい場合は、移行ポリシーを割り当てるを選択します。別のポリシーを割り当てたい場合は、Trend Vision One Endpoint Securityからポリシーを選択を選択し、新しいポリシーを選択します。
    • コンピュータグループ: エージェントがWorkload Securityに配置されるコンピュータグループ。
    • Relayグループ:すべてのエージェントは、 Workload Securityのプライマリ Relayグループ に割り当てられます。
    • サーバーおよびワークロード保護マネージャーに連絡するためのプロキシ: エージェントがWorkload Securityに連絡するためにプロキシが必要な場合は、プロキシを選択します。
    • Relayに接続するプロキシ:Workload Security上のRelayに接続する必要がある場合は、プロキシを選択します。
    • 既存のホスト名、表示名、および説明を使用して移行:移行したエージェントの既存のホスト名、表示名、および説明を使用する場合に選択します。
    • コンピュータレベルの設定オーバーライドで移行:コンピュータレベルでオーバーライドのある設定を移行する場合に選択します。ルールの割り当ては含まれません。
  7. 移動ステータスを確認するを確認します。
  8. 問題が発生した場合は、 トラブルシューティングを確認してください。

移動ステータスを確認する

移動タスクのステータスは、API応答、コンピュータのページ、およびシステムイベントで確認できます。移動ステータスは、 スマートフォルダの検索条件でもあります。

移動タスクの元の状態は、エージェントがオンプレミスのDeep Security Managerによって管理されている状態です。

Diagram of move agent status

Status 説明 元の状態に復元する方法
移行要求済み

Workload Security への移動タスクが要求されました。

移動タスクはDeep Security Managerによって受け入れられましたが、まだエージェントに送信されていません。

N/A
移行中

コンピュータを Workload Securityに移動しています。

エージェントは移動タスクを受け入れ、 Workload Securityに移動しています。

N/A
移行完了

コンピュータは Workload Securityに正常に移動されました。

Deep Security Managerは、移動されたエージェントが Workload Securityで有効化されていることを識別できます。

エージェントを手動で再有効化してDeep Security Managerに戻します。

エージェントはすでに Workload Security 公開証明書を信頼していることに注意してください。エージェントを有効化してDeep Security Managerに戻す前に、 ds_agent_dsm_public_ca.crt ファイルを手動で削除する必要があります。

移行失敗

エージェントから Workload Securityへの接続の問題により、コンピュータは Workload Security に移動されませんでした。

エージェントは事前チェックを行っている間に移動タスクを拒否しました。

移動を再試行する前に:

  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。
  • ネットワークまたはファイアウォールの設定がエージェントがWorkload Securityに到達するのを妨げていないことを確認してください。
  • CLIを使用して、失敗した移動に関する情報を含む ds_agent.log ファイルを含むエージェント診断パッケージを作成します。診断パッケージの作成手順については、「 診断パッケージとログの作成」を参照してください。

コンソールで[警告]をクリアします。

エージェントは引き続きDeep Security Managerによって管理されます。

移動失敗

(応答なし)

エージェントが移動タスクに適切なタイミングで応答しなかったため、コンピュータが Workload Security に移動されませんでした。

移動を再試行する前に:

  • エージェントが稼働中であることを確認します。
  • エージェントがDeep Security Managerと適切に通信できることを確認します。

コンソールの警告をクリアします。

エージェントは引き続きDeep Security Managerによって管理されます。

移動失敗

(有効化に失敗)

Workload Security への移動が、アクティベーションの問題により失敗し、ロールバックされました。

事前チェックに成功しましたが、エージェントを Workload Securityに有効化できませんでした。

移動を再試行する前に:

  • Trend Vision One Endpoint Security Link(以前はWorkload Security Linkと呼ばれていました)が最新であることを確認してください。
  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。
  • CLIを使用して、失敗した移動に関する情報を含む dsa_move.log ファイルと dsa_control.log ファイルを含むエージェント診断パッケージを作成します。診断パッケージの作成手順については、「 診断パッケージとログの作成」を参照してください。

コンソールの警告をクリアします。

エージェントは引き続きDeep Security Managerによって管理されます。

移動に失敗した

(管理対象外)

アクティベーションの問題により、 Workload Security への移動が失敗し、移動を自動的にロールバックできませんでした。コンピュータが管理対象外の状態です。

事前チェックは合格しましたが、エージェントはWorkload Securityを有効にできませんでした。

この状態のエージェントは、ロールバック中に不明な問題が発生した可能性があり、エージェントの手動操作が必要です。

この問題のトラブルシューティング:

  • dsa_move.log ファイルを確認してください。失敗した移動に関する情報が含まれています。
  • エージェントを手動で復元するか、エージェントを再有効化してください。詳細については、トラブルシューティングを参照してください。

移動を再試行する前に:

  • Trend Vision One Endpoint Security Link(以前はWorkload Security Linkと呼ばれていました)が最新であることを確認してください。
  • アカウント情報、アクティベーショントークン、パブリックCA証明書、プロキシ設定など、移動に指定したすべてのパラメータが正しいことを確認します。

Deep Security Managerにエージェントを手動で復元します。

エージェントは引き続きホストコンピュータを保護していますが、 Deep Security Managerによって管理されていません。

詳細についてはトラブルシューティングを参照してください。

スマートフォルダ を使用して移動ステータスを表示する

  1. スマートフォルダ Editor から、検索条件 を展開します。
  2. 最初のリストで、プロパティStatus: Move Statusを選択します。
  3. 2番目のリストで、移動完了移動失敗などの値を選択します。

Smart folder query showing move status

トラブルシューティング

管理対象外のエージェントを手動で復元する

dsa_move.log ファイルを確認して、移動の失敗の根本原因を特定します。エージェントの停止または開始に失敗したため、エージェントの復元に失敗した可能性があります。

エージェントを停止できなかった場合

復元プロセス中にエージェントの停止に失敗した場合、ログに次のエラーメッセージが表示されます。

Unable to stop the agent. Agent restore failed.

エージェントを復元する方法は次のとおりです。

  1. エージェントサービスを停止します。
  2. エージェントのバックアップを復元します。
    1. エージェントの作業ディレクトリを探します。
      • Windowsのエージェント作業ディレクトリ: %ProgramData%\Trend Micro\Deep Security Agent\
      • Linux / Unixのエージェント作業ディレクトリ: /var/opt/ds_agent/
    2. そのディレクトリ内で、バックアップ名は backup_ で始まり、日付で終わります。次に例を示します。backup_2021-05-11_20.11.45
    3. diag ディレクトリと backup_* ディレクトリを除いて、エージェントの作業ディレクトリからすべてを削除します。
    4. backup_* ディレクトリからエージェントの作業ディレクトリにすべてをコピーします。
  3. エージェントサービスを開始します。
  4. dsa_control -mを使用してDeep Security Managerにハートビートを送信する
  5. エージェントが正常に復元された( Deep Security Managerで正常に有効化された)場合は、 backup_* ディレクトリを削除します。
エージェントを起動できなかった場合

復元プロセス中にエージェントの起動に失敗した場合は、次のエラーメッセージがログに表示されます。

Unable to start the agent. Agent restore failed.

エージェントを復元する方法は次のとおりです。

  1. エージェントサービスを開始します。
  2. dsa_control -mを使用してDeep Security Managerにハートビートを送信する

エージェントを移行するその他の方法

環境に十分な自動化ツールが含まれている場合、Workload Securityコンソール内のデプロイメントスクリプトからアクティベーションコマンドを抽出してエージェントを再アクティベートできます。エージェントがない新しいホストは、スクリプト全体を実行する必要があります。既存の最新のエージェントがあるホストは、デプロイメントスクリプトの最後にコメントとして記載されているdsa_controlコマンドだけを実行すればよいです。プロキシが使用されている場合、このコマンドの前にある数行を確認し、正しい値で実行してからアクティベーションコマンドを実行してください。再アクティベーションには再起動は不要で、プロセス中に保護が失われることもありません。

自動化インフラストラクチャが十分でない環境では、Deep Security MoveAgent API を使用できます。これにより、ターゲットの Workload Security アカウントに構成された Trend Vision One Endpoint Security Link(以前は Workload Security Link と呼ばれていました)を使用してエージェントが自動的に再アクティブ化されます。この方法には、Deep Security Manager 20.0.321 (20 LTS 2021-01-26) 以降および Deep Security Agent 20.0.0-3445 (20 LTS Update 2021-11-24) 以降が必要です。手順については、Deep Security APIと Workload Security APIを使用した移行を参照してください。

トレンドマイクロは、Workload Securityでエージェントをアクティベーション時に自動的にアップグレードするオプションを有効にすることを推奨します。これにより、最新のエージェントで提供される完全なセキュリティコントロールを確保できます。各Trend Cloud Oneリージョンで利用可能な最小エージェントバージョンは異なります。トレンドマイクロは可能な限り最新のエージェントバージョンを使用することを推奨しますが、アカウントで利用できない古いエージェントバージョンが必要な場合は、トレンドマイクロ サポートに連絡してください。