コマンドラインの基本

次の形式で指定されたURLのManagerに対して、Agentを有効化します。

dsm://<host>:<port>/

指定する項目は次のとおりです。

• <host> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
• <port> は、管理者が待機している ポート番号です。

オプションで、引数の後に、アクティベーション時に送信する説明などの設定を指定することもできます。 「 Agentからのハートビート有効化コマンド (「dsa_control -m」)」を参照してください。これらは、区切り文字としてコロンを使用して、key:valueのペアとして入力する必要があります。入力できるキーと値のペアの数に制限はありませんが、キーと値のペアはスペースで区切る必要があります。スペースや特殊文字が含まれる場合は、key:valueのペアを引用符で囲む必要があります。

AgentのURLです。初期設定:

https://localhost:<port>/

にはManagerの待機ポート番号を入力します。

以前にDeep Security Managerで設定した認証パスワード。詳細については、「 Deep Security Managerを介してセルフプロテクションを設定する」を参照してください。パスワードが設定されている場合は、 dsa_control -a 、 dsa_control -x 、およびdsa_control -yを除くすべてのdsa_controlコマンドにパスワードを含める必要があります。

例: dsa_control -m -p MyPa$$w0rd

パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中のパスワードをアスタリスク (*) にして非表示にする場合は、対話形式のコマンド-p *を入力します。この場合、パスワードの入力を求めるプロンプトが表示されます。

例:

dsa_control -m -p *

Agentの自己保護を有効にします (1: 有効、0: 無効)。自己保護機能により、ローカルのエンドユーザはAgentをアンインストール、停止、または制御できなくなります。詳細については、「 WindowsでのAgentセルフプロテクションの有効化または無効化」を参照してください。これはWindowsのみの機能です。

dsa_controlでは自己保護を有効にできますが、関連付けられた認証パスワードを設定することはできません。そのためにはDeep Security Managerが必要です。詳細については、「Deep Security Managerを介してセルフプロテクションを設定する」を参照してください。設定したら、コマンドラインで-pまたは--passwd=オプションを使用してパスワードを入力する必要があります。

Deep Security 9.0以前では、このオプションは、-H <num>, --harden=<num>でした。

プロキシで認証が必要な場合は、-x オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例： # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>。

ユーザ名とパスワードを削除するには、空の文字列（ ""）を入力します。例： # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""。

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -xなしで -u オプションを使用できます。例： # ./dsa_control -u <existing username>:<new password>。

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

dsa_control -uの使用は、エージェントのローカル設定にのみ適用されます。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

プロキシで認証が必要な場合は、-y オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例： # ./dsa_control -y relay_proxy://<str> -w <new username>:<new password> 。

ユーザ名とパスワードを削除するには、空の文字列（ ""）を入力します。例： # ./dsa_control -y relay_proxy://<str> -w <existing username>:""。

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -yなしで -w オプションを使用できます。例： # ./dsa_control -w <existing username>:<new password>。

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

dsa_control -wの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

-uオプションも参照してください。

詳細については、 Deep Security Managerにプロキシ経由で接続する。

dsa_control -xの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

-wオプションも参照してください。

詳細については、 プロキシ経由でDeep Securityリレーに接続する）を参照してください。

dsa_control -yの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

ブール。

コンピュータ上で実行されている手動検索をキャンセルします。

ブール。

コンピュータに対して手動の不正プログラム検索を開始します。

文字列。

コンピュータの説明を設定します。最大2000文字。

文字列。

[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。

整数。

externalid値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。

文字列。

[コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。

スラッシュ (「/」) はグループの階層を示します。groupパラメータはグループの階層を読み取ったり、作成したりできます。
このパラメータは、メインの「コンピュータ」ルートブランチの下位にある標準のグループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。

整数。

文字列。

最大254文字。

ManagerがAgentに接続する際に使用するIPアドレス、ホスト名、またはFQDNを指定します。

ブール。

コンピュータで変更の検索を開始します。

文字列。

最大長は254文字です。

ポリシー名は、大文字と小文字を区別せずにポリシーリストに一致します。ポリシーが見つからない場合、ポリシーは割り当てられていません。

イベントベースのタスクによって割り当てられたポリシーは、Agentからの有効化中に割り当てられたポリシーよりも優先されます。

整数。

文字列。

コンピュータを特定のRelayグループにリンクします。最大長は254文字です。

Relayグループ名は、既存のRelayグループ名と大文字と小文字が区別されません。 Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。

イベントベースのタスクで割り当てられたRelayグループには影響しません。このオプションまたはイベントベースのタスクのいずれかを使用します。両方を使用することはできません。

整数。

整数。

文字列。

Agentからのリモート有効化をテナントとして使用する場合は、tenantIDとtokenの両方が必要です。tenantIDとtokenはインストールスクリプト生成ツールから取得できます。

ブール。

コンピュータで推奨設定の検索を開始します。

ブール。

セキュリティアップデートの実行をDeep Security Managerに指示します。

Deep Security Agent 12.0以降でUpdateComponentパラメータを使用する場合は、Deep Security Relayもバージョン12.0以降であることを確認してください。詳細を表示。

ブール。

コンピュータに変更監視ベースラインを再構築します。

ブール。

「ポリシーの送信」操作を実行するようDeep Security Managerに指示します。

オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。

一部のクエリコマンドでは、認証を直接バイパスできます。この場合、パスワードは必要ありません。

Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。

• "GetHostInfo": ハートビート中にManagerに返されるIDを照会します。
• "GetAgentStatus"：どの保護モジュールが有効になっているかを検索します. 不正プログラム対策 または 変更監視 検索のステータスおよびその他のその他の情報
• "GetComponentInfo": 不正プログラム対策のパターンおよびエンジンのバージョン情報を照会します。
• "GetPluginVersion": Agentと保護モジュールのバージョン情報を照会します。
• 「GetProxyInfo」 : すべてのプロキシタイプのプロキシ情報をクエリします。

1. 結果をフィルタするためのワイルドカードのパターンです(オプション)。

例:
dsa_query -c "GetComponentInfo" -r "au" "AM*"

1. より詳細なコンテンツを印刷するオプションとして。

例:
dsa_query -c GetProxyInfo details=true

区切り文字「|」を含むファイルパスまたはディレクトリ入力ファイルの絶対パスとディレクトリを区切ります。

ファイルパスとディレクトリの例: "c:\user data|c:\app\config.exe|c:\workapps"

コマンドの例: dsa_scan --target "c:\user data|c:\app\config.exe|c:\workapps"

任意

サポートされている処理は、パス、削除、隔離です。

パラメータ処理が指定されていない場合は、[手動検索設定] の現在のエージェント検索処理が適用されます。

コマンドの例: dsa_scan --action delete --target "c:\user data,c:\app\config.exe"

任意

出力ログファイルの絶対ファイルパス。

このオプションが指定されていない場合、検索結果はコマンドラインコンソールに出力されます。

出力ファイルの例: "c:\temp\scan.log"

コマンドの例: dsa_scan --target "c:\users\" --log "c:\temp\scan.log"

Azureエンドポイントを許可されたエンドポイントリストに追加します。このコマンドには ENDPOINT パラメータが必要です。このパラメータは、 https://<fqdn>の形式で指定する必要があります。許可されたエンドポイントリストは、 Deep Security ManagerにAzureアカウントを追加する際に指定されたエンドポイントの検証に使用されます。エンドポイントを指定しない場合、初期設定の組み込みエンドポイントのみが許可されます。

Azureアカウントの追加については、 Deep SecurityへのMicrosoft Azureアカウントの追加

関連するdsm_cオプション：

listazureendpoint removeazureendpoint

設定を変更します。

コマンドを実行する前に、デプロイメントをバックアップする必要があります。設定の影響を理解していない場合は、このコマンドを使用しないでください。設定に誤りがあると、サービスが使用できなくなったり、データを読み取れなくなったりする可能性があります。通常、このコマンドは、テクニカルサポートプロバイダから変更する設定NAMEを指示された場合にのみ使用します。通常の使用時にこのコマンドが必要になる場合があります。その場合の設定については、 masterkeyなど、ドキュメントの該当するセクションで説明されています。

システム用の診断パッケージを作成します。

必要に応じて、詳細な診断パッケージのプロセスメモリを増やすことができます。

許可されているAzureエンドポイントをすべてリストします。

関連するdsm_cオプション：

addazureendpoint removeazureendpoint

カスタムのマスターキーを生成、インポート、エクスポート、または使用して、以下を暗号化します。

• データベースのパスワード
• Keystoreパスワード
• 個人データ

カスタムマスターキーが設定されていない場合、 Deep Securityではハードコードされたシードが使用されます。

新規インストールの実行中にすでにマスターキーを設定している場合は、このセットアップは完了です。マスターキーの作成をスキップして、今すぐ設定する場合は、手順1のコマンドから開始してください。すべてのコマンドを順に入力します。新しいマスターキーを生成するには、手順1のコマンドから開始し、すべてのコマンドを順に入力します。

アップグレード時にマスターキーを設定した場合は、データベースとプロパティファイルをバックアップして、手順4のコマンドから開始してください。

1. dsm_c -action masterkey -subaction [generatekmskey -arn AWSARN | generatelocalkey] - Key Management System (KMS) キーのAmazon Resource Name (ARN) か、LOCAL_KEY_SECRETローカル環境変数を使用して、マスターキーを生成します。マルチノードDeep Security Managerでローカル環境変数を使用する場合は、システムレベルのすべてのノードで設定する必要があります (ユーザレベルの), では使用できません。また、最低でも次を含める必要があります。

   • 大文字
   • 小文字の手紙
   • 数字
   • 特殊文字
   • 8〜64文字

   マスターキーを設定する場合は、 Deep Security ManagerでKMSまたはLOCAL_KEY_SECRETへの権限と信頼性の高いネットワークアクセスが必要です。 Managerはこれらを使用して、使用時にマスターキーを暗号化および復号化します。一時的にアクセスできない場合、 Deep Security Managerは必要なデータを復号化できず、サービスを使用できなくなります。症状には、再起動の失敗やその他のさまざまなエラーに関するイベントログやアラートが断続的に表示されることがあります。

2. dsm_c -action masterkey -subaction export -file FILEPATH - マスターキーをバックアップのために、パスワードで暗号化されたファイルにエクスポートします。パスワードが要求されます。

   マスターキーは、安全な場所にエクスポートしてバックアップする必要があります。マスターキーを紛失または破損した場合、バックアップがないと、暗号化されたすべてのデータを読み取ることができなくなります。その場合は、Deep Security Manager、すべてのRelay、およびすべてのAgentを再インストールする必要があります。キーが盗まれると、Deep Security環境のセキュリティが危険にさらされます。欧州の一般データ保護規則 (GDPR) などの一部のコンプライアンス規制では、個人データの漏えいを72時間以内に法執行機関に通知することが法律で義務付けられている場合があり、違反した場合は罰金が科される可能性があります。詳細については、弁護士にご相談ください。

   障害復旧を目的にバックアップを検証するには、マスターキーをインポートしてテストします。

   dsm_c -action masterkey -subaction [importkmskey -file FILEPATH -arn AWSARN | importlocalkey -file FILEPATH] — マスターキーのバックアップをインポートします。これは、破損したキーのディザスタリカバリや、マスターキーを別のKMSに移行する場合に役立ちます。このコマンドを実行する前に、プライマリテナント (T0) データベースから既存のマスターキーを削除する必要があります。

   たとえば、以下のSQLコマンドを入力します。

   delete from systemsettings where uniquekey = 'settings.configuration.keyEncryptingKey'

3. dsm_c -action masterkey -subaction encryptproperties — マスター鍵を使用して、dsm.propertiesおよびconfiguration.propertiesのキーストアおよびデータベースのパスワードを暗号化します。この設定を有効にするには、 Deep Security Managerを再起動する必要があります。

4. dsm_c -action masterkey -subaction encrypttenantkey -tenantid [all | TENANTNUM] — マルチテナント環境の場合は、マスターキーを使用して既存のテナントキーシードを暗号化します。テナントキーシードは、次の手順で使用できるサブキーを派生させます。このコマンドは複数回実行できます (すでに暗号化されているシードに追加の暗号化レイヤは適用されません)。

   必要に応じて、既存の各テナントに段階的にロールアウトしながら、新しいテナントにのみ暗号化を適用するには、次のコマンドを実行します。

   dsm_c -action changesetting -name settings.configuration.encryptTenantKeyForNewTenants -value true

   環境内に(プライマリ)テナントが1つしかない場合、 tenantidはallまたは0のいずれかになります。

5. dsm_c -action masterkey -subaction encryptpii -tenantid [all | TENANTNUM] — マルチテナント環境の場合は、各テナントのキーを使用して、データベース内の管理者および連絡先の個人データを暗号化します。環境内に(プライマリ)テナントが1つしかない場合、 tenantidはallまたは0のいずれかになります。
6. dsm_c -action masterkey -subaction encryptdsmprivatekey -tenantid [all | TENANTNUM] — マスターキーを使用して、SSL/TLSを介したアクティベーションおよびAgent/Manager間の通信に使用される秘密鍵を暗号化します。環境内に(プライマリ)テナントが1つしかない場合、 tenantidはallまたは0のいずれかになります。
7. dsm_c -action masterkey -subaction isconfigured — マスターキーが作成されたかどうかを確認します。

許可されたエンドポイントリストからAzureエンドポイントを削除します。

dsm_c -action addazureendpoint コマンドを使用して追加されたエンドポイントのみを削除できます。初期設定の組み込みエンドポイントは削除できません。

関連するdsm_cオプション：

addazureendpoint listazureendpoint

信頼済み証明書を削除します。

dsm_c -action upgradetasks [-listtasksets] [-listtasks -taskset UPGRADE_TASK_SET [-force]] [-tenantlist] [-tenantsummary] [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGULAR_EXPRESSION]] [-showrollbackinfo -task TASKNAME] [-purgehistory [-task TASKNAME]] [-showhistory [-task TASKNAME]] [-tenantname TENANTNAME | -tenantid TENANTID]

• [-listtasksets]:システム全体またはテナント (-tenantnameで指定) 用の一連のタスクを一覧表示します。
• [-listtasks -taskset UPGRADE_TASK_SET [-force]]: 実行する変更内容を一覧表示します。すべてのタスクを表示するには、-forceを指定します。
• [-tenantlist]: 指定したテナントの未解決アップグレード処理のバージョンを表示します。
• [-tenantsummary]: 最新ではないテナントの概要を表示します。
• [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGX]]: 各テナントにアップグレード処理を実行します。実行済みであっても、すべてのタスクを実行する場合は、-forceを含めます。正規表現で処理を制限する場合は、-filterを含めます。
• [-showrollbackinfo -task TASKNAME]: 指定したタスクのロールバック情報を表示します。1つのテナントまたはすべてのテナントを表示できます。
• [-purgehistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を削除します。テナントやタスクを指定しないと、すべての項目が対象になります。
• [-showhistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を表示します。テナントやタスクを指定しないと、すべての項目が対象になります。