ビュー:
Trend Vision One のAWSアカウントは、Cloud Accountsアプリで管理されるようになりました。新しいAWSアカウントを追加するには、CloudFormation を使用して AWS アカウントを追加 を参照してください。
API を使用して、新しいアカウントを Server & Workload Protectionに追加することもできます。ただし、 トレンドマイクロ では、より高度なクラウド セキュリティと XDR 機能へのアクセスを提供するクラウド アカウント アプリを使用することをお勧めします。次のトピックは参照のみを目的としています。
このページでは、エージェントが組み込まれた状態で新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する方法について説明します。
既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをServer & Workload Protectionで保護する方法については、Amazon EC2およびWorkSpaceインスタンスにエージェントをインストールするを参照してください。
Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護する方法については、AWSアカウントを既に追加した場合のAmazon WorkSpacesの保護を参照してください。
エージェントのベーキングは、パブリックAMIに基づいてEC2インスタンスを起動し、その上にエージェントをインストールしてから、このカスタムEC2イメージをAMIとして保存するプロセスです。このエージェントがベイクされたAMIは、新しいAmazon EC2インスタンスを起動する際に選択できます。
同様に、複数のAmazon WorkSpacesにエージェントを展開したい場合は、エージェントを含むカスタムWorkSpaceバンドルを作成できます。新しいAmazon WorkSpacesを起動する際に、そのカスタムバンドルを選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。

手順

  1. AWSアカウントを Server & Workload Protectionに追加する
  2. アクティベーションの種類の設定
  3. 「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する
  4. マスターへのエージェントの配信
  5. エージェントが正しくインストールおよび有効化されていることを確認します。
  6. ポリシーの自動割り当てを設定する
  7. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
  8. AMIの使用

AWSアカウントを Server & Workload Protectionに追加する 親トピック

有効化の種類を設定する 親トピック

エージェントによるアクティベーションを許可するかどうかを指定する必要があります。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > アクティベーションタイプを構成するを参照してください。

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動します 親トピック

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、後で作成するEC2 AMIまたはWorkSpaceバンドルの基礎となります。

手順

  1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpaceを起動します。詳細については、Amazon EC2ドキュメントおよびAmazon WorkSpacesドキュメントを参照してください。
  2. インスタンスマスターを呼び出します。

Agentをマスターにインストールする 親トピック

マスターにエージェントをインストールしてアクティベートする必要があります。このプロセス中に、オプションでポリシーをインストールすることができます。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > Amazon EC2インスタンスおよびWorkSpacesにエージェントをデプロイするを参照してください。
理想的には、 エージェントをAMIまたはワークスペースバンドルに組み込み、後で新しいエージェントを使用する場合は、バンドルをアップデートして新しいエージェントを含める必要があります。ただし、それが不可能な場合は、[アクティベーション時にエージェントが自動的にアクティベートされたときに、 Server & Workload Protection がエージェントを最新バージョンに自動的にアップグレードできます。詳細については、有効化時にAgentを自動的にアップグレードする

Agentが適切にインストールされ有効化されたことを確認する 親トピック

続行する前に、エージェントがマスターに正しくインストールされ、アクティブ化されていることを確認してください。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > エージェントが正しくインストールされ、アクティブ化されていることを確認するを参照してください

ポリシーの自動割り当ての設定 親トピック

場合によっては、マスター上でエージェントを展開した方法に応じて、ポリシーの自動割り当てを設定する必要があるかもしれません。
  • インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
  • エージェントを手動でインストールして有効化した場合は、 エージェントにポリシーが割り当てられていません。この時点でポリシーを割り当てて、マスターを保護する必要があります。マスターに基づいて起動されたAmazon EC2インスタンスとAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。

手順

  1. Server & Workload Protection コンソールで、次のパラメータを使用してイベントベースのタスクを作成します。
    • [イベント][Agent-Initiated Activation]に設定します。
    • [Assign Policy]を割り当てたいポリシーに設定します。
    • オプションで、[Cloud Instance Metadata]に条件を設定し、次のいずれかを選択します
      • [EC2][tagKey][True][tagValue.](EC2インスタンス用)
      • [WorkSpaces][tagKey][True][tagValue.](WorkSpaces用)
    前述のイベントベースのタスクでは、次のように記述されています。
    エージェントの有効化時に、指定されたポリシーを割り当てます。EC2=trueまたはWorkSpaces=trueがAmazon EC2インスタンスまたはWorkSpaceに存在すること。
    そのキー/値ペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは有効化されたままです)。条件を指定しない場合、ポリシーはアクティベーション時に無条件で割り当てられます。
    イベントベースのタスクの作成に関する詳細は、AWS EC2インスタンスタグに基づいてポリシーを自動的に割り当てるを参照してください。
  2. 前の手順で Server & Workload Protection コンソールにキー/値のペアを追加した場合は、次の手順を実行します。
    1. AWSにログインします。
    2. マスターEC2インスタンスまたはWorkSpaceを特定します。
    3. [キー][EC2]または[WorkSpaces]であり、[値][True]であるマスターにタグを追加します。詳細については、このAmazon EC2 のタグ付けに関するドキュメントおよびこのAmazon WorkSpace のタグ付けに関するドキュメントを参照してください。これでポリシーの自動割り当てが設定されました。マスターを使用して起動された新しい Amazon EC2 インスタンスと Amazon WorkSpaces は自動的にアクティブ化され (マスター上でエージェントが事前にアクティブ化されているため)、その後イベントベースのタスクを通じてポリシーが自動的に割り当てられます。
  3. マスターEC2インスタンスまたはWorkSpaceで、エージェントのアクティベーションコマンドを再実行するか、Server & Workload Protectionコンソールの[Reactivate]ボタンをクリックしてエージェントを再アクティベートします。詳細はエージェントのアクティベートを参照してください。再アクティベーションにより、イベントベースのタスクがポリシーをマスターに割り当てます。マスターはこれで保護されます。

次に進む前に

AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する 親トピック

AWSからAMIを作成する際は、作成前にインスタンスを[stop]し、AWSオプション[No reboot]を選択しないでください。[No reboot]オプションで作成されたイメージはエージェントによって保護されません。
現在、事前にインストールおよびアクティベートされたエージェントを含むAMIまたはWorkSpaceバンドルがあります。

AMIを使用する 親トピック

カスタムAMIまたはWorkSpaceバンドルを入手したので、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、 エージェントが自動的に起動してアクティベートされ、割り当てられた保護ポリシーが適用されます。 Server & Workload Protection コンソールでは、ステータスが [管理対象] で、横に緑色の点が表示されます。