Cloud One Workload Securityのエージェント インストール方法を動画でわかりやすく説明してみました

2022.11.30

こんにちは、コンサル部@大阪オフィスのTodaです。

Cloud One Workload Security(C1WS)をご利用頂く際に監視対象のインスタンスにエージェントソフトをインストールする必要があります。
AWSのEC2インスタンスにインストールする場合は、AWS Systems Manager(SSM)利用するパターンと、インスタンスにログインして対応するパターンがあると考えます。
今回はそれぞれのパターン毎に導入方法をなるべくわかりやすく動画にてまとめています。

SSM Run Commandを利用してインストール

SSMのRun Command機能を利用してインストールをおこないます。
Run Commandをご利用頂く場合は、インスタンスにIAMロールによる権限設定とSSMのエンドポイントに接続が可能なネットワーク設定が必要でございます。
SSMをご利用いただけない環境では、下記「インスタンスにログインしてインストール」をお試しください。

Linux、Windowsの場合

Amazon Linux2やCentOS, Windows Serverをご利用の場合は当操作をお試しください。
途中、OS毎に操作がかわる部分がございますのでご注意ください。

■ 動画によるインストール説明

インストールスクリプトの取得

C1WSの画面にログインを頂き、画面上部のサポート[サポート情報] > [インストールスクリプト]を選択します。

インストールスクリプトの取得1

インストールスクリプトウィンドウにて下記設定をおこないます。
関連付けするポリシーは事前にC1WSにて設定した物をご選択ください。
また、Relayグループや、プロキシの設定はお客様の環境によって必要な場合は追加設定をください。

  • プラットフォーム: インスタンスに導入されているOSを指定 (Linux版 or Windows版)
  • セキュリティポリシー: 関連付けするポリシー

インストールスクリプトの取得2

画面下に生成されるインストールスクリプトが表示されたらクリップボードにコピーをおこないメモに記録します。

インストールスクリプトの取得3

インストールスクリプトの取得操作は以上でございます。

SSMを利用したインストール

AWSマネージメントコンソールにログインを頂き、画面上部[サービス] > [Systems Manager]を選択頂き、表示される左メニューから[Run Command]を選択します。
コマンド一覧上部の[Run Command]をクリックして実行内容を設定します。

SSMを利用したインストール

コマンドの実行設定をおこないます。
下記設定内容を監視対象のインスタンスに導入されているOSに合わせて設定します。

■ Linuxの場合 (Amazon Linux2、CentOSなど)
コマンドドキュメント: AWS-RunShellScript

■ Windowsの場合 (Windows Server2022など)
コマンドドキュメント: AWS-RunPowerShellScript

■ その他設定
コマンドのパラメータ: 先ほど取得したインストールスクリプト
ターゲット: インスタンスを手動で選択する
インスタンス : 監視対象のインスタンス
出力オプション : S3 バケットへの書き込みを有効化する のチェックを外す

上記、設定後に問題なければ[実行]をクリックします。

コマンドのステータス確認

実行をしますとコマンドのステータス画面が表示されます。
ステータスが「成功」に変わるまで定期的に画面内の[更新]をクリックしながら待機いたします。

インストールの確認

ステータスが「成功」になったらターゲットと出力の欄に表示されるインスタンス一覧から[対象のインスタンスID]をクリックして詳細画面を表示します。
Outputの欄に表示されるメッセージ内容にて最終行に「Command session completed.」と表示されることを確認します。

なお、Errorの欄にて「warning: /tmp/agent.rpm: Header V4 RSA/SHA512 Signature key ID xxxxxx: NOKEY」と表示される場合がございますがこちらは署名関連の警告になりインストールには影響はございません。

インストールの確認1

インストールの確認2

CloudOneのコンピュータ画面にて対象のインスタンスが追加されていることを確認します。

インストールの確認3

上記にてインストール作業は終了になります。

インスタンスにログインしてインストール

監視対象のインスタンスにSSHまたはRDPでログインをしてインストール操作をおこないます。

Linuxの場合

Amazon Linux2やCentOSをご利用の場合は当操作をお試しください。

■ 動画によるインストール説明

インストールスクリプトの取得

C1WSの画面にログインを頂き、画面上部のサポート[サポート情報] > [インストールスクリプト]を選択します。

インストールスクリプトの取得1

インストールスクリプトウィンドウにて下記設定をおこないます。
関連付けするポリシーは事前にC1WSにて設定した物をご選択ください。
また、Relayグループや、プロキシの設定はお客様の環境によって必要な場合は追加設定をください。

  • プラットフォーム: Linux版Agentのインストール
  • セキュリティポリシー: 関連付けするポリシー

インストールスクリプトの取得2

画面下に生成されるインストールスクリプトが表示されたらクリップボードにコピーをおこないメモに記録します。

インストールスクリプトの取得3

インストールスクリプトの取得操作は以上でございます。

インスタンスへのインストール

SSHによるインスタンスログインをおこないます。
任意のディレクトリにて「agent_setup.sh」を作成して先ほど取得したインストールスクリプトを貼り付けをおこない保存します。

$ vi agent_setup.sh
# インストールスクリプトの貼り付け操作 #

インストールをおこなう場合、ファイルへの実行権限が必要になります。
下記コマンドにて実行権限を付与するようにします。

$ chmod u+x agent_setup.sh

実行権限付与後に、シェルスクリプトを実行してインストールをおこないます。
インストールはsudoにてスーパーユーザの権限でおこないます。
インストールが正常に完了しますと「Command session completed.」と表示されることを確認します。

$ sudo ./agent_setup.sh

Downloading agent package...
Installing agent package...
-- 一部省略 --
Received a 'SetDSMCACert' command from the manager.
Received a 'Metrics' command from the manager.
Command session completed.  <= こちらのメッセージが表示されることを確認します。

CloudOneのコンピュータ画面にて対象のインスタンスが追加されていることを確認します。

インストールの確認3

上記にてインストール作業は終了になります。

Windowsの場合

Windows Serverをご利用の場合は当操作をお試しください。

■ 動画によるインストール説明

有効化コマンドの作成

C1WSの画面にログインを頂き、画面上部のサポート[サポート情報] > [インストールスクリプト]を選択します。

有効化コマンドの作成1

インストールスクリプトウィンドウにて下記設定をおこないます。
関連付けするポリシーは事前にC1WSにて設定した物をご選択ください。
また、Relayグループや、プロキシの設定はお客様の環境によって必要な場合は追加設定をください。

  • プラットフォーム: Windows版Agentのインストール
  • セキュリティポリシー: 関連付けするポリシー

有効化コマンドの作成2

条件の設定後はファイル保存やクリップボードへのコピーをおこなわず、画面を下までスクロールさせます。
スクロールをしますと最終行に「#」にてコメントアウトされた行がありこちらがインスタンス有効化のコマンドになります。
コマンド内容を取得して下記のように調整をします。

有効化コマンドの作成3

変更したコマンドでは1行目でディレクトリの移動をおこない、2行目にてコマンドを実行するようにします。
ディレクトリの移動はDeep Securityのインストールディレクトリを指定します。

# 取得したコマンド
#& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a dsm://agents.workload.ZZ-Z.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

# 変更後のコマンド
cd "C:\Program Files\Trend Micro\Deep Security Agent"
dsa_control -a dsm://agents.workload.ZZ-Z.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

作成したコマンドはメモに記録します。

Agentのダウンロード

C1WS画面上部のサポート[サポート情報] > [Agentのダウンロード]を選択します。
一覧の中から「Microsoft Windows」を検索して対応しているbitのインストーラを取得します。

Agentのダウンロード

取得したインストーラの転送

取得したインストーラはWindows Serverに転送して任意のディレクトリに保存します。

インストール操作

RDPにてインスタンスに接続をおこない、ダウンロードしたインストーラを実行します。
インストーラでは[Next]ボタンをクリックする事でデフォルトのパスにてインストールが実行されます。

Agentの有効化

インストールが完了した段階ではAgentは有効化されていない状態になります。
コマンドプロンプトを起動して有効化操作をおこないます。

有効化操作は上記で作成したコマンドを使っておこないます。
作成したコマンド2点を順番に実行します。

cd "C:\Program Files\Trend Micro\Deep Security Agent"

作成したコマンド内容はお客様の環境毎に変わりますので下記をそのまま実行しないように注意ください。

dsa_control -a dsm://agents.workload.ZZ-Z.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

コマンドが正常に完了しますと「Command session completed.」と表示されることを確認します。
CloudOneのコンピュータ画面にて対象のインスタンスが追加されていることを確認します。

Agentの有効化

上記にてインストール作業は終了になります。

さいごに

今回は Cloud One Workload Securityで利用するAgentのインストール操作を簡単にできるようにまとめてみました。
少しでもお客様の参考になればと考えております。