Endpoint Groups機能とSecurity Policies機能について
Endpoint Groups機能とSecurity Policies機能を利用すると以下のような設定を行う事ができるようになります。
- Endpoint GroupにSecurity Policyを設定する事で、グループに所属するエージェントにポリシーで定義された内容を反映させる事ができるようになります。
- Trend Vision OneのEndpoint Inventoryに登録されたエージェントをEndpoint Groupに自動的に所属させる事ができるようになります。
また、これらの機能を利用する事でVDI展開用のマスターイメージからクローンしたマシンに自動的にポリシーなどを適用する事ができるようになります。当該手順についても本KBにてご紹介しております。
Vision One エージェントと Apex One SaaS エージェントが同居したマスターイメージを作成する場合
本ページ下部の「よくある質問」の内容も併せて必ずお読みください。
Endpoint GroupおよびSecurity Policyの設定方法
Endpoint Groupsは以下の流れで設定する事ができます。
- Trend Vision Oneのコンソールにログインします。
- 左側のメニューからInventory Managementを選択し、Endpoint Inventoryに移動します。
- 上部のタブにあるEndpoint Groupsを選択します。
- セットアップウィザードが立ち上がりますので指示に従って進めていきます。
- Start Initial Setupを選択します
- Create Endpoint Groupsの画面に移動しますので、Create Groupsの+ボタンを押して新規グループを作成します。 デフォルトではAll Endpointsというデフォルトのグループに全てのエージェントが所属している状態になります。
- グループ作成画面になりますので、グループ名やグループの説明などを入力し、Target Endpointsでグループに所属させる際のクライテリア(条件)を設定します。
- 条件ではEndpoint Name、IP Range、Operation Systemが選択可能です。 Endpoint Nameを選択した場合は、Contains、Equals、Start withが指定できます。
Endpoint Name
IP Range
Operating System
- Endpoint Groupの作成画面で、Preview endpointsを選択すると作成したグループに所属予定のエージェントが確認できます。
- Endpoint Groupが作成できると、次にSecurity Policyの設定を行います。画面下にあるEndpoint Security Policiesを選択します。
- ガイドがConfigure Security Policesに移動した事を確認します。グループ一覧はCreate Endpoint Groupsの画面で作成したグループがそのまま表示されています。
- Security Policyを設定したいグループ名を選択すると、設定可能な画面が表示されます。現時点ではXDR Endpoint Sensor、Vulnerability Detectionの2つの機能のみ設定可能です。
- XDR Endpoint Sensorを自動的に有効にするよう設定してみます。
※画面上ではVulnerability Detectionも有効になっていますが、説明にあるとおり本機能はWindowsのみをサポートし、ImageSetupTool.exe で non-persistent を指定した場合は有効にはなりません。
- これでEndpoint GroupとSecurity Policyの設定は完了です。
VM Template for VDIを利用して、マスターイメージを作成する
Trend Vision OneではVDI展開用のマスターイメージ作成ツールが準備されています。クローン用のマスターイメージを準備する場合は以下の手順で準備します。
- Trend Vision Oneのコンソールにログインします。
- 左側のメニューからInventory Managementを選択し、Endpoint Inventoryに移動します。
- 上部のタブにあるAgent Installerを選択します。
- Prepare VM Templates for VDIにあるGet VDI image setup toolを選択します。
- Downloadからツールをダウンロードします。Admin Tokenは後で必要になりますので表示された文字列をコピーしておきます。
- マスターイメージ用のマシンにエージェントをインストールします。
- マスターイメージ用のマシンに上記でダウンロードしたツール(ImageSetupTool.zip)を準備します。
- ツールをCMDから実行します。 CMDは管理者権限で起動します。※コマンドの詳細はこちらをご確認ください。
コマンドの引数について
Persistentを指定すると、各デスクトップが個別のディスクから実行されるイメージとなり、ユーザは自分専用の仮想デスクトップを利用することができます。 ユーザの設定はディスクに保存され、ログイン時に毎回表示されます。このタイプの仮想デスクトップではより多くのパーソナライズが可能ですが、Non-Persistentを 指定した場合と比較してより多くのストレージが必要になります。
Non-Persistentを指定すると、ユーザが仮想デスクトップからログアウトする際に設定やデータは保存されません。 そのため、ユーザが次に仮想デスクトップにログインすると新しい仮想デスクトップが準備され、利用することになります。 - admin tokenの入力を求められるため、先ほどコピーした文字列を入力します。
- 処理を継続するか確認されますのでYesを入力します。
- Image Setup completed successfully. Proceed to VDI provisioningと表示されれば、処理は成功です。
また、以下レジストリ値が1になっている事を確認します。
- マシンをシャットダウンし、これをマスターイメージとして利用します。
マスターイメージからクローンされたマシンを起動
上記で準備したマスターイメージからマシンをクローンし、起動します。
- クローンされたマシンを起動します。
- 起動するとTrend Vision OneのEndpoint Inventoryにマシンが登録されます。
- しばらくすると、事前に作成したEndpoint Groupのルールに従ってグループに所属します。
よくある質問
【Q】
Vision OneのエージェントとApex One SaaSのエージェントが同居している環境で、上記手順でVDI展開用のマスターイメージを作成できますか?
【A】
追加の手順が必要となります。上記の手順”VM Template for VDIを利用して、マスターイメージを作成する”のステップ12を実施後に、Apex One SaaSのセキュリティエージェント用のTCacheGenを実行する必要があります。
- マスターイメージ用のマシンを準備します
- Apex One SaaSのセキュリティエージェントをインストールします。
- セキュリティエージェントのインストールが完了すると、マシンがApex One SaaSのエージェントツリー上に表示される事およびTrend Micro Vision OneのEndpoint Inventoryに登録される事を確認します。
- Apex One SaaSのエージェント側のセキュリティ設定、Trend Vision One側の各種機能有効化を行います。
- Trend Vision OneのImageSetupTool.exeを実行します。
- Apex One SaaSのTCacheGenを実行します。
※TCacheGenにつきましては、こちらをご参照ください。 - マシンをシャットダウンし、これをマスターイメージとして保存しておきます。
- マスターイメージからマシンのクローンを行います。
- クローンされたマシンがApex One SaaSのエージェントツリーおよびTrend Vision OneのEndpoint Inventoryにそれぞれ登録される事を確認します。
- Apex One セキュリティエージェントをインストールしているお客様は、Apex One エージェントをアンロードします。
ご参考: Apex Oneセキュリティエージェントのアンロード/リロードの実施手順 - <ImageSetupTool フォルダー>\TCacheGen にある TCacheGen ツールを<Apex One エージェントのインストールフォルダ> に配置します。
※XDR Endpoint Basecamp/XDR Endpoint Sensor のみをご利用のお客様はTCacheGen の実行は不要です。
・x86 プラットフォームの場合:TCacheGen.exe, TCacheGenCli.exe
・x64 プラットフォームの場合TCacheGen_x64.exe, TCacheGenCli_x64.exe - 以下の手順で TChacheGen を実行します。
▼GUI で実行する場合
a. 実行可能ファイル (TCacheGen.exe または TCacheGen_x64.exe) を
ダブルクリックします。
b. イメージ内をスキャンしてから GUID を削除する場合は [Generate the pre-scan template and remove the GUID] を選択します。
イメージ内をスキャンせずに GUID を削除する場合は [Remove the GUID from the pre-scan template] を選択します。
※ [Generate the pre-scan template and remove the GUID] を選択する場合には
実行前にスタートメニューから Apex One エージェントを起動する必要がございます。
c.「次へ」をクリックし、実行が完了したことを確認します。
▼CLI で実行する場合
a. 管理者権限でコマンドプロンプトを実行し、
<Apex One エージェントのインストールフォルダ>\ に移動します。
b. 次のコマンドのいずれかを入力します。
[1] イメージ内をスキャンしてから GUID を削除する場合 :
※イメージ内をスキャンしてからGUIDを削除する場合には
実行前にスタートメニューから Apex One エージェントを起動する必要がございます。
・x86 プラットフォームの場合:TCacheGenCli Generate_Template <アンロードパスワード>
・x64 プラットフォームの場合:TcacheGenCli_x64 Generate_Template <アンロードパスワード>
[2] GUID を削除する場合 :
・x86 プラットフォームの場合:TCacheGenCli Remove_GUID <アンロードパスワード>
・x64 プラットフォームの場合:TcacheGenCli_x64 Remove_GUID <アンロードパスワード>
※アンロードパスワードを無効にしている場合にはコマンド実行の際のアンロードパスワード指定は不要です。
※プレスキャンテンプレートとは VDI 環境においてマスターイメージ作成時から更新のあったファイルのみをスキャン対象とし、スキャン時のI/O負荷を軽減するためのホワイトリストファイルです。プレスキャンテンプレート作成オプションを選択することで一度イメージ内のフルスキャンを実行しテンプレートを作成します。
事前検索テンプレートの詳細については以下ドキュメントをご参照ください。
ご参考: ◆Trend Micro VDI サポート (仮想デスクトップサポート) の一般的な導入の流れについて - マスターイメージ用端末上で管理者として ImageSetupTool.exe を実行します。
実行時に仮想マシンが永続的であるか非永続的であるかを指定します。
▼ ImageSetupTool 実行手順
コマンドプロンプトを管理者権限で実行し <ImageSetupTool フォルダー> へ移動します。
永続仮想デスクトップの場合のコマンド : ImageSetupTool.exe --persistent
非永続的仮想デスクトップの場合のコマンド : ImageSetupTool.exe --non-persistent
コマンド例 :
> cd <ImageSetupTool フォルダー>\
> <ImageSetupTool フォルダー>\ImageSetupTool.exe --persistent - 以下メッセージ表示後にツールダウンロード時に表示されたAdmin Tokenを貼り付けます。
"Specify admin token. Copy the admin token from the Agent Installer tab in the Endpoint Inventory app" - トークン指定後の画面で yes を入力します。
- ImageSetupTool の実行の完了後、マスターイメージ用端末からイメージ セットアップ ツールを削除します。
- マスターイメージ用端末のOSをシャットダウンし、この状態で展開用テンプレートを作成します。
- 上記で作成した展開用テンプレートを使用してクローンを作成します。
【Q】
Vision OneのエージェントとApex One SaaSのエージェントが同居している環境で、上記手順を実施せずにマスターイメージを作成し、マスターイメージからマシンをクローニングしたところ、クローニングされたマシンがTrend Vision OneのEndpoint Inventoryに表示されなくなってしまいました。この問題を本ツールを実行する事で解消できますか?
【A】
できません。上記の問題はエージェントインストール時に付与される識別子(GUID)が重複したために発生している問題と推測されます。本ツールを実行する事で起動時にGUIDを更新する処理を行う事ができるようになりますが、本ツールはマスターイメージ作成用のツールになり、上記の流れで実行した場合にのみ正常な処理を行うものとなります。そのため、既に稼働しているマシン上で本ツールを実行しても効果はなく、既に重複しているGUIDをリセットする事はできません。GUID重複による問題が既に発生している場合は以下の手順にてエージェントの再インストールが必要となります。
- Vision Oneのエージェントをアンインストールします。※Vision Oneのエージェントのアンインストールツールは公開しておりません、サポートセンターまでお問い合わせください。
- Vision Oneのエージェントを再度インストールします
【Q】
Endpoint InventoryのAgent InstallrのタブにTrend Vision One の ImageSetupTool.zipのダウンロードリンクが表示されません。
【A】
デフォルトでダウンロードリンクは表示されていません。ツールのダウンロードを行うにはEndpoint GroupおよびSecurity Policyのチュートリアルを進めていただき、設定を完了させる必要があります。チュートリアルに従って各種設定が完了すると、ダウンロードリンクが表示されるようになります。
【Q】
ImageSetupTool.exeを実行したところ以下のエラーが表示されました。
【A】
Vision One エージェントのインストールが正常に成功していない可能性が考えられます。ImageSetupTool.exeを実行する前に対象の端末がVision OneのEndpoint Inventoryに正しく表示されている事をご確認ください。
【Q】
ImageSetupTool.exeを実行したところ以下のエラーが表示されました。
"Check network connection and try again"
【A】
インターネット通信環境等が原因でVision One エージェントのインストールが正常に成功していないなどの可能性が考えられます。
ファイアウォール等で通信制御を実施している場合は、以下の通信を許可しているかをご確認ください。
◆ファイアウォールの例外: 日本 - すべての例外
<https://docs.trendmicro.com/ja-jp/documentation/article/trend-vision-one-firewallexceptionsja_001>
【Q】
Trend Vision Oneの旧プラットフォームでImageSetupTool.exeを使い、VDI展開用のマスターイメージを作成済みです。Trend Vision Oneのプラットフォームを新しいプラットフォームにアップグレードした後も、同じマスターイメージを利用できますか?
【A】
はい、ご利用いただけます。Trend Vision Oneの旧プラットフォームで作成したマスターイメージはプラットフォームを新しくしても、そのままご利用いただく事が可能です。プラットフォームの確認方法はこちら