V1ES(SWP)の推奨設定スキャンのエラーがAgentセルフプロテクション無効化で解消しました
こんにちは、シマです。
以前、Trend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES(SWP))でリストア後の設定自動化について記事を書きました。
この記事の中で、推奨設定スキャンをコマンド(dsa_control -m "RecommendationScan:true")で実行した際に「HTTP Status: 403 - Forbidden - untrusted peer」エラーが発生し、コマンドベースでの実行ができませんでした。当時は手動で推奨設定スキャンを実施して、「自動化のためにはVision One APIを利用するとできそう」と記載していました。
その後調べていく中で、「Agentセルフプロテクション」の設定が原因である可能性がわかり、実際に無効化してみたところ推奨設定スキャンが正常に動作するようになりました。今回はその手順を共有します。
Agentセルフプロテクションとは
Agentセルフプロテクションは、ローカルのエンドユーザがAgentのアンインストール、停止、変更を行うことを防止する機能です。V1ES(SWP)のポリシー設定画面で「一般」タブの「設定」メニューから構成できます。
この機能を有効にすると、ローカルからのAgent操作がブロックされます。dsa_controlコマンドもローカルからのAgent操作にあたるため、推奨設定スキャンのコマンド実行時に403エラーが発生していたのは、この機能が原因でした。
設定変更手順
V1ES(SWP)コンソールで対象のポリシーを開きます。
「一般」タブ→左メニューの「設定」の順に選択し、「Agentセルフプロテクション」セクションにある「ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否」を「いいえ」に変更し、「保存」をクリックします。
推奨設定スキャンの実行確認
他のV1ES(SWP)の設定は前の記事と同様です。
EC2をリストアする際のユーザーデータに推奨設定スキャンのコマンドを記載します。
#!/bin/bash
sleep 30
/opt/ds_agent/dsa_control -m "RecommendationScan:true"
EC2リストアが完了し、V1ES(SWP)コンソールから対象EC2を確認すると、「前回の推奨設定の検索」に日時が表示されており、推奨設定スキャンが正常に完了していることが確認できました。
注意点
Agentセルフプロテクションを無効化すると、ローカルユーザがAgentの停止やアンインストールを行えるようになります。セキュリティ要件に応じて、無効化の是非を検討してください。
まとめ
V1ES(SWP)で推奨設定スキャンの実行時に403エラーが発生する場合、Agentセルフプロテクションの設定を無効にすると、推奨設定スキャンが正常に動作するようになる可能性がある点について記載しました。
本記事がどなたかのお役に立てれば幸いです。
