Trend Vision One Endpoint Security(Server & Workload Protection)でリストア後の設定を自動化してみよう
こんにちは、シマです。
前回の記事では、AMIからのリストア後にTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES(SWP))で手動設定が必要な項目について解説しました。
念のためのシステムバックアップとしては、事前の対応が少ないため上記で十分であるケースが大半だと思います。ただし、定期的にリストアやオートスケーリングが実施される環境では、上記記事の手動対応だと少し手間ですよね。そのため今回は、リストア時にポリシー割り当てなどの設定を自動化する方法を紹介します。
自動化の仕組み
V1ES(SWP)には「イベントベースタスク」という機能があります。これは特定のイベントを検知した際に、条件に合致したコンピュータに対してアクションを自動実行する機能です。
今回はこの機能を使い、次の流れでポリシー割り当てを自動適用します。
- AMIからEC2インスタンスをリストア
- エージェントが自動アクティベーション(Agentからのリモート有効化)でV1ES(SWP)に登録
- イベントベースタスクが条件(タグやセキュリティグループなど)を評価
- 条件に合致した場合、指定したポリシーを自動割り当て
あわせて、推奨設定スキャンの自動化も試みます。
イベントベースタスクの作成
V1ES(SWP)コンソールでイベントベースタスクを作成します。
手順
V1ES(SWP)コンソールにログインし、「管理」→「イベントベースタスク」→「新規」の順に選択します。
タスク作成ウィザードが表示されるので、各項目を設定していきます。トリガーとなるイベントとして「Agentからのリモート有効化」を選択します。これにより、バックアップからリストアした際にトリガーされるようになります。
実行するアクションで「ポリシーの割り当て」を選択し、リストア後に適用したいポリシーを指定します。
続いて、リストアされたインスタンスを特定するための条件を設定します。条件には正規表現(Java正規表現構文)を使用できます。正規表現の構文は下記ドキュメントにまとまっています。
環境に応じた様々な条件が考えられますが、今回はわかりやすく「クラウドインスタンスのメタデータ」でインスタンスのNameタグを指定します。
なお、複数の条件を指定した場合、すべての条件に合致したときのみアクションが実行されます。
EC2をリストアすると、自動的にポリシーが適用されることを確認できました。
次に推奨設定スキャンの自動化です。従来Cloud One Workload Securityで利用できていた以下のコマンドは、V1ES(SWP)では実行できませんでした。
[root@ip-xx-xx-xx-xx ~]# /opt/ds_agent/dsa_control -m "RecommendationScan:true"
2026-02-24 06:12:51.100240 [+0000]: dsa_control
HTTP Status: 403 - Forbidden - untrusted peer.
そのため、今回は前回と同様に一旦手動で実施しました。自動化のためにはVision One APIを利用するとできそうですが、それはまた今度実施してみようと思います。
まとめ
リストア時のポリシー割り当てなどの設定を自動化してみました。
本記事がどなたかのお役に立てれば幸いです。
