Cloud One Workload Securityで管理しているインスタンスを別のアカウントに移動してみた

Toda Tomohiro

2022.10.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部＠大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloud One Workload Security(C1WS)にて監視をしているインスタンスを別のアカウントに移動したり、Deep Securityから移動する場合操作が必要になります。
今回はインスタンスの移動方法を2パターン紹介いたします。

Cloud One Workload Securityとは？

Cloud One Workload SecurityはDeep Securityと表現すると知っている方も多いと思いますが、Trend Microのクラウド対応のセキュリティ製品群の1つです。

EC2などのサーバのセキュリティ対策は、Workload Securityを利用いたします。
サーバ上で動くアンチマルウェア/IDS/IPS/変更監視/セキュリティログ監視/Webレピュテーションなどのセキュリティ機能を有しており、多くの脅威からサーバを保護いたします。

■ Trend Micro Cloud One™ Workload Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html

インスタンスの移動イメージ

C1WS間の移動の場合は1度監視を無効化してエージェントのインスタンス内にてコマンドを実行頂く事で再有効化をおこない移動先のアカウントにて監視を再開することが可能です。

Deep Security(DS)をご利用でC1WSに移動をする場合はインスタンスで動作をさせているエージェントのバージョンがC1WSで対応しているかで操作が変わります。
対応している場合は、C1WS間の移動と同じでコマンド操作にて対応が可能で、非対応の場合は、対応しているエージェントバージョンが存在するかをご確認頂きエージェントの入れ直しにて対応をおこないます。

エージェントのバージョン確認方法

エージェントのバージョン確認はC1WSまたはDSのコンソールにログインをいただき[コンピュータ]にて確認が可能です。
対象のインスタンスをダブルクリックして詳細を開いて頂き[処理]のタブにて表示されるAgentソフトのバージョンを確認します。

エージェントのバージョン確認方法1

また、台数が多い場合は一覧の列設定から[バージョン]を表示頂く事で一括して確認することも可能です。

エージェントのバージョン確認方法2

バージョン確認が出来たらインスタンスOSとAgentバージョンの表から対応しているかの確認をおこないます。

■ Agent platform support table - Cloud One
https://cloudone.trendmicro.com/docs/workload-security/agent-compatibility/

バージョンが対応している場合は、「ケース1:コマンドによる再有効化」をご利用頂き、対応していない場合は「ケース2:エージェント入れ直し」にて対応をおこないます。
なお、ケース2の方法はケース1の場合でもご利用頂く事が可能です。

ケース1:コマンドによる再有効化

エージェントの無効化

移動元のC1WSまたはDSのコンソール画面にログインをして画面上部の[コンピュータ]をクリックします。
対象のインスタンスの上で右クリックを頂きサブメニューから[処理] > [無効化]を選択してエージェントの監視を停止します。

エージェントの無効化

無効化をすると「非管理対象」と一覧に表示されます。

コマンドによる再有効化

Linuxの場合

移動先のC1WSにて有効化をおこなうためインスタンス内でコマンド操作をおこないます。
エージェントが導入されたインスタンスにはdsa_controlコマンドがご利用いただけます。
上記を利用して、移動先のC1WSにて監視が出来るように設定をおこないます。

■ コマンドラインの基本
https://cloudone.trendmicro.com/docs/jp/workload-security/command-line-interface/#Agent-In

コマンドにて設定をする場合、対象のC1WSのURLやポリシー設定などを引数で渡して実行をする必要があり操作の難易度が高くなっております。
簡易対応する方法として「インストールスクリプト」にコメントで記載されているコマンドをご利用頂く方法がありますので今回はそちらを試してみます。

移動先C1WSの画面上部から[サポート情報] > [インストールスクリプト]を選択します。

コマンドによる再有効化 (Linuxの場合)1

インストールスクリプトの画面にてプラットフォーム:Linux版Agentのインストールを選択します。
その他関連付けするセキュリティポリシーを選択します。

コマンドによる再有効化 (Linuxの場合)2

条件の設定後はファイル保存やクリップボードへのコピーをおこなわず、画面を下までスクロールさせます。
スクロールをしますと最終行に「#」にてコメントアウトされた行がありこちらがインスタンス有効化のコマンドになります。こちらの行を「#」を取ってメモに残します。

コマンドによる再有効化 (Linuxの場合)3

再有効化をしたいEC2インスタンスにログインをおこない対象のコマンドをsudoを付けて実行します。

$ sudo /opt/ds_agent/dsa_control -a dsm://agents.workload.jp-1.cloudone.trendmicro.com:443/ "tenantID:XXXXX-XXXXX-XXXX-XXXX-XXXXXXX" "token:XXXX-XXXX-XXXX-XXXX-XXXXX" "policyid:99"

# 正常の場合は下記内容が出力されます
2022-10-12 00:00:00.643433 [+0000]: Activation will be re-attempted 30 time(s) in case of failure
2022-10-12 00:00:00.643597 [+0000]: dsa_control
HTTP Status: 200 - OK
Response:
Attempting to connect to https://agents.workload.jp-1.cloudone.trendmicro.com:443/
SSL handshake completed successfully - initiating command session.
Connected with (NONE) to peer at agents.workload.jp-1.cloudone.trendmicro.com
Received a 'GetHostInfo' command from the manager.
Received a 'SetDSMCert' command from the manager.
Received a 'SetAgentCredentials' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'SetAgentStatus' command from the manager.
Received a 'GetInterfaces' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetCapabilities' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetComponentInfo' command from the manager.
Received a 'GetDockerVersion' command from the manager.
Received a 'GetCRIOVersion' command from the manager.
Received a 'SetXDRInformation' command from the manager.
Received a 'SetSecurityConfiguration' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetIoT' command from the manager.
Received a 'SetDSMCACert' command from the manager.
Received a 'Metrics' command from the manager.
Command session completed.

Windowsの場合

移動先のC1WSにて有効化をおこなうためインスタンス内でコマンド操作をおこないます。
利用するコマンドは上記Linuxと同じdsa_controlコマンドを利用いたします。

移動先C1WSの画面上部から[サポート情報] > [インストールスクリプト]を選択します。

コマンドによる再有効化 (Windowsの場合)1

インストールスクリプトの画面にてプラットフォーム:Windows版Agentのインストールを選択します。
その他関連付けするセキュリティポリシーを選択します。

コマンドによる再有効化 (Windowsの場合)2

条件の設定後はファイル保存やクリップボードへのコピーをおこなわず、画面を下までスクロールさせます。
スクロールをしますと最終行に「#」にてコメントアウトされた行がありこちらがインスタンス有効化のコマンドになります。コマンド内容を取得して下記のように調整をします。

マンドによる再有効化 (Windowsの場合)3

変更したコマンドでは1行目でディレクトリの移動をおこない、2行目にてコマンドを実行するようにします。
ディレクトリの移動はDeep Securityのインストールディレクトリを指定します。

# 取得したコマンド
#& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a dsm://agents.workload.jp-1.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

# 変更後のコマンド
cd "C:\Program Files\Trend Micro\Deep Security Agent"
dsa_control" -a dsm://agents.workload.jp-1.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

再有効化をしたいEC2インスタンスにログインをおこない対象のスクリプトをコマンドプロンプト(cmd)に貼り付けして実行します。

cd "C:\Program Files\Trend Micro\Deep Security Agent"
dsa_control" -a dsm://agents.workload.jp-1.cloudone.trendmicro.com:443/ "tenantID:XXXX-XXXX-XXXX-XXXXX" "token:YYYY-YYYY-YYYY-YYYY" "policyid:99"

# 正常の場合は下記内容が出力されます
2022-10-12 00:00:00.903369 [+0000]: Activation will be re-attempted 30 time(s) in case of failure
2022-10-12 00:00:00.919508 [+0000]: dsa_control
HTTP Status: 200 - OK
Response:
Attempting to connect to https://agents.workload.jp-1.cloudone.trendmicro.com:443/
SSL handshake completed successfully - initiating command session.
Connected with XXXXXXXXXXX to peer at agents.workload.jp-1.cloudone.trendmicro.com
Received a 'GetHostInfo' command from the manager.
Received a 'SetDSMCert' command from the manager.
Received a 'SetAgentCredentials' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'SetAgentStatus' command from the manager.
Received a 'GetInterfaces' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetComponentInfo' command from the manager.
Received a 'GetDockerVersion' command from the manager.
Received a 'GetCRIOVersion' command from the manager.
Received a 'SetXDRInformation' command from the manager.
Received a 'SetSecurityConfiguration' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'UpdateComponent' command from the manager.
Received a 'GetIoT' command from the manager.
Received a 'SetDSMCACert' command from the manager.
Received a 'Metrics' command from the manager.
Command session completed.

リストの確認

コマンドによる再有効化を確認後、移動先のC1WSの[コンピュータ]を確認して、インスタンスが移動していることを確認します。
上記にてコマンドを利用した再有効化での移動操作は完了になります。

リストの確認

ケース2:エージェント入れ直し

エージェントの無効化

移動元のC1WSまたはDSのコンソール画面にログインをして画面上部の[コンピュータ]をクリックします。
対象のインスタンスの上で右クリックを頂きサブメニューから[処理] > [無効化]を選択してエージェントの監視を停止します。
この操作はケース1と同じになります。

エージェントの削除

移動対象のインスタンスからDeepSecurityエージェントの削除をおこないます。
利用するOSによりコマンドが変わりますので下記ヘルプページの「Deep Security Agentをアンインストールする」を参考に削除コマンドを実行してください。

■　Deep Security Agentをアンインストールする
https://help.deepsecurity.trendmicro.com/aws/ja-jp/uninstall.html

Amazon Linux2, CentOS, RedHatの場合は下記コマンドになります。

$ sudo rpm -ev ds_agent

Stopping ds_agent: [ OK ]
Unloading dsa_filter module [ OK ]

インストールスクリプトによる導入

Linuxの場合

DeepSecurityエージェントの再セットアップと有効化をおこないます。
移動先C1WSの画面上部から[サポート情報] > [インストールスクリプト]を選択します。

インストールスクリプトによる有効化1

インストールスクリプトによる有効化

設定後、[ファイルに保存]または[クリップボードにコピー]にてスクリプトのデータを取得して対象のインスタンスで実行できる状態にします。
例としてインスタンスにSSHログインをおこないホームディレクトリ等で「vi ds_setup.sh」を作成して先ほどクリップボードにコピーした内容をペーストします。
実行権限を付与してシェルスクリプトを実行頂く方法などがございます。

$ cd <作業用ディレクトリ指定>

# クリップボードにコピーしたスクリプトをds_setup.shに貼り付けします。
$ vi ./ds_setup.sh

# シェル実行のため権限を付与します。
$ sudo chmod 766 ./ds_setup.sh

# DeepSecurityエージェントインストール
$ sudo ./ds_setup.sh