本手順では、管理対象のAgentを手動でDSMからC1WSへ移行する手順を掲載しています。
DS20.0をご利用の場合、管理コンソール上での操作により、Agentを自動的にC1WSへ移行することが可能です。詳細は下記ヘルプセンターページをご参照ください。
移行前の事前確認
Deep SecurityとC1WSの構成概要
Deep SecurityとC1WSの構成概要は以下の通りです。
Deep SecurityとC1WSの構成の違い
Deep Securityでは、DSAを管理するためManagerおよびRelayを構築・運用する必要がありますが、 C1WSでは、ManagerおよびRelayをクラウドサービスとして提供しているため、お客様が構築・運用する必要はございません。
システム要件/互換性の確認
以下にて事前にC1WSの動作要件をご確認ください。
特にDSAからWorkload Security URLへの通信に問題がないことを予めご確認ください。
Relayは既にC1WSの一部として提供されているため、通常、お客様環境でRelayを構築いただく必要はございません。
一部のプラットフォームを除き、DSA10.0 はC1WSで管理することができません。 C1WSにてサポートされないDSA10.0をご利用の場合、下記ドキュメントをご参照の上、移行前にDSA11.0以上へアップグレードしてください。
C1WSは、Deep Security Virtual Applianceに対応しておりません。 Agent-lessまたはコンバインモードにて保護しているコンピュータは、Deep Securityで管理するか、Agentベースによる保護への移行をご検討ください。
移行手順の概要
移行手順の概要は以下の通りです。
- Trend Micro Cloud Oneアカウントを作成し、C1WSコンソールにてDSMで使用していた設定を移行させると共に、移行に必要な設定反映とパラメータ取得を行います。
※後述の[移行手順の詳細 1, 2, 3]が該当します
- 移行準備完了後、DSMコンソールから移行対象のDSAを無効化します。
※後述の[移行手順の詳細 4]が該当します
- 無効化したDSAをC1WSへ登録(有効化)し、C1WSコンソールでステータスが正常であることを確認します。
※後述の[移行手順の詳細 5]が該当します
※Trend Micro Vision One (XDR)を利用する場合、[移行手順の詳細 6]を続けて実施します
移行手順の詳細
1. Trend Micro Cloud Oneアカウントの作成
下記ドキュメントをご参照の上、Trend Micro Cloud Oneアカウントを作成してください。
既に体験版ライセンスをご利用いただいており、製品版ライセンスへの入れ替えを行う場合は、下記製品Q&Aをご確認ください。
2. C1WSコンソールの設定
C1WSコンソールにログインし、DSMの設定を移行します。
移行に伴って必要となる主な設定項目は以下の通りです。
C1WSにおける設定手順につきましては、各項目のリンク先にございますドキュメントをご確認ください。
- コンピュータのグループ設定
- ポリシーの設定:
※DSMからエクスポートしたポリシーをC1WSへインポートすることはサポートされておりません。既存のポリシーを確認の上、C1WSにて新しく作成する必要があります。
※特別な要件がない限り、C1WSでは通信方向を[Agent/Applianceから開始]に設定することを推奨します。
- システム設定の変更:
- 予約タスクの設定
- イベントベースタスクの設定
- ユーザの設定
- 役割(ユーザロール)の設定
- クラウドコネクタの設定:
3. 有効化コマンドの事前準備
C1WSの設定に関する事前確認
C1WSコンソールにログインし、下記設定が完了していることを確認します。※設定が完了していない場合、上記「1. C1WSコンソールの設定」より該当の設定手順をご確認ください。
- [Agentからのリモート有効化を許可]が有効になっていること
- 割り当てたいポリシーが作成されていること
- セキュリティアップデート用プロキシサーバが設定されていること(対象コンピュータがプロキシ配下であり、トレンドマイクロのアップデートサーバからの直接ダウンロードを許可する場合)
- コンピュータのグループが作成されていること(管理対象コンピュータをグループ化する必要がある場合)
Windows版DSAの有効化コマンドの確認
- C1WSコンソールにログインし、[サポート情報]-[インストールスクリプト]を選択します。
- 以下の項目の設定を行います。
- [プラットフォーム:]のプルダウンメニューから「Windows版Agentのインストール」を選択
- [インストール後にAgentを自動的に有効化]が有効になっていることを確認
- [セキュリティポリシー:]のプルダウンメニューから割り当てたいポリシーを選択
- [コンピュータグループ:]のプルダウンメニューから適用したいグループを選択(任意)
- 表示されたインストールスクリプトから、有効化コマンド「dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/」で始まるパラメータを控えます。
<控えるパラメータ>
"tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:7" "groupid:1354"
Linux版DSAの有効化コマンドの確認
- C1WSコンソールにログインし、[サポート情報]-[インストールスクリプト]を選択します。
- 以下の項目の設定を行います。
- [プラットフォーム:]のプルダウンメニューから「Linux版Agentのインストール」を選択
- [インストール後にAgentを自動的に有効化]が有効になっていることを確認
- [セキュリティポリシー:]のプルダウンメニューから割り当てたいポリシーを選択
- [コンピュータグループ:]のプルダウンメニューから適用したいグループを選択(任意)
- 表示されたインストールスクリプトから、有効化コマンド「dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/」で始まるパラメータを控えます。
<控えるパラメータ>
"tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:8" "groupid:1355"
4. DSMにおける移行対象DSAの無効化
- DSMコンソールの[コンピュータ]より、移行対象DSAのステータスが正常であることを確認します。
- 移行対象のコンピュータを選択した後、右クリックして表示される[処理]-[無効化]をクリックし、移行対象DSAの無効化を実行します。
- 移行対象のコンピュータが [非管理対象]のステータスに遷移したことを確認します。
5. C1WSにおける移行対象Agentの有効化とポリシー適用
Windows版DSAの有効化・ポリシー適用手順
- 移行対象のコンピュータにて、管理者権限でコマンドプロンプトを起動します。
- DSAのインストールディレクトリに移動します。
<例>
cd C:\Program Files\Trend Micro\Deep Security Agent\ - 移行対象のコンピュータがプロキシ配下にある場合、C1WSまたはRelayへの接続経路に応じて下記コマンドを実行し、"HTTP Status: 200 - OK"と表示されることを確認します。
※参考情報: (1) プロキシ経由でC1WSにDSAを接続する場合<例>
dsa_control -u {username}:{userpassword}
dsa_control -x dsm_proxy://{proxy-server-address}:{port}<例>
dsa_control -w {username}:{userpassword}
dsa_control -y relay_proxy://{proxy-server-address}:{port} - インストールスクリプトから取得した情報を利用し、DSAを有効化するコマンドを実行します。出力結果の最後に"Command session completed."と表示されることを確認します。
<例>
dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:7" "groupid:1354" - 移行対象のコンピュータが[管理対象(オンライン)]のステータスであることを確認します。
※セキュリティアップデートやベースラインの構築が完了するまで一時的にステータスのエラーが発生することがあります。ステータスエラーが改善しない場合、 対象コンピュータの処理が落ち着いた後、最新のステータスを確認するため、[概要]-[一般]の画面より[警告/エラーのクリア]を選択し、[ステータスの確認]を実行してください。
Linux版DSAの有効化・ポリシー適用手順
- 移行対象のコンピュータがプロキシ配下にある場合、C1WSまたはRelayへの接続経路に応じて下記コマンドを実行し、"HTTP Status: 200 - OK"と表示されることを確認します。
※参考情報: (1) プロキシ経由でC1WSにDSAを接続する場合<例>
sudo /opt/ds_agent/dsa_control -u {username}:{userpassword}
sudo /opt/ds_agent/dsa_control -x dsm_proxy://{proxy-server-address}:{port}<例>
sudo /opt/ds_agent/dsa_control -w {username}:{userpassword}
sudo /opt/ds_agent/dsa_control -y relay_proxy://{proxy-server-address}:{port} - インストールスクリプトから取得した情報を利用し、DSAを有効化するコマンドを実行します。出力結果の最後に"Command session completed."と表示されることを確認します。
<例>
sudo /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:8" "groupid:1355" - 移行対象のコンピュータが[管理対象(オンライン)]のステータスであることを確認します。
※セキュリティアップデートやベースラインの構築が完了するまで一時的にステータスのエラーが発生することがあります。ステータスエラーが改善しない場合、 対象コンピュータの処理が落ち着いた後、最新のステータスを確認するため、[概要]-[一般]の画面より[警告/エラーのクリア]を選択し、[ステータスの確認]を実行してください。
6. Trend Micro Vision One (XDR) への登録と有効化(任意)
Trend Micro Vision One (XDR) への登録と有効化の詳細手順は下記ドキュメントをご確認ください。
その他
資料集
-
Trend Micro Cloud One - Workload Security(製品別サポートページ) ※製品Q&A集です。
-
Trend Micro Cloud One - Workload Security Welcome Page ※C1WSのスタートアップページです。
-
Trend Micro Cloud One - Workload Security (C1WS) システム要件、インストールガイド、よくあるお問い合わせ
-
[DS API] Deep Security Managerで管理するAgentをTrend Micro Cloud One – Workload Securityへ移行する
移行後に問題が発生した場合
-
エラーやアラートが発生した際の確認項目について:Trend Micro Deep Securityトラブルシューティングのコツ
-
DSAのステータスが[オフライン]となる場合:「オフライン」のAgent
-
セキュリティアップデートが失敗する場合:セキュリティアップデートの接続
-
不正プログラム対策エンジンオフラインが発生する場合:「不正プログラム対策エンジンがオフライン」エラーが発生した場合のトラブルシューティング
-
侵入防御エンジンオフライン/ファイアウォールエンジンオフラインが発生する場合:「SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について 」