こんばんは。小寺です。

今回はインストール用のエージェントを使わずに、LinuxインスタンスへCloud One Workload Security エージェントをインストールしてみました。
具体的にはSystems Managerのディストリビューターから対応を行います。

前提条件としては、EC2が作成済みであり、かつIAMロールのうちAmazonSSMManagedInstanceCoreが設定済であるとします。

セキュリティグループの設定

Cloud One Workload Securityで必要なポートについて、以下を参考にしました。

https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/

双方向で通信が必要で、インバウンドとしてはポート4118です。
アウトバウンドでは、443が必要です。

インバウンド側の通信はアクセスを絞るためIP制限が推奨されるので、
以下のポート番号を確認して、リージョン別の表示されるIPアドレスを設定しておきましょう。

ポート番号、URL、およびIPアドレス
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/

パラメータの作成

(1)AWS Systems Managerから「アプリケーション管理」から「パラメータストア」を選びます。

(2)4つのパラメータを作成しておく必要があります。
詳細はこちらから。

2023年7月に対応したときには、Workload Securityコンソールで「サポート情報」から「インストールスクリプト」を開き、パラメータを確認しました。
「パラメータの作成」より以下4つを設定します。

dsActivatioinUrlとdsManagerUrlはJP-1リージョンを使っているなら固定です。TenantIdと、Tokenはインストールスクリプトから乱数で表示されているので、コピーして設定します。

dsActivationUrl=dsm://agents.workload.jp-1.cloudone.trendmicro.com:443/
dsManagerUrl=https://workload.jp-1.cloudone.trendmicro.com:443
dsTenantId=XXXXX
dsToken=XXXXXXX

(3)マイパラメータに表示されていることを確認します。

AWS Systems Managerよりディストリビューターから 関連付けの作成

AWS Systems ManagerのDistributorから関連付けを行います。
(1)ディストリビューターを選びます。

(2)「サードパーティー」から「TrendMicro-Cloud One-WorkloadSecuity」を選びます。

(3)「関連付けの作成」画面では名前に「cloud-one-workload-security」を入力します。

(4)パラメータは「Installation Type」として「In-place update」を選びました。
※TrendMicro社のオフィシャルページでも推奨になっています。

インストールするEC2インスタンスはインスタンスタグを指定など任意な方法で選ぶことができます。

(5)「関連付けのリクエストが成功しました」メッセージが確認できます。

(6)1~2分待つと「失敗」表示になっていたので、AWS Systems ManagerのRun Commandから確認してみます。

ステップ2:コマンドの説明とステータスのステップ名の「configurePackage」で失敗しています。

(8)Errorの内容は以下の通りでした。

update errors: % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 56 100 56 0 0 11567 0 --:--:-- --:--:-- --:--:-- 14000
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 485 100 485 0 0 104k 0 --:--:-- --:--:-- --:--:-- 118k
update.sh: line 10: aws: command not found
update.sh: line 12: aws: command not found
update.sh: line 13: aws: command not found
update.sh: line 14: aws: command not found
update.sh: line 15: aws: command not found
failed to run commands: exit status 1
Failed to install package; install status Failed

うーん、そもそもインストールができていない状態です・・・。
別途、調査して成功させたいと思います!

(9)Ubutuのバージョンを確認すると、16.04.5だったのでCloud Oneのサイトからエージェントを 落として、インストールしました。

まとめ

今回は、 Systems ManagerのディストリビューターからCloud One Workload Securityエージェントをインストールを行ってみました。

結果は上手くいっていないので、別途、原因を確認して対応内容をアップします。複数台のインスタンスに同時にパッケージをインストールおよびアップデートする際には便利だし、使いこなしていきたいと思います。今回はコンソールから試してみましたが、Cfn化しておけば台数が多いときにも便利ですよね。次回は絶対成功!