Trend Vision One Endpoint Security - Server & Workload Protectionにアップグレード

Deep Security 管理者は、Trend Vision One Endpoint Security - Server & Workload Protection へのアップグレードを準備する際に、この記事の指示をロードマップとして使用できます。

お使いの環境は、Deep Security Manager 20.0.513 (20 LTS Update 2021-10-14) 以降である必要があります。

一般的に、成功するアップグレードの操作順序は次のとおりです:

1. Trend Vision One Endpoint Security - Server & Workload Protectionを構成する
2. APIキーを作成
3. Trend Vision One Endpoint Security - Server & Workload Protectionのリージョンを見つける
4. Trend Vision One Endpoint Security - Server & Workload Protectionへのリンクを準備する
5. ポリシーの移行
6. 共通オブジェクトの移行
7. クラウドアカウントを移行する
8. エージェントの移行
9. その他のDeep Security設定の移行
10. ネットワークと通信の設定

Trend Vision One Endpoint Security - Server & Workload Protectionを構成する

Trend Vision Oneアカウントを持っていることに加えて、次の操作を行う必要があります:

• Trend Vision One を Foundation Services リリースに更新
• 新しいTrend Vision One Endpoint Security - Server & Workload Protectionインスタンスをプロビジョニングする

APIキーを作成

APIキーを作成するには、次の手順に従ってください:

1. Trend Vision Oneにログインする。
2. エンドポイントセキュリティオペレーション > サーバー & ワークロード保護 に移動します。
3. 管理 > ユーザ管理 > API Keys に移動し、Deep Security Migration の役割を持つ新しい API キーを作成します。
   
   Deep Security Migration の役割は事前に設定されており、Trend Vision One Endpoint Security - Server & Workload Protection によって管理されており、エージェントとポリシーの移行を実行する権限があります。追加の移行機能が実装されると、関連する権限が将来変更される可能性があることに注意してください。
4. キーを後で使用するために保存してください。

Trend Vision One Endpoint Security - Server & Workload Protectionの地域を決定する

地域を特定するには、次のようにデプロイメントスクリプトでACTIVATIONURLを使用することができます

1. [管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。
2. ソフトウェアパッケージを選択し、デプロイメントスクリプトを生成をクリックします。
3. デプロイメントスクリプトダイアログで、ACTIVATIONURLを確認します。以下は、アクティベーションURLとリージョンのマッピングです:
   
   
   
   

   アクティベーションURL	REGION
   dsm://agents.workload.jp-1.cloudone.trendmicro.com:443	JP-1
   dsm://agents.workload.in-1.cloudone.trendmicro.com:443	IN-1
   dsm://agents.workload.gb-1.cloudone.trendmicro.com:443	GB-1
   dsm://agents.workload.ca-1.cloudone.trendmicro.com:443	CA-1
   dsm://agents.workload.sg-1.cloudone.trendmicro.com:443	SG-1
   dsm://agents.workload.au-1.cloudone.trendmicro.com:443	AU-1
   dsm://agents.workload.de-1.cloudone.trendmicro.com:443	DE-1
   dsm://agents.deepsecurity.trendmicro.com:443	US-1

Trend Vision One Endpoint Security - Server & Workload Protectionへのリンクを準備する

ユーザがTrend Vision One Endpoint Security - Server & Workload Protection Linkを管理するには、Trend Vision One Endpoint Securityの管理を許可するロール権限を割り当てる必要があります。

1. Deep Security Manager コンソールで、サポート > Trend Vision One エンドポイントセキュリティにアップグレード を選択します。
2. Link to Trend Vision One Endpoint Security Account ダイアログを完了してください:
   1. 前のセクションで作成したAPIキーを入力します。
   2. Trend Vision One Endpoint Security - Server & Workload Protection アカウントが所在するリージョンを選択してください。
   3. [Save] をクリックします。

   以前にDeep SecurityとTrend Vision One Endpoint Security - Server & Workload Protectionの間に接続を設定し、リンクを変更したい場合は、リンクを変更する前に、以前の接続を使用したすべての移行関連タスクが完了していることを確認してください。そうしないと、予期しない動作が発生する可能性があります。

   各Deep Security Managerテナントは、1つのTrend Vision One Endpoint Security - Server & Workload Protectionリンクのみを許可します。

   Trend Vision One Endpoint Security - Server & Workload Protectionリンクの作成中に、Deep Security ManagerはTrend Vision One Endpoint Security - Server & Workload Protectionに接続してリンクを認証し、情報を取得します。Deep Security ManagerのインストールがTrend Vision One Endpoint Security - Server & Workload Protectionに接続するためにプロキシを必要とする場合は、Trend Vision One Endpoint Security - Server & Workload Protectionのプロキシを構成します。

Trend Vision One Endpoint Security へのアップグレード ダイアログが開き、設定の移行 タブが選択されています。

ユーザがすべての移行タスクを処理できるようにするには、Trend Vision One Endpoint Security への移行を許可する役割の権限を割り当てる必要があります。

次に、ポリシーをTrend Vision One Endpoint Security - Server & Workload Protectionに移行します。

その他のDeep Security設定の移行

次のアーティファクトをDeep Security環境で使用している場合は、移行してください:

• VMwareコネクタとデータセンターゲートウェイ
• コンピュータグループとスマートフォルダ
• プロキシ設定
• イベントとアラートのログ
• 追加設定

VMwareコネクタとデータセンターゲートウェイ

VMware 環境で実行されている仮想マシンには、他のワークロードと同様に Trend Vision One Endpoint Security - Server & Workload Protection サービスにエージェントを展開してアクティブ化することができます。VM インベントリを取得するために VMware vCenter に接続したい場合、Trend Vision One Endpoint Security - Server & Workload Protection は vCenter と通信する必要があります。これはデータセンターゲートウェイを通じて行われます。データの設定と vCenter インベントリのインポートに関する手順については、Trend Vision One Endpoint Security - Server & Workload Protection に VMware vCenter を追加する を参照してください。

コンピュータグループとスマートフォルダ

コンピュータグループとスマートフォルダには、まだ直接の移行方法がありません。Deep Security と Trend Vision One Endpoint Security - Server & Workload Protection にはコンピュータグループをリストおよび作成するための API があるため、大量のグループの移行は適切な API コールをスクリプト化することで自動化できます。

プロキシ設定

現在、Deep Security から Trend Vision One Endpoint Security - Server & Workload Protection へのプロキシ設定を自動的に移行する方法はありません。プロキシの設定の指示に従って、Trend Vision One Endpoint Security - Server & Workload Protection でエージェント通信のプロキシ設定を手動で構成できます。

マネージャーのプロキシを設定する必要はありません。これはTrend Vision One Endpoint Security - Server & Workload Protectionサービスの一部であり、トレンドマイクロによって管理されています。

イベントとアラートのログ

Deep Security と Trend Vision One Endpoint Security - Server & Workload Protection の主な違いは、マネージャ内のイベントおよびアラートデータの保持です。Trend Vision One Endpoint Security - Server & Workload Protection は、セキュリティイベントを4週間、システムイベントを13週間保持します。イベントをより長く保持する必要がある場合は、トレンドマイクロはイベントを SIEM またはログサーバーにエクスポートすることを推奨します。

イベントログが既に使用されている場合、アラートやイベントの受信方法のインフラストラクチャにいくつかの変更が必要になるかもしれません。Deep Security Managerがすべてのアラートとイベントをsyslogを介してローカルのsyslogサーバーに送信する従来のオンプレミス展開では、そのsyslogサーバーはTrend Vision One Endpoint Security - Server & Workload Protectionから直接アクセスできない可能性があります。次の代替案を検討してください:

• Trend Vision One Endpoint Security - Server & Workload Protection サービスからアクセス可能な新しい syslog サーバーを作成するには、Trend Vision One Endpoint Security - Server & Workload Protection イベントを Syslog または SIEM サーバーに転送するに記載されている手順に従ってください。
• エージェントを構成して、マネージャーを介さずにローカルのsyslogサーバーに直接イベントを送信するようにします。syslogでTLS暗号化を使用するには、イベントをTrend Vision One Endpoint Security - Server & Workload Protectionサービスから転送する必要があることに注意してください。エージェントは現在、syslogイベントのTLS暗号化をサポートしていません。
• syslogの代わりにAmazon SNSを使用します。「 Amazon SNSを設定する

追加設定

他の項目の設定（システム設定、レポート、イベントベースおよびスケジュールされたタスク、タグ、バージョン管理、API Keysなど）は、現在、自動化された移行機能の一部ではありません。これらはTrend Vision One Endpoint Security - Server & Workload Protectionで手動で再作成できます。これらの項目の多くは、Deep SecurityおよびTrend Vision One Endpoint Security - Server & Workload ProtectionのAPIで設定可能であり、自動化することができます。

Deep Security を Trend Vision One Endpoint Security - Server & Workload Protection にアップグレードする際、一部のシステム設定がサポートされない、または適用されない場合があります。これらの設定を API コールを通じて自動化する際には注意が必要です。これらの設定に関するガイダンスについては、トレンドマイクロ サポートにお問い合わせください。

ネットワークと通信の設定

以下のアーティファクトを評価してください:

• 必要なポート、プロトコル、およびURL
• プロキシ設定
• 検索されたサイズ使用率
• Relay の設定

必要なポート、プロトコル、およびURL

Deep Security Agent と Trend Vision One Endpoint Security - Server & Workload Protection 間のネットワーク通信は、エージェント と Deep Security Manager 間の通信とは異なります。アウトバウンドインターネットアクセスが制限されている環境では、特定の URL を許可する必要があります。完全なリストについては、ポート番号、URL、および IP アドレス を参照してください。

プロキシ設定

エージェント通信のためのプロキシの設定に関する情報については、Trend Vision One Endpoint Security - Server & Workload Protection サービスの プロキシの設定 を参照してください。

SOCKS4およびSOCKS5プロキシはエージェント通信に対応していません。エージェント通信にプロキシを使用する必要がある場合は、エージェントがTrend Vision One Endpoint Security - Server & Workload Protectionサービスにアクティベートされる前にHTTPプロキシを実装してください。

検索されたサイズ使用率

Deep Security Agentの配置に関するネットワーク計画を検討する際は、 エージェントのダウンロードと有効化、および継続的な操作とセキュリティパターンのアップデートの両方について、 エージェントの全体的なライフサイクルを考慮してください。

既存のDeep Securityエージェントを再インストールする必要はなく、Trend Vision One Endpoint Security - Server & Workload Protectionサービスに再アクティブ化するだけで済みます。アクティベーションスクリプトを使用して行われる新しいデプロイメントでは、次の帯域幅使用量が予想されます:

• エージェントのダウンロードとアクティベーション: Linuxで5 MB; Windowsで25 MB
• 初回セキュリティ更新のダウンロード: 50 MB Linux; 102 MB Windows

継続的なエージェントトラフィックは、検出アクティビティ、ポリシー設定、およびモジュールの使用状況によって大きく異なります。次のガイドラインに類似した、管理トラフィックのベースラインの使用を想定します。

• セキュリティアップデート（毎日1回、 スマートスキャン オン）：60MB
• セキュリティアップデート（1日1回、 スマートスキャン オフ）：120MB
• ハートビートのオーバーヘッド: 1回のハートビートにつき40 KB。デフォルトの間隔は10分; エージェント1台あたり1日約5.7 MB

詳細については、Trend Vision One Endpoint Security - Server & Workload ProtectionのSmart Protectionを参照してください。

ベースラインのトラフィックを超えて、エージェントがTrend Vision One Endpoint Security - Server & Workload ProtectionおよびVision Oneサービスと通信するため、検出が発生すると追加の帯域幅消費が発生します。これは予測が難しいですが、検出が少ない場合はエージェントごとに1時間あたり0.1 MB、検出率が高い場合はエージェントごとに1時間あたり最大3 MBの使用量を見込んでください。

Relay の設定

ほとんどの場合、Trend Vision One Endpoint Security - Server & Workload Protection サービスによって提供されるRelayは十分です。いくつかのシナリオでは、Relayを使用することで操作が改善される場合があります。詳細については、Relayの動作および追加のRelayの展開を参照してください。

Deep SecurityおよびTrend Vision One Endpoint Security - Server & Workload Protection APIを使用してアップグレード

Deep Security Manager と Trend Vision One Endpoint Security - Server & Workload Protection UI を使用してアップグレードを実行できます

• 一般的な要件とヒントについては、さらにお読みください。
• APIキーを作成し、APIドキュメントを使用してTrend Vision One Endpoint Security - Server & Workload Protectionリンクを作成します。
• Deep Security APIドキュメントを参照して、以下の情報を確認してください
  • ポリシーの移行
  • エージェントの移行
  • 共通オブジェクトの移行
  • AWSコネクタを移行する
• HTTP GET 呼び出しを使用して /policymigrationtasks/{taskID} からステータスを取得し、ポリシー移行ステータスを確認します。詳細については、Automation Center を参照してください。

現在、製品内の移行機能でサポートされていないアーティファクトは、一般的に Deep Security と Trend Vision One Endpoint Security - Server & Workload Protection API を組み合わせて、Deep Security デプロイメントから関連する設定やオブジェクトを読み取り、Trend Vision One Endpoint Security - Server & Workload Protection アカウントに書き込むことで移行できます。

一部のアーティファクトは現在のAPIでは利用できませんが、レガシーRESTおよびSOAP APIを介してアクセス可能です。また、一部の機能はDeep Securityのみに存在し、移行はサポートされていません。

以下はTrend Vision One Endpoint Security - Server & Workload Protectionでサポートされていません:

• Deep Security マルチテナント設定、/tenants API に従います。Trend Cloud One の複数アカウント管理は従来のオンプレミスのマルチテナントを超えており、これらの設定は Trend Vision One Endpoint Security - Server & Workload Protection には適用されません。
• AgentレスVMware環境の保護

現在のAPIには、以下のレガシーREST APIは含まれていません:

• ステータス監視
• SAML設定
• プロキシの設定、制御、および割り当て
• イベントの取得

現在のAPIに含まれていないSOAP APIは次のとおりです:

• プロキシの設定、制御、および割り当て
• イベントの取得
• アクション（アップデートエージェント、スキャンの実行など）
• ルール設定