本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Trend Cloud One - Endpoint & Workload Securityに移行

環境をTrend Cloud One - Endpoint & Workload Securityに移行する準備をしているDeep Security管理者は、この記事の手順を使用して、移行を成功させるためのロードマップを作成できます。

Deep Security Manager 20.0.513 (20 LTS Update 2021-10-14) 以降である必要があります。

一般的に、成功する移行のための操作順序は次のとおりです:

Workload Security アカウント、ユーザー、ロール、および認証を設定する
ロールとAPIキーを作成
Workload Securityへのリンクを準備する
ポリシーの移行
共通オブジェクトの移行
クラウドアカウントを移行する
エージェントの移行
その他のDeep Security設定の移行
ネットワークと通信の設定

Workload Security アカウント、ユーザー、ロール、および認証を設定する

Workload Security サービスを使用するには、Trend Cloud One アカウントが必要です。設定、ポリシー、またはコンピュータをサービスに移行する前に、アカウントを設定してください。

SAML は Trend Cloud One で 2 つのサポートレベルがあります: 特に Workload Security の場合と共通レベルの場合です。これらの手順は Deep Security と Workload Security を接続する方法を説明します。

Trend Cloud Oneには、2021年8月4日以降に作成された新しいアカウントと、2021年8月4日より前に作成された従来のアカウントの2種類があります。アカウントの種類がわからない場合は、「Trend Cloud Oneアカウントの変更点」を参照してください。

新しいTrend Cloud Oneアカウントは、新しいアイデンティティおよびアクセス管理システムを使用します。Workload Securityに移行する際にユーザとロールを正しく管理する方法について詳しく理解するために、Trend Cloud Oneアカウントおよびユーザ管理ドキュメントを確認してください。

もしレガシーのTrend Cloud Oneアカウントをお持ちの場合、ユーザおよびロールの権限をDeep Security実装からレガシーアカウントのWorkload Securityに手動で移行する必要があります。レガシーアカウントのユーザおよびロールの構成は、Deep Securityソフトウェア実装とほぼ同一であり、既存の機能を複製します。

SAML を Deep Security Manager で使用している場合は、Workload Security コンソールで SAML を構成し、認証とロールマッピングを実行するアイデンティティプロバイダにエクスポートされた適切なサービスプロバイダメタデータをインポートする必要があります。

ADFS経由でSAML経由で委任されないかぎり、認証のためのActive Directoryとの統合は Workload Security ではサポートされません。

ロールとAPIキーを作成

指示に従って、カスタムロールを定義するでカスタムロールを作成します。事前定義された権限 Deep Security サービス Workload Security の移行をロールに割り当てます。Deep Security 移行権限は事前構成されており、エージェントやポリシーの移行を実行する権利を持つ Workload Security によって管理されています。追加の移行機能が実装されると、関連する権利が将来変更される可能性があります。ロールを作成した後、新しい API キーを作成するの手順に従って、定義されたロールで API キーを作成します。

トレンドマイクロは、APIキーにフルアクセスの役割を割り当てないことを強く推奨します。これによりセキュリティ上の懸念が生じます。

Workload Securityへのリンクを準備する

Trend Vision One Endpoint Security への移行（以前は Workload Security ツールへの移行と呼ばれていました）は、Trend Vision One Endpoint Security - Server & Workload Protection および Trend Cloud One - Endpoint & Workload Security の両方の移行を可能にします。ツール自体に加えて、関連するロール構成も名前が変更されたことに注意してください。

ロール権限Trend Vision One Endpoint Security Linkの管理を許可は、ユーザがTrend Vision One Endpoint Security Linkを管理するために割り当てられる必要があります。

Deep Security Manager コンソールで、サポート > Trend Vision One エンドポイントセキュリティに移行 を選択します。
Trend Vision One Endpoint Security へのリンク ページで:
1. 前のセクションで作成したAPIキーを入力します。
2. Workload Security アカウントがあるリージョンを選択します。
3. [Save] をクリックします。
以前にDeep Securityと Workload Security の間の接続を設定していて、リンクを変更する場合は、リンクを変更する前に、以前の接続を使用するすべての移行関連タスクが完了していることを確認してください。そうしないと、予期しない動作が発生する可能性があります。
各Deep Security Managerテナントは、1つのTrend Vision One Endpoint Security Link（旧称Workload Security Link）のみを許可します。
Trend Vision One Endpoint Security Link（以前はWorkload Security Linkと呼ばれていました）の作成中に、Deep Security ManagerはWorkload Securityに接続してリンクを認証し、情報を取得します。Deep Security ManagerのインストールがWorkload Securityに接続するためにプロキシを必要とする場合は、Workload Securityのプロキシを構成します。
Trend Vision One Endpoint Security への移行 ページが表示され、設定の移行 タブが選択されています。
ユーザがすべての移行タスクを処理できるようにするには、Trend Vision One Endpoint Security への移行を許可する役割の権限を割り当てる必要があります。

次に、ポリシーを Workload Security

その他のDeep Security設定の移行

次に、Deep Security環境で使用している場合は、次のアーティファクトを移行します:

VMwareコネクタとデータセンターゲートウェイ
コンピュータグループとスマートフォルダ
プロキシ設定
イベントとアラートのログ
追加設定
Trend Micro Vision One （XDR）登録

VMwareコネクタとデータセンターゲートウェイ

VMware環境で実行されている仮想マシンでは、他のワークロードと同様に、エージェントを Workload Security サービスに配信して有効化できます。VMware vCenterに接続して仮想マシンのインベントリを取得する場合は、 Workload Security がvCenterと通信する必要があります。これは、データセンターゲートウェイを介して実行されます。データの設定とvCenterインベントリのインポートの手順については、「 Workload SecurityにVMware vCenterを追加する」を参照してください。

コンピュータグループとスマートフォルダ

コンピュータグループとスマートフォルダには、まだ直接移行する方法はありません。Deep SecurityとWorkload Securityコンピュータグループを一覧表示および作成するためのAPIがあるため、適切なAPI呼び出しをスクリプト化することで、多数のグループの移行を自動化できます。

プロキシ設定

現在、プロキシ設定をDeep Securityから Workload Securityに自動的に移行する方法はありません。「プロキシの設定」の手順に従って、 Workload Security でエージェント通信のプロキシ設定を手動で設定できます。

Managerのプロキシは Workload Security サービスの一部であり、トレンドマイクロが管理しているため、プロキシを設定する必要はありません。

イベントとアラートのログ

Deep Security と Workload Security の主な違いは、マネージャ内のイベントおよびアラートデータの保持です。Workload Security はセキュリティイベントを 32 日間、システムイベントを 91 日間保持します。イベントをより長く保持する必要がある場合は、トレンドマイクロはイベントを SIEM またはログサーバーにエクスポートすることを推奨します。

すでにイベントログを使用している場合、アラートやイベントを受信するためにインフラストラクチャの変更が必要になることがあります。Deep Security Managerがすべてのアラートとイベントをsyslogを介してローカルのsyslogサーバーに送信する従来のオンプレミス展開では、そのsyslogサーバーがWorkload Securityから直接アクセスできない場合があります。次の代替案を検討してください:

Workload Security サービスからアクセス可能な新しい syslog サーバーを次の手順に従って作成します: Workload Security イベントを Syslog または SIEM サーバーに転送する。
Manager経由ではなくローカルのSyslogサーバにイベントを直接送信するようにAgentを設定します。SyslogでTLS暗号化を使用するには、イベントを Workload Security サービスから転送する必要があります。エージェントは現在、SyslogイベントのTLS暗号化をサポートしていません。
syslogの代わりにAmazon SNSを使用します。「 Amazon SNSを設定する」を参照してください。

追加設定

他のアーティファクトの構成（システム設定、レポート、イベントベースおよびスケジュールされたタスク、タグ、バージョン管理、API Keysなど）は、現在のところ自動化された移行機能の一部ではありません。これらはWorkload Securityで手動で再作成できます。これらのアーティファクトの多くは、Deep SecurityおよびWorkload SecurityのAPIで構成可能であり、自動化することができます。

一部のシステム設定は、Deep Security から Workload Security への移行時にサポートされないか、適用されない場合があります。これらの設定を API コールを通じて自動化する際には注意が必要です。これらの設定に関するガイダンスについては、トレンドマイクロサポートにお問い合わせください。

Trend Micro Vision One （XDR）登録

Trend Micro Vision One は Workload Security に含まれていますが、Workload Security コンソールで有効にするには登録トークンが必要です。ポリシーやコンピュータ設定でアクティビティ監視を有効にすることもできます。詳細については、Workload Security と Trend Micro Vision One の統合を参照してください。

ネットワークと通信の設定

次の項目を評価します。

必要なポート、プロトコル、およびURL
プロキシ設定
検索されたサイズ使用率
Relay の設定

必要なポート、プロトコル、およびURL

Deep Security Agent と Workload Security 間のネットワーク通信は、エージェントと Deep Security Manager 間の通信とは異なります。アウトバウンドインターネットアクセスが制限されている環境では、特定の URL を許可する必要があります。完全なリストについては、ポート番号、URL、および IP アドレスを参照してください。

プロキシ設定

Workload Security サービスへのエージェント通信用のプロキシーの構成については、「プロキシの設定」を参照してください。

SOCKS4およびSOCKS5プロキシは、エージェント通信ではサポートされていません。エージェント通信にプロキシを使用する必要がある場合は、エージェントが Workload Security サービスに対して有効化される前に、HTTPプロキシを実装します。

検索されたサイズ使用率

Deep Security Agentの配置に関するネットワーク計画を検討する際は、エージェントのダウンロードと有効化、および継続的な操作とセキュリティパターンのアップデートの両方について、エージェントの全体的なライフサイクルを考慮してください。

既存のDeep Securityエージェントは再インストールする必要はなく、Workload Securityサービスに再アクティブ化するだけです。アクティベーションスクリプトを使用して行われる新しいデプロイメントでは、次の帯域幅使用量が予想されます:

エージェントのダウンロードとアクティベーション: Linuxで5 MB; Windowsで25 MB
初回セキュリティ更新のダウンロード: 50 MB Linux; 102 MB Windows

継続的なエージェントトラフィックは、検出アクティビティ、ポリシー設定、およびモジュールの使用状況によって大きく異なります。次のガイドラインに類似した、管理トラフィックのベースラインの使用を想定します。

セキュリティアップデート（毎日1回、スマートスキャンオン）：60MB
セキュリティアップデート（1日1回、スマートスキャンオフ）：120MB
ハートビートのオーバーヘッド: ハートビートごとに40 KB。デフォルトの間隔は10分; エージェントごとに1日約5.7 MB

詳細については、Workload SecurityのSmart Protectionを参照してください。

ベースラインのトラフィックを超えると、エージェントがWorkload SecurityおよびVision Oneサービスと通信するため、検出が追加の帯域幅消費を引き起こします。これは予測が難しいですが、検出が少ない場合はエージェント1つあたり1時間に0.1 MB、検出率が高い場合はエージェント1つあたり1時間に最大3 MBの使用を見込んでください。

Relay の設定

ほとんどの場合、Workload Securityサービスによって提供されるRelayは十分です。いくつかのシナリオでは、Relayを使用することで操作が改善されることがあります。詳細については、Relayの仕組みおよび追加のRelayの展開を参照してください。

Deep Security APIと Workload Security APIを使用した移行

この記事および関連する記事では、 Deep Security Managerおよび Workload Security UIを使用して移行を実行する方法について説明します。APIを使用する場合：

一般的な要件とヒントについては、こちらの記事を参照してください。
ロールとAPIキーを作成
APIドキュメントに従って、Workload Securityリンクを作成してください。
次の情報については、Deep Security API ドキュメントを参照してください
ポリシーの移行ステータスを確認するには、HTTP GET呼び出しを使用して /policymigrationtasks/{taskID}からステータスを取得します。詳細については、「 Workload Security Automation Center」を参照してください。

製品内の移行機能で現在サポートされていない項目は、通常、 Deep Securityと Workload Security APIの組み合わせを使用して移行し、 Deep Security配置から関連する設定またはオブジェクトを読み取り、 Workload Security アカウントに書き込むことができます。。

いくつかのアーティファクトは現在のAPIでは利用できませんが、従来のRESTおよびSOAP APIを介してアクセス可能です。また、いくつかの機能はDeep Securityのみに存在し、移行はサポートされていません。

Workload Securityでサポートされていない機能：

Deep Security マルチテナント設定、/tenants API に従います。Trend Cloud One の複数アカウント管理は従来のオンプレミスのマルチテナントを超えており、これらの設定は Workload Security には適用されません。
VMware環境向けのAgentレス保護

現在のAPIにないレガシーREST APIの機能：

ステータス監視
SAML設定
プロキシの設定、制御、および割り当て
イベントの取得

現在のAPIにないSOAP APIの機能：

プロキシの設定、制御、および割り当て
イベントの取得
処理（エージェントのアップデート、検索の実行など）
ルール設定