CloudOne Workload Securityで監視しているコンピュータを別のアカウントに移動してみる

2022.03.30

こんにちは、コンサル部@大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloudOne Workload Security (以降C1WS)のアカウントを複数お持ちの状態で、アカウントを1つにまとめたいケースがあった場合、コンピュータの移動が必要になります。
今回はコンピュータを1つのアカウントに移動する方法についてまとめております。

Cloud One Workload Security とは?

トレンドマイクロ社が提供している製品でサーバ保護に必要な複数のセキュリティ機能を提供するクラウド型総合サーバセキュリティサービスです。
詳細は公式サイトをご覧ください。

注意事項

当移動方法はプロキシ経由でC1WSに接続しているケースは対応しておりません。
プロキシ経由の場合は参考サイトをご確認ください。

■ Trend Micro Deep SecurityからTrend Micro Cloud One 移行手順
https://success.trendmicro.com/jp/solution/000286503

移動について

今回の移動方法は、下記2パターンにてご利用いただけます。

  • C1WSで監視しているコンピュータをアカウント間で移動
  • オンプレDeep Securityで監視しているコンピュータをC1WSに移動

移動イメージ

事前の準備

C1WSではポリシーにインスタンスを関連付けして監視ルールを設定いたします。
移動先のアカウントに関連付けするポリシーが設定済みの状態から始めます。

事前の確認

エージェントからC1WSの通信確認

C1WSはトレンドマイクロ社が管理しているインフラ上に設置されています。
外部インターネットを経由するためセキュリティグループ等で通信が遮断されていないことを確認ください。
Agentから通信を開始するハートビートの場合、ポート:443のアウトバウンドの通信許可が必要になります。

■ インターネット接続が制限される環境へのTrend Micro Deep Security
https://success.trendmicro.com/jp/solution/000287615

エージェントのバージョン確認

C1WSへの移動には バージョン11.0以上のエージェントが必要になります。
指定バージョン以下の場合は、対応OSをご確認の上、事前にアップデートをおこなってください。

■ Supported features by platform
https://cloudone.trendmicro.com/docs/workload-security/supported-features-by-platform/

移動操作

移動操作は移動先C1WSのインストールスクリプトから必要なコマンドをを取得して利用します。

インストールスクリプト画面を表示

移動先のCloudOneにログインをおこない、C1WSの画面を表示します。
C1WS画面上部の[サポート情報]から[インストールスクリプト]を選択します。

インストールスクリプト画面を表示

必要コマンドの取得

コマンドの取得はOSにより内容が変わります。
対象コンピュータのOSを確認いただき操作ください。

Windowsの場合

インストールスクリプトの欄にて必要な項目を設定します。
プラットフォームの指定は[Windows版Agentのインストール]を選択します。
下記例ではセキュリティポリシー:Web Server にてスクリプトの生成をおこない移動に必要な情報を取得します。

必要コマンドの取得-windows1

画面をスクロールして表示されるスクリプトの中で下記文字列の部分をメモに残します。
下記文字列が移動時のコマンドの内容になります。
「dsa_control」の後ろについている「"」は削除ください。

dsa_control -a dsm://agents.workload.XX-1.cloudone.trendmicro.com:443/ "tenantID:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "token:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX"

必要コマンドの取得-windows2

Linuxの場合

インストールスクリプトの欄にて必要な項目を設定します。
プラットフォームの指定は[Linux版Agentのインストール]を選択します。
下記例ではセキュリティポリシー:Web Server にてスクリプトの生成をおこない移動に必要な情報を取得します。

必要コマンドの取得-linux1

画面をスクロールして表示されるスクリプトの中で最終行の部分をメモに残します。
下記文字列が移動時のコマンドの内容になります。

/opt/ds_agent/dsa_control -a dsm://agents.workload.XX-1.cloudone.trendmicro.com:443/ "tenantID:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "token:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "policyid:XX"

必要コマンドの取得-linux2

移動元にてエージェント無効化

移動をおこなう場合、コンピュータにインストールされているエージェントの無効化が必要になります。
移動元のCloudOneにログインをおこない、C1WSの画面を表示します。

コンピュータの一覧から対象を探し右クリック、サブメニューから[処理] > [無効化]をクリックします。

移動元にてエージェント無効化1

無効化をおこなうことでエージェントの設定が解除されます。

移動元にてエージェント無効化2

移動先でのエージェント有効化

エージェントの有効化操作はOSにより内容が変わります。

Windowsの場合

対象のコンピュータにログインをおこないadministrator権限にてコマンドプロンプトを起動ください。
エージェントがインストールされているディレクトリに移動します。

cd C:\Program Files\Trend Micro\Deep Security Agent\

上記手順、「必要コマンドの取得」でメモに残したコマンドを実行します。

dsa_control -a dsm://agents.workload.XX-1.cloudone.trendmicro.com:443/ "tenantID:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "token:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX"

有効化が正常に終了すると複数のメッセージが表示され最終行に「Command session completed.」と表示されます。
有効化が失敗する場合は下記「エージェント有効化が失敗する」を参照ください。

Linuxの場合

対象のコンピュータにログインをおこないます。
上記手順、「必要コマンドの取得」でメモに残したコマンドをsudoにて実行します。

sudo /opt/ds_agent/dsa_control -a dsm://agents.workload.XX-1.cloudone.trendmicro.com:443/ "tenantID:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "token:XXXXXX-XXXX-XXXX-XXXX-XXXXXXX" "policyid:XX"

有効化が正常に終了すると複数のメッセージが表示され最終行に「Command session completed.」と表示されます。
有効化が失敗する場合は下記「移動時に引っかかる点」を参照ください。

ポリシーの適用

移動先のCloudOneにログインをおこない、C1WSの画面を表示します。
コンピュータの一覧から移動対象を探し詳細画面を表示します。
移動をおこなうと各セキュリティのルールが適用されていない場合がございます。
画面内に「モジュールプラグインがみつからない」と表示される場合は下記「移動時に引っかかる点」を参照ください。

ポリシーの適用1

ルールが適用されていない設定については画面移動をおこない、「推奨設定の検索」または「割り当て」にて推奨ルールを設定します。
※複数台のコンピュータを移動する場合は[予約タスク]にて[コンピュータの推奨設定を検索]を手動実行頂く事で一括で確認が可能です。

ポリシーの適用2

上記でコンピュータの移動作業は完了になります。

移動時に引っかかる点

エージェント有効化が失敗する場合

エージェントの有効化をした際に、「HTTP Status: 403 - Forbidden - reset agent first.」と表示される場合は移動元のエージェント無効化が出来ていない場合、または無効化がエージェント側に通知できていない場合がございます。
Agentから通信を開始するハートビートの場合、反映まで時間がかかる場合がございます。
下記コマンドをエージェント側で実行いただきハートビートをおこなうことで問題が解決します。

Windowsの場合

cd C:\Program Files\Trend Micro\Deep Security Agent\
dsa_control -m

Linuxの場合

sudo /opt/ds_agent/dsa_control -m

エージェント有効後に「モジュールプラグインがみつからない」と表示される場合

ご利用のエージェントバージョンがC1WSで管理しているソフトウェアに存在しない場合表示がされます。

モジュールプラグインがみつからない1

C1WSは独自にエージェントをインポートすることができないため用意されているエージェントバージョンを利用する必要があります。
対応しているバージョンは[管理] > [アップデート] > [ソフトウェア] > [ローカル]にて確認ができます。

モジュールプラグインがみつからない2

上記が表示された場合はエージェントのアップデートをします。
C1WS画面にて対象のコンピュータを探し右クリックにてサブメニューを表示します。
[処理] > [Agentソフトウェアのアップグレード] から推奨バージョンへのアップデートを実施します。

モジュールプラグインがみつからない3

さいごに

今回はC1WSまたはオンプレDeep Securityで監視しているコンピュータを他のC1WSに移動する対応を試してみました。
少しでもお客様の対応したいことの参考になればと考えております。