Linux の永続的環境および非永続的環境のイメージを作成する

適用対象: WatchGuard Advanced EPDRWatchGuard EPDRWatchGuard EDRWatchGuard EPPWatchGuard EDR Core

開始する前に

仮想環境は複雑かつ多様です。本セクションでは、永続的 VDI (仮想デスクトップ インフラストラクチャ) 環境および非永続的 VDI 環境に WatchGuard Endpoint Security をインストールする詳細な手順についてご説明します。仮想コンピュータや仮想インスタンスでは、特定の手順に従って、仮想環境で使用されるイメージまたはテンプレートが最新かつ最適化されていること、また、以前にマシン ID が割り当てられていないことを確認する必要があります。これにより、仮想コンピュータが起動すると、Endpoint Security の管理 UI でそれが一意に登録されるようになります。

一部の特有の環境では、仮想化ベンダーが提供する推奨事項に従って、これらの一般的な手順をニーズに適合させなければならない場合があります。

このインストール手順では、テンプレート (永続環境の場合) またはゴールド イメージ (非永続的環境の場合) を準備する必要があります。これは、後にネットワークの仮想コンピュータに配備されます。以下を確実にするため、手順を厳密に実行することが重要となります。

  • エンジンと署名ファイル (ナレッジ) の更新。
  • 非永続的環境におけるリソースと帯域幅の消費の最適化。
  • 仮想インスタンスが一意に識別されること。

前提条件

  • 永続的環境では、コンピュータに固定 MAC アドレスが必要となります。
  • テンプレートまたはゴールド イメージの生成を行うコンピュータには、インターネット接続が必要となります。

  • 以下のツールのいずれか 1 つをダウンロードできる必要があります:

    また、このツールは root として実行する必要があります。

互換性のあるシステム

通常、この手順は以下の種類の仮想マシンに適用することができます。

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • Microsoft Virtual Desktop
  • Microsoft Virtual Server

永続的環境に保護をインストールする

この手順の各ステップに注意して従うことが重要です。この手順が完了したら、クローンされたすべてのデバイスが Endpoint Security 管理 UI に表示されていることを確認する必要があります。デバイスが正しくクローンされていないと、監視対象アクションの可視性や高度な保護の信頼性に影響が及んだり、ネットワークのセキュリティが損なわれたりする可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してゴールド イメージを再構築し、影響を受けている endpoint にできるだけ早く再配備する必要があります。

  1. ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 管理 UI で、新しい設定プロファイル用に 仮想マシン グループを作成します。

Screen shot of Computers page and Add Group menu

  • 仮想マシン グループでは:
    1. 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    2. 保護エンジンの自動更新が有効になっていることを確認します。

Screen shot of Per Computer Settings page, Updates section.

  1. これらの設定を 仮想マシン グループに割り当てます。
  2. 設定 > ワークステーションとサーバー の順に選択します。将来のイメージ更新用の設定プロファイルを作成します。
  3. 一般 > アップデート セクションで、署名ファイルのナレッジの自動アップデート トグルが有効になっていることを確認します。

Screen shot of Edit Settings dialog box, Knowledge updates section

  1. これらの設定を 仮想マシン グループに割り当てます。
  1. 仮想マシン グループに Endpoint エージェントと保護ソフトウェアをインストールします。
    1. コンピュータ タブで、仮想マシン グループを選択します。
    2. インストーラをダウンロードするには、コンピュータの追加 をクリックします。
      Screen shot of Add Computers dialog box, Windows selected.
    3. テンプレート デバイスに Endpoint エージェントをインストールします。保護ソフトウェアが自動的にインストール、構成、更新されます。インストールが完了すると、管理 UI の保護対象コンピュータのリストに緑色のアイコンでコンピュータが表示されます。保護ソフトウェアとナレッジ (署名ファイル) は最新です。

  1. Linux 用 Endpoint エージェント ツール または Linux 用 Endpoint エージェント ツール DEPS なし をダウンロードし、テンプレート デバイスに抽出します。

    1. EndpointAgentTool フォルダを開き、オペレーティング システム用のファイルを開きます。

      2. 注意: DEPSなしツールの場合は、EndpointAgentTool ファイルを /usr/local/management-agent/bin/ にコピーする必要があります。

    2. このコマンドを実行してカウンターと検出を再起動し、設定とサーバー タスクを更新します:

      sudo ./EndpointAgentTool -d -c -cmd

    3. コンピュータが改ざん防止により保護されている場合は、atp パラメータの後にパスワードを挿入します:

      sudo ./EndpointAgentTool -pei -atp:antitamperpassword

  2. 重要: 仮想インスタンスの名前が変更される前にサービスが自動的に開始されないように、Endpoint エージェント サービスを無効化してください。

各仮想マシンが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

  1. 仮想環境管理ツールを開き、テンプレートを生成します。詳細については、ベンダーのマニュアルを参照してください。

テンプレートの作成後、スクリプトまたは他のツールを使用して、WatchGuard Endpoint Agent サービスの起動の種類を変更することができます。

非永続的 VDI 環境に保護をインストールする

非永続的 VDI 環境を管理する手順には、3 つのフェーズが含まれます。

ゴールド イメージを生成する前に、そのイメージが作成されるコンピュータを準備する必要があります。

  1. ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 管理 UI で、ゴールド イメージをホストする 1 つのグループ (ゴールド イメージまたはテンプレート イメージ グループ)、および仮想マシンをホストする別のグループ (仮想マシン グループ) を作成します。
  • ゴールド イメージまたはテンプレート イメージ グループの場合:
    1. 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    2. 必ず保護ソフトウェアの自動更新を有効にしてください。
    3. 自動再起動オプションを選択して、コンピュータが更新されるようにします。

Screen shot of Settings page, Per Computer Settings, Add Settings.

  1. これらの設定を ゴールド イメージまたはテンプレート イメージ グループに割り当てます。
  2. 設定 > ワークステーションとサーバー の順に選択し、将来のイメージ更新用の設定プロファイルを作成します。
  3. 一般 > アップデート セクションで、ナレッジの自動アップデート (署名ファイル) が有効になっていることを確認します。
  4. これらの設定を ゴールド イメージまたはテンプレート イメージ グループに割り当てます。
  • 仮想マシン グループの場合:

    • 仮想インスタンスは、更新済みのゴールド イメージに基づきます。VDI サーバーのリソースを最適化して、帯域幅の使用量を削減するには、以下の手順に従って更新を無効化します。


    Screen shot of Per Computer Settings page, Recipients.

    1. コンピュータごとの設定プロファイル (更新は無効化する) を作成し、これを 仮想マシン グループに割り当てます。
    2. ワークステーションおよびサーバーの設定プロファイルを作成し、セキュリティ セクションでナレッジの自動アップデートを無効化します。
      Screen shot of Per Computer Settings page, Recipients.
    3. この設定プロファイルを 仮想マシン グループに割り当てます。
    4. Endpoint エージェントと保護ソフトウェアを 仮想マシン グループにインストールし、ゴールド イメージを生成します。
    5. コンピュータ タブで 仮想マシン グループを選択して、コンピュータの追加 をクリックし、インストーラをダウンロードします。
    6. ゴールド イメージの作成に使用されるコンピュータに Endpoint エージェントをインストールします。保護ソフトウェアが自動的にインストールおよび構成されます。インストールが完了すると、コンピュータが管理 UI の保護対象コンピュータのリストに表示されます。
    7. Linux 用 Endpoint エージェント ツール または Linux 用 Endpoint エージェント ツール DEPS なし をダウンロードし、ゴールド イメージのあるコンピュータで抽出します。
  • EndpointAgentTool フォルダを開きます。
    注意: DEPSなしバージョンの場合は、EndpointAgentTool ファイルを /usr/local/management-agent/bin/ にコピーする必要があります。
  • カウンターと検出を送信し、サーバー上の設定とタスクを更新するにはこのコマンドを実行します:
    sudo ./EndpointAgentTool -d -c -cmd
  • 重要: コンピュータが改ざん防止により保護されている場合は、atp パラメータの後にパスワードを挿入します:
    sudo ./EndpointAgentTool -pei -gi -atp:antitamperpassword

各仮想コンピュータが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

テンプレートの作成後、スクリプトまたは他のツールを使用して、WatchGuard Endpoint Agent サービスの起動の種類を変更することができます。

ゴールド イメージの Endpoint エージェント、保護ソフトウェアおよび署名ファイルは頻繁に (少なくとも月に 1 回) 更新する必要があります。これらの更新は、ハッカーが開発した新しい攻撃方法に対し最大の保護を徹底する上で不可欠です。

ゴールド イメージを更新するには、以下の手順を実行します。

  1. ゴールド イメージがインストールされているコンピュータを起動します。
  2. Windows サービスを開き、Endpoint エージェントの 開始の種類自動 になっており、サービス ステータス実行中 であることを確認します。
  3. 管理 UI で、ゴールド イメージが作成されているコンピュータを ゴールド イメージまたはテンプレート イメージ グループに移動すると、エンジンとナレッジが自動更新される適切な設定を得られるようになります。

  4. Linux 用 Endpoint エージェント ツール または Linux 用 Endpoint エージェント ツール DEPS なし をダウンロードし、ゴールド イメージのあるコンピュータに抽出します。

  5. EndpointAgentTool フォルダを開きます。
    注意: DEPSなしバージョンの場合は、EndpointAgentTool ファイルを /usr/local/management-agent/bin/ にコピーする必要があります。

  6. 新しいバージョンがある場合に Endpoint エージェントと保護ソフトウェアを更新するには、このコマンドを実行します:
    sudo ./EndpointAgentTool -su

  7. 保護署名を更新するにはこのコマンドを実行します:
    sudo ./EndpointAgentTool -ku

  8. カウンターと検出を送信し、サーバー上の設定とタスクを更新するにはこのコマンドを実行します。
    sudo ./EndpointAgentTool -d -c -cmd

  9. コンピュータが改ざん防止により保護されている場合は、atp パラメータの後にパスワードを挿入します:
    /usr/local/management-agent/bin/EndpointAgentTool -pei -gi -atp:antitamperpassword

  10. 重要: 仮想インスタンスの名前が変更される前に自動的に再起動しないように、Endpoint エージェント サービスを無効化してください。

各仮想インスタンスが Endpoint Security 管理 UI で一意に識別されるようにするために、この手順は非常に重要です。

管理 UI でコンピュータを確認する

手順に正しく従ったことを確認するには、Endpoint Security 管理 UI にコンピュータが表示されていることを確認します。

1 つのデバイスが表示されている場合は、コンピュータ リストからそのデバイスを削除し、この手順を最初からやり直す、つまり、ゴールド イメージを再構築し、影響を受けている endpoint に再展開する必要があります。

永続的コンピュータ

永続的コンピュータを確認するには、管理 UI で次の手順を実行します:

  1. コンピュータ を選択します。
  2. クローンされたデバイスがリストに表示されていることを確認します。

非永続的コンピュータ

WatchGuard Endpoint Security は、FQDN (完全修飾ドメイン名) を使用して、Endpoint エージェント ツールにより削除され、ゴールド イメージとしてマークされた ID を持つコンピュータを識別します。

非永続的コンピュータを確認するには、管理 UI で次の手順を実行します:

  1. 設定 を選択します。
  2. 左ペインで コンピュータのメンテナンス を選択します。
  3. VDI 環境 セクションで 非永続的コンピュータを表示 をクリックします。
    コンピュータ リストに非永続的コンピュータが表示されます。
  4. デバイスがリストにあることを確認します。

ライセンス管理

エージェント ID を削除して、ゴールド イメージ オプションを無効化すると、新規のコンピュータの起動時に、システムでそのマシン ID が計算され、選択されている環境に基づいてコンピュータが新規のコンピュータか既存のコンピュータかが判断されます。

非永続的環境

非永続イメージにおいて同時にアクティブ化されるコンピュータの最大数が設定されている場合は、使用可能なライセンスが存在し、同時マシンの数を超過していない限り、サーバーでライセンスが自動的に管理されます。

永続環境

使用しなくなったコンピュータが複数存在する場合は、物理コンピュータの場合と同じように、データベースからそれらを削除して、利用できるライセンスを増やすことができます。すべてのコンピュータを削除することも、個々のコンピュータを選択して削除することもできます。