【ゼロからはじめる！】Trend Vision One – Endpoint Security™ Server & Workload Protectionの新規導入＃3エージェントの導入方法

1. Trend Vision One – Endpoint Security™ Server & Workload Protectionの概要

●Trend Vision One Endpoint Security™ とは

エンタープライズサイバーセキュリティプラットフォーム「Trend Vision One」を強化し、XDRやCyber Risk Exposure Management機能に加えてトレンドマイクロや他社のセキュリティ製品も連携した1つのコンソールによる管理・運用を可能にします。
※XDRについてはこちらをご覧ください。

Trend Vision One - Endpoint Security™ (以下、V1ES)ではデスクトップ、サーバ、クラウドワークロードを保護するエンドポイントセキュリティを提供します。
様々なエンドポイントを一元的に可視化し、ポリシーを管理することで、オンプレミス、クラウドを問わず、Windows、Mac、Linuxの各OSに対して、包括的な保護、検知、対応が可能です。

●Server & Workload Protectionとは

サーバ・クラウドワークロードを包括的に保護するためのソリューションであり、多層防御を実現します。
Server & Workload Protection(SWP)は、Trend Cloud One™ - Endpoint & Workload Security(C1WS)と同等の機能を提供するサーバ・クラウドワークフロードを包括的に保護するためのソリューションです。

2. 新規導入の流れ

新規導入のおおまかな流れは①～④の手順となります。本ブログ記事では以下画像の②～④に加え、動作確認手順についてご説明します。

3. 事前確認・注意事項

●事前確認事項

システム要件と通信要件については以下URLをご確認ください。
https://success.trendmicro.com/ja-JP/solution/KA-0016020

なお、V1ESではAzure Code Signing(ACS)を使用して各製品モジュールの署名を行います。
そのため、ご利用のWindowsのバージョンに応じて下記のMicrosoft Windowsセキュリティパッチを適用いただく必要があります。
OSバージョンごとに必要なWindowsセキュリティパッチについては以下URLをご確認下さい。
※Windowsの最小バージョン要件（MicrosoftのKB5022661を反映）
https://success.trendmicro.com/ja-JP/solution/KA-0013632

プロキシ利用の場合はこちらをご参照ください。
※OSプロキシ設定はデフォルトで有効となっており無効に変更することはできません。

●注意事項

Windowsの場合はエージェントをインストール後に再起動が必要な場合がございます。(Linuxの場合は再起動は不要です。)
また、Linuxのセキュアブート環境の場合は事前に公開鍵をインストールする必要があります。
https://success.trendmicro.com/ja-JP/solution/KA-0016911

4. 新規導入手順

①Trend Vision One利用開始手順
以下ブログ記事をご確認ください。
【ゼロからはじめる！】Trend Vision One – Endpoint Security™ の新規導入 #1アクティベーション方法

②SWPインスタンス作成
Trend Vision Oneコンソール(以下、V1コンソール)にログインいただき、[Service Management]>[Product Instance]より製品インスタンスを作成します。
インスタンスは以下のように設定してください。

SWPインスタンス作成後は、[ENDPOINT SECURITY]>[Server & Workload Protection]よりコンソールが利用できます。

③ポリシー作成
SWPではポリシーによって保護機能の設定を保存し、エージェント展開時に割り当てることができます。
ポリシーで設定できる主要の保護機能としては以下の通りとなります。機能の概要について詳しく知りたい方は各リンクへ飛んでご確認いただけますと幸いです。

・不正プログラム対策機能の概要
・Webレピュテーション機能の概要
・アプリケーションコントロール機能の概要
・変更監視機能の概要
・セキュリティログ監視機能の概要
・ファイアウォール機能の概要
・侵入防御機能の概要

これらの保護機能をポリシーにて設定し、対象サーバへ割り当てていきます。
SWPのポリシーではデフォルトで“Base Policy”が用意されていますが、新規や複製でポリシーを作成したり、ポリシーの親子関係を作成して設定を継承することができます。

④エージェントのインストール
SWPのエージェントの新規インストール手順はインストール対象や方法によって異なり、全部で4パターンあります。

本記事では表中の(a)EPP＋XDR機能をご利用の場合にスクリプトを使ってエージェントを導入する方法をご紹介します！
この導入方法では、エージェントのインストール後に自動的にEPP機能を持つエージェントが有効化され、はじめからセキュリティポリシーやプロキシ等の設定が割り当てられた状態にすることができます。

(a)スクリプトでEPP＋XDRエージェントを展開する場合：
1.Trend Vision Oneコンソールの[Endpoint Security]>[Endpoint Inventory]>
[エージェントインストーラ]にて[配信スクリプトを使用したインストール方法]を選びます。

2.EPPのポリシー等を選択しておくと便利です。
※保護タイプは"Server & Workload Protection"を選択してください。

3.生成されたスクリプトをダウンロードまたはコピーして実行するとエージェントの導入ができます。

4.Trend Vision Oneコンソールの[Endpoint Security]>[Endpoint Inventory]にて、
対象端末をクリックすると[Endpoint Security情報]からステータスを確認することができます。
[エンドポイントポリシー情報]からインストール時に指定していたEPPの対象ポリシーが既に割り当てられていることが確認することもできます。

(b)インストーラzipファイルでEPP＋XDRエージェントを展開する場合：
[Endpoint Security]>[Endpoint Inventory]>[エージェントインストーラ]にて[インストーラパッケージ]>[Server and Workload Protection]を選びます。

(c)スクリプトでEPPエージェントを展開する場合：
[Endpoint Security]>[Server & Workload Protection]>[管理]>[アップデート]>[ローカル]より[インストールスクリプトの作成]にて取得します。

(d)インストーラzipファイルでEPPエージェントを展開する場合：
[Endpoint Security]>[Server & Workload Protection]>[管理]>[アップデート]>[ローカル]より、プラットフォームやバージョンに応じてエージェントインストーラを取得します。

5. 動作確認

●EPP機能

保護機能の動作確認手順をご紹介します。
以下主要保護機能のうち有効化された端末にて正常に動作するかご確認ください。

・不正プログラム対策機能の設定と動作確認
※検索除外を推奨するフォルダやファイルについてはこちら
・Webレピュテーションの設定と動作確認
・アプリケーションコントロールの設定と動作確認
・変更監視の設定と動作確認
・セキュリティログ監視の設定と動作確認
・ファイアウォールの設定と動作確認
・侵入防御の設定と動作確認

●XDR機能

XDR機能は以下手順で有効化してください。
1.Vision One コンソール > [Endpoint Security] > [Endpoint Security Configuration] > [Endpoint Security Policies] に移動します。
2.[Server & Workload Protection]欄の「Endpoint Sensorの検出と対応」をオンに変更後「保存」をクリックしてください。

動作確認としてV1コンソールからダウンロード可能な攻撃シミュレーションのデモスクリプトを実行し、検出の確認、調査、対処の流れを確認します。
事前に[ENDPOINT SECURITY]>[Endpoint Inventory]にて対象端末の「センサの接続」欄が「接続済み」かつ「Endpoint Sensorの検出と対応」欄が「有効」になっていることを確認してからデモスクリプトを実行してください。
詳細はこちらをご確認ください！

6. まとめ

お疲れ様でした！
以上で、SWPのエージェントの導入方法についての解説は終了です。
ここまで読んでいただきまして、どうもありがとうございました。

最新のVision Oneについての情報については、オンラインヘルプをご確認ください。