こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneには様々な機能がありますが、今回はEndpoint Security(Server & Workload Protection)(以降V1ES)に注目していきます。まずは利用するために必要なエージェントの導入について記載します。
前提条件
以下2点が実施されている前提で手順を記載しますので、まだ実施されていない方は以下の記事を参考に実施をお願いします。
- Vision Oneのアカウント発行
- AWSとの連携
Agentインストール手順
1.Product Instanceの追加
左ペインから「Service Management」→「Product Instance」を選択し、「製品インスタンスを作成」ボタンをクリックします。
インスタンスタイプは「Server & Workload Protection」を選択し、任意の表示名を入力、地域は「Japan」を選択します。保存ボタンを押下します。
2.Agentのダウンロード
左ペインから「Endpoint Security Operations」→「Endpoint Inventory」を選択します。表示された画面から「エージェントインストーラ」を選択します。
表示された画面から「Server & Workload Protection」内でAgentを作成します。
OSは「Linux」を選択し、「Protection Manager」では「1.Product Instanceの追加」で作成したものを選択し、ダウンロードボタンを押下します。
※ダウンロードされるファイル名は選択されるオプションで異なります。
3.EC2(Linux)へAgentインストール
2024年1月4日更新ダウンロードしたファイルの中身が変わっていたので、手順と内容を更新しました
先ほどダウンロードしたファイルをSCPやS3経由等でインストール対象EC2へ配置します。
tarファイルの解凍をします。
[ec2-user@ip-10-0-28-250 ~]$ tar -xvf TMServerAgent_Linux_auto_x86_64_test.tar
checksum
checksum.p7
manifest
tmxbc
.property
config.json次のコマンドを実行し、証明書の署名と発行者が有効であることを確認します。
[ec2-user@ip-10-0-28-250 ~]$ openssl cms -verify -binary -in checksum.p7 -inform DER -verify -content checksum -purpose any -certsout need_to_check.certs -out /dev/null
CMS Verification successful
[ec2-user@ip-10-0-28-250 ~]$ openssl crl2pkcs7 -nocrl -certfile need_to_check.certs | openssl pkcs7 -print_certs -noout
subject=C = US, O = "DigiCert, Inc.", CN = DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Trusted Root G4
subject=jurisdictionC = TW, businessCategory = Private Organization, serialNumber = 23310837, C = TW, ST = Taipei City, L = Da\E2\80\99an District, O = "Trend Micro, Inc.", CN = "Trend Micro, Inc."
issuer=C = US, O = "DigiCert, Inc.", CN = DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1次のコマンドを実行して、チェックサムが有効であることを確認します。
[ec2-user@ip-10-0-28-250 ~]$ sha256sum -c checksum
./tmxbc: OK
./manifest: OKインストールを実行します。
[ec2-user@ip-10-0-28-250 ~]$ sudo ./tmxbc install
Verifying root access... Done.
Checking for existing Endpoint Basecamp installation... Done.
Verifying installation package... Done.
Verifying platform support... Done.
Installing Endpoint Basecamp... Installation complete.
[ec2-user@ip-10-0-28-250 ~]$4.Vision Oneの管理画面で確認する
「3.EC2へAgentのインストール」の画面にはインストールした対象が以下のように表示されていました。
左ペインの「Endpoint Security Operations」→「Server & Workload Protection」から、コンピュータタブを選択すると、CloudOne Workload Securityのような画面で対象の確認をすることができました。
最後に
今回はEndpoint Security(Server & Workload Protection)のAgentをEC2(Linux)に導入してみました。個人的にはCloudOne Workload Securityのときのようにスクリプトでインストールできると嬉しいと感じましたが、現時点ではインストーラを対象サーバへ配置する必要があるようです。
本記事がどなたかのお役に立てれば幸いです。
2
