ビュー:
Deep Security Manager(以下、DSM)で管理しているDeep Security Agent(以下、DSA)をTrend Micro Cloud One - Workload Security(以下、C1WS)に移行する場合の事前確認項目や手順の詳細につきましては、以下をご確認ください。

本手順では、管理対象のAgentを手動でDSMからC1WSへ移行する手順を掲載しています。
DS20.0をご利用の場合、管理コンソール上での操作により、Agentを自動的にC1WSへ移行することが可能です。詳細は下記ヘルプセンターページをご参照ください。

 

詳細すべて確認

移行前の事前確認

Deep SecurityとC1WSの構成概要

Deep SecurityとC1WSの構成概要は以下の通りです。

image1.png

Deep SecurityとC1WSの構成の違い

Deep Securityでは、DSAを管理するためManagerおよびRelayを構築・運用する必要がありますが、 C1WSでは、ManagerおよびRelayをクラウドサービスとして提供しているため、お客様が構築・運用する必要はございません。

システム要件/互換性の確認

以下にて事前にC1WSの動作要件をご確認ください。

  1. C1WSシステム要件
  2. 通信要件

特にDSAからWorkload Security URLへの通信に問題がないことを予めご確認ください。

  1. サイジング

Relayは既にC1WSの一部として提供されているため、通常、お客様環境でRelayを構築いただく必要はございません。

  1. C1WSで管理可能なAgent

一部のプラットフォームを除き、DSA10.0 はC1WSで管理することができません。 C1WSにてサポートされないDSA10.0をご利用の場合、下記ドキュメントをご参照の上、移行前にDSA11.0以上へアップグレードしてください。

  1. サポートされるAgentの機能

C1WSは、Deep Security Virtual Applianceに対応しておりません。 Agent-lessまたはコンバインモードにて保護しているコンピュータは、Deep Securityで管理するか、Agentベースによる保護への移行をご検討ください。

  1. サポートされるLinuxカーネル
  2. Cloud One - Workload Security (C1WS)における既知の制限事項

移行手順の概要

移行手順の概要は以下の通りです。

  1. Trend Micro Cloud Oneアカウントを作成し、C1WSコンソールにてDSMで使用していた設定を移行させると共に、移行に必要な設定反映とパラメータ取得を行います。
    ※後述の[移行手順の詳細 1, 2, 3]が該当します
    image2.png

     

  2. 移行準備完了後、DSMコンソールから移行対象のDSAを無効化します。
    ※後述の[移行手順の詳細 4]が該当します
    image3.png

     

  3. 無効化したDSAをC1WSへ登録(有効化)し、C1WSコンソールでステータスが正常であることを確認します。
    ※後述の[移行手順の詳細 5]が該当します
    ※Trend Micro Vision One (XDR)を利用する場合、[移行手順の詳細 6]を続けて実施します
    image4.png

     

移行手順の詳細

1. Trend Micro Cloud Oneアカウントの作成

下記ドキュメントをご参照の上、Trend Micro Cloud Oneアカウントを作成してください。

既に体験版ライセンスをご利用いただいており、製品版ライセンスへの入れ替えを行う場合は、下記製品Q&Aをご確認ください。

2. C1WSコンソールの設定

C1WSコンソールにログインし、DSMの設定を移行します。
移行に伴って必要となる主な設定項目は以下の通りです。
C1WSにおける設定手順につきましては、各項目のリンク先にございますドキュメントをご確認ください。

  1. コンピュータのグループ設定
  2. ポリシーの設定:
    1. ネットワークエンジン設定
    2. 共通オブジェクトの設定
    3. ポリシーの作成

    ※DSMからエクスポートしたポリシーをC1WSへインポートすることはサポートされておりません。既存のポリシーを確認の上、C1WSにて新しく作成する必要があります。

    ※特別な要件がない限り、C1WSでは通信方向を[Agent/Applianceから開始]に設定することを推奨します。

  3. システム設定の変更:
    1. Agentからのリモート有効化の設定
    2. Agentのアップグレードの設定(Agentを有効化するときに自動的にアップグレードする場合)
    3. イベントの転送設定
    4. アラートの設定
    5. プロキシの設定(プロキシ経由で「プライマリセキュリティアップデート元」に接続する場合)
  4. 予約タスクの設定
  5. イベントベースタスクの設定
  6. ユーザの設定
  7. 役割(ユーザロール)の設定
  8. クラウドコネクタの設定:
    1. AWSアカウントを追加する
    2. Microsoft Azureアカウントを追加する
    3. Google Cloud Platformアカウントを追加する
    4. vCloudアカウントを追加する
    5. VMware vCenterを追加する

3. 有効化コマンドの事前準備

C1WSの設定に関する事前確認

C1WSコンソールにログインし、下記設定が完了していることを確認します。
※設定が完了していない場合、上記「1. C1WSコンソールの設定」より該当の設定手順をご確認ください。
  1. [Agentからのリモート有効化を許可]が有効になっていること
  2. 割り当てたいポリシーが作成されていること
  3. セキュリティアップデート用プロキシサーバが設定されていること(対象コンピュータがプロキシ配下であり、トレンドマイクロのアップデートサーバからの直接ダウンロードを許可する場合)
  4. コンピュータのグループが作成されていること(管理対象コンピュータをグループ化する必要がある場合)

Windows版DSAの有効化コマンドの確認

  1. C1WSコンソールにログインし、[サポート情報]-[インストールスクリプト]を選択します。
    image5.png

     

  2. 以下の項目の設定を行います。
    • [プラットフォーム:]のプルダウンメニューから「Windows版Agentのインストール」を選択
    • [インストール後にAgentを自動的に有効化]が有効になっていることを確認
    • [セキュリティポリシー:]のプルダウンメニューから割り当てたいポリシーを選択
    • [コンピュータグループ:]のプルダウンメニューから適用したいグループを選択(任意)
    image6.png

     

  3. 表示されたインストールスクリプトから、有効化コマンド「dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/」で始まるパラメータを控えます。
    <控えるパラメータ>
    "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:7" "groupid:1354"
    image7.png

     

Linux版DSAの有効化コマンドの確認

  1. C1WSコンソールにログインし、[サポート情報]-[インストールスクリプト]を選択します。
    image8.png

     

  2. 以下の項目の設定を行います。
    • [プラットフォーム:]のプルダウンメニューから「Linux版Agentのインストール」を選択
    • [インストール後にAgentを自動的に有効化]が有効になっていることを確認
    • [セキュリティポリシー:]のプルダウンメニューから割り当てたいポリシーを選択
    • [コンピュータグループ:]のプルダウンメニューから適用したいグループを選択(任意)
    image9.png

     

  3. 表示されたインストールスクリプトから、有効化コマンド「dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/」で始まるパラメータを控えます。
    <控えるパラメータ>
    "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:8" "groupid:1355"
    image10.png

     

4. DSMにおける移行対象DSAの無効化

  1. DSMコンソールの[コンピュータ]より、移行対象DSAのステータスが正常であることを確認します。
  2. 移行対象のコンピュータを選択した後、右クリックして表示される[処理]-[無効化]をクリックし、移行対象DSAの無効化を実行します。
    image11.png

     

  3. 移行対象のコンピュータが [非管理対象]のステータスに遷移したことを確認します。
    image12.png

     

    ※ [Agent/Appliance無効化の失敗]のイベントを始めとする何らかのエラーが発生した場合、対象コンピュータにログインし、CLIを利用した「dsa_control -r」コマンドによる初期化を実行ください。

5. C1WSにおける移行対象Agentの有効化とポリシー適用

Windows版DSAの有効化・ポリシー適用手順

  1. 移行対象のコンピュータにて、管理者権限でコマンドプロンプトを起動します。
  2. DSAのインストールディレクトリに移動します。
    <例>
    cd C:\Program Files\Trend Micro\Deep Security Agent\
  3. 移行対象のコンピュータがプロキシ配下にある場合、C1WSまたはRelayへの接続経路に応じて下記コマンドを実行し、"HTTP Status: 200 - OK"と表示されることを確認します。
    ※参考情報: (1) プロキシ経由でC1WSにDSAを接続する場合
    <例>
    dsa_control -u {username}:{userpassword}
    dsa_control -x dsm_proxy://{proxy-server-address}:{port}
    image13.png

     

    (2) プロキシ経由でRelayにDSAを接続する場合
    <例>
    dsa_control -w {username}:{userpassword}
    dsa_control -y relay_proxy://{proxy-server-address}:{port}
    image14.png

     

  4. インストールスクリプトから取得した情報を利用し、DSAを有効化するコマンドを実行します。出力結果の最後に"Command session completed."と表示されることを確認します。
    <例>
    dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:7" "groupid:1354"
    image15.png

     

  5. 移行対象のコンピュータが[管理対象(オンライン)]のステータスであることを確認します。
    ※セキュリティアップデートやベースラインの構築が完了するまで一時的にステータスのエラーが発生することがあります。ステータスエラーが改善しない場合、 対象コンピュータの処理が落ち着いた後、最新のステータスを確認するため、[概要]-[一般]の画面より[警告/エラーのクリア]を選択し、[ステータスの確認]を実行してください。
    image16.png

     

Linux版DSAの有効化・ポリシー適用手順

  1. 移行対象のコンピュータがプロキシ配下にある場合、C1WSまたはRelayへの接続経路に応じて下記コマンドを実行し、"HTTP Status: 200 - OK"と表示されることを確認します。
    ※参考情報: (1) プロキシ経由でC1WSにDSAを接続する場合
    <例>
    sudo /opt/ds_agent/dsa_control -u {username}:{userpassword}
    sudo /opt/ds_agent/dsa_control -x dsm_proxy://{proxy-server-address}:{port}
    image17.png

     

    (2) プロキシ経由でRelayにDSAを接続する場合
    <例>
    sudo /opt/ds_agent/dsa_control -w {username}:{userpassword}
    sudo /opt/ds_agent/dsa_control -y relay_proxy://{proxy-server-address}:{port}
    image18.png

     

  2. インストールスクリプトから取得した情報を利用し、DSAを有効化するコマンドを実行します。出力結果の最後に"Command session completed."と表示されることを確認します。
    <例>
    sudo /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:XXXXXXXX" "token:XXXXXXXX" "policyid:8" "groupid:1355"
    image19.png

     

  3. 移行対象のコンピュータが[管理対象(オンライン)]のステータスであることを確認します。
    ※セキュリティアップデートやベースラインの構築が完了するまで一時的にステータスのエラーが発生することがあります。ステータスエラーが改善しない場合、 対象コンピュータの処理が落ち着いた後、最新のステータスを確認するため、[概要]-[一般]の画面より[警告/エラーのクリア]を選択し、[ステータスの確認]を実行してください。
    image20.png

     

6. Trend Micro Vision One (XDR) への登録と有効化(任意)

Trend Micro Vision One (XDR) への登録と有効化の詳細手順は下記ドキュメントをご確認ください。

その他

資料集

移行後に問題が発生した場合

移行手順実施後に問題が発生した場合、以下をご確認ください。