ビジネスサポートポータルアカウントでログイン
 

Trend Micro Cloud One - Workload Securityのインストールガイド

    • 更新日:
    • 22 Aug 2022
    • 製品/バージョン:
    • Cloud One - Workload Security
    • OS:
概要
Trend Micro Cloud One  - Workload Securityのインストール方法を教えてください。
詳細
Public
詳細すべて確認
Trend Micro Cloud One  - Workload Security(以下、C1WS)のインストールガイド

1. 概要

本製品Q&AではC1WSのインストール手順および、不正プログラム対策設定、仮想パッチ自動適用設定の手順を記載しております。記載内容に沿ってぜひC1WSをご利用ください。

2. Cloud Oneアカウントの準備

C1WSを使用するためまずはこちら を参照しCloud Oneアカウントをご用意ください

3. C1WSの利用準備

  • Deep Security Agentのシステム要件の確認

    C1WSの利用にはDeep Security Agentのインストールが必要になります。事前にシステム要件を参照ください。

  • 通信環境の確認

    インストールされたDeep Security AgentはC1WSの各サーバに通信を行います。 Deep Security AgentとC1WSは設定された通信方向に従って通信を行います。 通信要件を参照し必要なFQDNと通信が行えるように設定をします。通常は「Agent / Applianceから開始」となりますので「Workload Security URLs」の"Source"が"Agent"の通信を許可ください。

    • Deep Security AgentからC1WSへの通信につきましてはIPアドレスでの制御は行えないものとなります。
    • C1WSからDeep Security Agentへの通信はC1WSのIPアドレスでの制御が可能となります。その場合、通信方向が「Managerから開始」もしくは「双方向」になっていること、Deep Security AgentにグローバルIPアドレスが設定されているなどでC1WSから通信が行える環境である必要があります。
  • プロキシ設定の確認

    プロキシの設定方法には2種類ございます。通信環境にてプロキシの設定が必要な場合、用途に応じて使い分けください。

    • OSのプロキシ設定の参照
      C1WS管理コンソール > 管理 > システム設定 > プロキシ の設定を「はい」にすることでOSにて設定されておりますプロキシを使用します。
      image.png


      初回インストール時にOSのプロキシを使用する場合は有効化前に以下のコマンドを実行ください。インストールスクリプトをご利用の場合はインストールスクリプト内のdsa_control -aの直前に追記ください。

      dsa_control -autoDetectOSProxy 1

      • 本設定に関するドキュメントはこちらを参照ください。

      • dsa_control -x/-yコマンドでの設定、ポリシーにSmart Protection Serverへのプロキシ設定が行われている場合、そちらのプロキシ設定が優先されます。

    • コマンドでのプロキシ設定

      Deep Security Agentにコマンドラインにてプロキシの設定を行います。Deep Security Agentのインストール後にコマンドラインにて設定をいただき、有効化を実施ください。

      コマンド内容
      dsa_contol -x "dsm_proxy://プロキシのFQDN or IPアドレス:ポート番号"Deep Security AgentからC1WSの管理系の通信に利用されるプロキシ
      dsa_contol -y "relay_proxy://プロキシのFQDN or IPアドレス:ポート番号"Deep Security AgentからRelayへの通信時に利用されるプロキシ


      プロキシに認証が必要な場合は認証オプションを設定します。

      コマンド
      dsa_contol -x "dsm_proxy://プロキシのFQDN or IPアドレス:ポート番号 -u 認証ユーザ名:パスワード"
      dsa_contol -y "relay_proxy://プロキシのFQDN or IPアドレス:ポート番号 -w 認証ユーザ名:パスワード"


      設定を削除する場合は以下のように""で設定を上書きます。

      コマンド
      dsa_contol -x ""
      dsa_contol -y ""
       
      • 管理系の通信とRelayの通信は利用上必要となりますため、プロキシを利用する場合は2つとも設定ください。

      • 認証はBasic認証のみサポートしております。

4. Agentのインストール/有効化(インストールスクリプト編)

本項目はDeep Security Agentの導入方法となります。「4. Agentのインストール/有効化(インストールスクリプト編)」か「5. Agentのインストール/有効化(インストーラ編)」のいずれかを実施ください。

  1. C1WS管理コンソール > 管理 > アップデート > ソフトウェア > Agentバージョン管理にてOSごとにインストールするDeep Security Agentのビルドを設定可能です。初期設定では最新版をインストールする設定になります。特に指定がない場合は最新版(最新のLTS)をご利用ください。

    image.png

  2. C1WS管理コンソール > サポート情報 > インストールスクリプトにて実行するスクリプトを作成します。

    image.png

    image.png

    項目内容
    プラットフォームインストールする対象のOSを指定ください。OSごとにコマンドが異なります。
    インストール後にAgentを自動的に有効化保護を開始するためには有効化が必要になりますため、チェックを設定ください。
    セキュリティポリシーDeep Security Agentを保護するポリシーを指定ください。後から設定も可能となります。
    コンピュータグループ有効化されたDeep Security Agentを管理しやすいようにコンピュータグループに分類します。後からの設定も可能です。
    RelayグループパターンファイルなどをダウンロードするRelayグループを設定します。「初期設定のRelayグループ」を選択ください。
    Workload Security Managerへの接続に使用するプロキシDeep Security AgentとC1WS間の通信でプロキシを指定する必要がある場合は設定ください。
    Relayへの接続に使用するプロキシDeep Security AgentとRelay間の通信でプロキシを指定する必要がある場合は設定ください。
    Workload Security ManagerのTLS証明書を確認Deep Security Agentインストーラのダウンロード先の証明書チェックします。基本的にチェックを設定ください。
    Agentのインストーラのデジタル署名を確認ダウンロードされたDeep Security Agentインストーラの署名を検証します。基本的にチェックを設定ください。Linux版ではご利用前に公開署名鍵をインポートする必要があります。

    各項目を入力後、「ファイルに保存」にてインストールスクリプトをダウンロードください。

    ※ブラウザなどの設定により、保存したファイルが自動実行される場合は「クリップボードにコピー」もご利用ください。

  3. インストールスクリプトの実行

    Windows版

    1. DSAをインストールする保護対象サーバにアクセスし、タスクトレイからPowerShellを起動します。

    2. PowerShellコンソール上で先ほど作成したインストールスクリプトを指定して実行、もしくは内容を直接ペーストして実行します。

    3. スクリプトが起動してインストールが始まります。設定した内容により出力される内容は異なります。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。

      image.png

    4. このスクリプトは、DSAのインストールビルドモジュールのダウンロード、インストール、管理サーバへの登録までを自動で行います。インストールが完了したらC1WS管理コンソール上に対象サーバが登録されているか確認を行います

    Linux版

    1. DSAをインストールする保護対象サーバにSSHなどでアクセスします。

    2. インストールスクリプト(AgentDeploymentScript.sh)を任意のディレクトリに配置し、所有者に「実行権限」が与えられているか確認します。
      image.png

      chmod +x ファイル名 コマンドにて実行権限を付与ください。
    3. スクリプトを起動するとインストールが始まります。設定した内容により出力される内容は異なります。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。
      image.png

    4. このスクリプトは、DSAのインストールビルドモジュールのダウンロード、インストール、管理サーバへの登録までを自動で行います。インストールが完了したらC1WS管理コンソール上に対象サーバが登録されているか確認を行います。

  4. 登録状態の確認

    C1WS管理コンソール > コンピュータにインストールスクリプトを実行したコンピュータが登録(有効化)されていることを確認します。ステータスが「管理対象(オンライン)」となっていれば登録成功となります。
    image.png

5. Agentのインストール/有効化(インストーラ編)

本項目はDeep Security Agentの導入方法となります。「4. Agentのインストール/有効化(インストールスクリプト編)」か「5. Agentのインストール/有効化(インストーラ編)」のいずれかを実施ください。

  1. インストーラのダウンロード

    • C1WSコンソール上からダウンロード(推奨)

      1. C1WSコンソールで[管理]-[アップデート]-[ソフトウェア]-[ローカル]を開きインストールするパッケージを右クリックし、[インストーラのエクスポート]でファイルをダウンロードしてください
        image.png

        • 画面上部にてDeep Security Agentのバージョンでのグループ化や右上部の検索ボックスにて特定のビルド、OSなどでの検索が可能です。
        • 「i386」と記載のあるパッケージは32bitOS用、「x86_64」の記載は64bitOS用となります。
        • 「Agent」から始まるソフトウェアがインストーラの含まれるパッケージとなります。

         

       

    • Deep Securityヘルプセンターからダウンロード

       

      1. C1WS管理コンソール > 管理 > アップデート > ソフトウェア > Agentバージョン管理にご利用予定のビルドが存在するか確認します。
        image.png

      2. Deep Securityヘルプセンターにてご利用予定のビルドをダウンロードします。

      3. ダウンロードしたzipファイルを解凍し、同梱されているインストーラ(Windowsの場合はmsiファイル、Linuxの場合はrpmファイル)を入手します。

        • Linux版の場合、Agent-Core-*.rpmとAgent-PGPCore-*.rpmの2種類のrpmファイルがございます。 Agent-Core-*.rpmはデジタル署名無し、 Agent-PGPCore-*.rpmはデジタル署名有りとなりインストール時に明示的にデジタル署名の確認を行う場合に使用します(デジタル署名についての詳細はこちら)。 どちらのファイルのご利用でもインストール内容につきまして差異はございません。

     

  2. 導入予定のコンピュータに入手したインストーラを配置し実行します。インストール方法はこちらを参照ください。

  3. インストール完了後、有効化処理を実施します。

    以下の手順で有効化のコマンドを取得します。

    1. C1WS管理コンソール > サポート情報 > インストールスクリプト
      image.png

    2. プラットフォームにて有効化コマンドを実施するOSを選択します。
      image.png

    3. 「dsa_control -a」コマンドの箇所をコピーします。
      image.png

      コマンド:

      dsa_control -a dsm://XXXX:443/ "tenantID:XXXX" "token:XXXX"
      • 表示されるコマンドはアカウントごとに異なりますため使いまわしにご注意ください。別のアカウントでの有効化を行う場合はそのアカウントにて取得ください。

      • コマンド内のコーテーションや空白などが不正な位置に入力されていることにより、有効化に失敗するケースがございます。そのためコマンドの整形にご注意ください。

       

    4. Deep Security Agentのインストールフォルダにて上記「dsa_control -a」コマンドを実行します。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。

      Windows:image.png

      Linux:
      image.png

  4. 登録状態の確認

    C1WS管理コンソール > コンピュータにインストールスクリプトを実行したコンピュータが登録(有効化)されていることを確認します。ステータスが「管理対象(オンライン)」となっていれば登録成功となります。
    image.png

6. 不正プログラム対策機能の有効化方法

不正プログラム対策機能はマルウェアに対する保護を提供します。 不正プログラム対策機能は様々なパターンファイルおよびSmartProtectionNetworkへアクセスし最新の脅威から保護します。本項はこちらのドキュメントより抜粋して解説をいたします。

  1. 通信環境の設定を行います。

    通信要件のSourceがAgentの項にて 「Destination server or service name」が「Smart Protection Network」が含まれる宛先への通信が許可されているか確認します。 プロキシの設定が必要な場合はこちらのSmart Protection Network にプロキシ経由で接続するを参照ください。

    以下環境の場合、上記プロキシ設定は不要となります。

    • OSで設定されたプロキシを使用する場合

    • ローカルSmart Protection Serverを使用する場合

      ※ローカルSmart Protection Serverは機能に制限があります。詳細はこちらの「Smart Protection Serverをローカルにインストールする」を参照ください。

     

  2. 不正プログラム対策機能を有効にします。

    C1WS管理コンソール > コンピュータ > 該当のコンピュータの詳細 > 不正プログラム対策 > 一般タブにてリアルタイム検索、手動検索、予約検索に設定を行います。初期設定にて用意されているものをご利用するか新規で設定を作成することが可能です。新規で作成する場合や既存の設定を編集する場合は内容につきましてこちらを参照ください。
    image.png ステータスがオンであり色が緑の表示となりましたら稼働しております。

    不正プログラム対策機能をオンにした後の留意事項としては以下があります。

    • ステータス色が赤となり不正プログラム対策 エンジンオフラインのメッセージが発生する場合がございます。 その際、トラブルシューティングとしてこちらを参照ください。
    • パターンファイルの最新化のため自動的に1回目のセキュリティアップデートが実施されます。
  3. 予約タスクの作成

    C1WS管理コンソール > 管理 > 予約タスクにて不正プログラム対策機能に関連する定期的なタスクを作成します。

    1. 「新規」にて新しい予約タスクを作成します。
      image.png

    2. 作成する予約タスクの種類を選択します。「コンピュータの不正プログラムを検索」は定期スキャン、「セキュリティアップデート」はパターンファイルの更新に関する予約タスクとなります。 「コンピュータの不正プログラムを検索」は週1回程度、「セキュリティアップデート」は日時での実施が推奨されます(詳細はこちら)。
      image.png

      セキュリティアップデートの予約タスクは初期設定にて「コンポーネントアップデートタスク」がございます。こちらはすべてのコンピュータに対して日時で動作するものとなります。 開始時間や対象コンピュータなどカスタマイズが必要な場合は新規でのセキュリティアップデートの予約タスクの作成をご検討ください。

    3. 予約タスクの開始時間を設定ください。タイムアウトを設定することにより設定した処理時間が設定時間以上となった場合、処理は中断されます。中断後、次回の処理は途中からではなく最初からの実施となります。
      image.png

    4. 予約タスクの実行対象を設定ください。
      image.png

    5. 予約タスク名を記載し、タスクを作成します。
      image.png

7. 侵入防御機能の有効化方法

OSやアプリケーションの様々な脆弱性に対して、仮想パッチを適用することで保護を提供することが可能となります。C1WSでは侵入防御機能として提供されています。 侵入防御機能は侵入防御ルールに基づき保護が動作します。侵入防御ルールは定期的に更新されます。 更新内容はC1WSの画面上ないしこちらより確認が行えます。

  1. 侵入防御の有効化

    仮想パッチ機能を利用するために、最初に侵入防御モジュールを有効にします。 仮想パッチを使いたいコンピュータ画面を開き、「侵入防御」のステータスを 「オン」、侵入防御の動作を「防御」にします。

    image.png

    侵入防御機能はネットワークエンジンの設定、侵入防御の動作、ルールの設定それぞれにパケットのドロップ設定があります。各設定のマトリクスは以下となります。

    ネットワークエンジンの設定侵入防御の動作ルールの設定パケットがルールに合致した時侵入防御上のイベントの処理
    タップ検出(防御を選択不可)検出(防御を選択不可)パケットをドロップしない検出のみ:リセット
    インライン防御防御パケットをドロップするリセット
    検出パケットをドロップしない検出のみ:リセット
    検出防御パケットをドロップしない検出のみ:リセット
    検出パケットをドロップしない検出のみ:リセット
  2. 侵入防御の自動割り当て設定オン

    推奨設定の検索機能にて 保護対象サーバにインストールされたDSAが仮想パッチルールを割り出し、自動的にサーバに割り当てられるように設定します。これにより、推奨設定の検索時に推奨ルールをコンピュータに自動割り当て/割り当て解除します。

    • 自動割り当て設定を行わない場合、手動での適用を実施ください。

  3. 推奨設定のタスク作成

    DSAが定期的に仮想パッチルールの洗い出しを実行できるようにC1WS管理コンソール > 管理 > 予約タスクにて推奨設定の検索に関する定期的なタスクを作成します。

    1. 「新規」にて新しい予約タスクを作成します。
      image.png

    2. 作成する予約タスクの種類を選択します。「コンピュータの推奨設定の検索となります。
      image.png

      推奨設定の検索はCPUリソースを多く使用するため負荷が高くなる場合があります。影響の少ない時間での週1回程度の実行が推奨となりますが、頻繁に変更が発生するシステムの場合は実行頻度を上げることを推奨します(詳細はこちら)。

      • 予約タスクの開始時間を設定ください。タイムアウトを設定することにより設定した処理時間が設定時間以上となった場合、処理は中断されます。中断後、次回の処理は途中からではなく最初からの実施となります。
        image.png

      • 予約タスクの実行対象を設定ください。
        image.png

      • 予約タスク名を記載し、タスクを作成します。
        image.png

    3. 仮想パッチの自動適用確認

      仮想パッチの推奨設定が実行されていることと、ルールが洗い出されていることを確認します。
      image.png

      OSやミドルウェア、アプリケーションのアップデートが行われていない環境の場合、多くのルールが推奨とされる可能性があります。 多くのルールが適用される場合、処理の負荷が大きくなり通信遅延の発生や多くのCPUリソースが必要となります。 侵入防御のパフォーマンスに関するヒントの内容となり目安となりますが、割り当てるルール数は300以下となるよう定期的なOSやミドルウェア、アプリケーションへのアップデートの適用をご検討ください。 なお、300以下とした場合でもWebサーバなど多量の通信を処理する環境の場合はカーネルメモリ上の連続したメモリ領域の確保が行えずメモリ不足のイベントが記録される場合がございます。多くの場合、適用するルール数が多いことが要因となりますため多量の通信を処理する環境の場合は100程度のルール数とするなどチューニングをご検討ください。

    8.よくあるお問合せ

    C1WSの利用につきまして、よくあるお問合せとして以下の製品Q&Aを参照ください。

    製品面はこちら
    ライセンス面はこちら

     
    Premium
    Internal
    Partner
    評価:
    カテゴリ:
    Configure; Install
    Solution Id:
    000291368
    ご提案/ご意見
    このソリューションはお役に立ちましたか?

    フィードバックありがとうございました!


    *こちらに技術的なご質問などをいただきましてもご返答する事ができません.

    何卒ご了承いただきますようお願いいたします.


    To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
    We will not send you spam or share your email address.

    *This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


    ユーザーガイド