非アクティブなAgentのクリーンナップによるオフラインコンピュータの削除の自動化
このページのトピック
Workload Securityのデプロイメントにおいて、Workload Securityと通信していないオフラインコンピュータが多数ある場合、まずコネクタを使用してみてください (AWSアカウントの追加について、Microsoft AzureアカウントをWorkload Securityに追加、またはGoogle Cloud Platformアカウントを追加 を参照)。コネクタを使用すると、クラウドアカウントから削除されたコンピュータも自動的にWorkload Securityから削除されるため、コンピュータのライフサイクル全体が自動的に管理されます。環境でコネクタを使用できない場合は、非アクティブなエージェントのクリーンアップを使用して、非アクティブなコンピュータの削除を自動化できます。非アクティブなエージェントのクリーンアップは、指定された期間 (2週間から12ヶ月) オフラインおよび非アクティブであったコンピュータを毎時チェックし、削除します。
非アクティブなエージェントのクリーンナップでは、1時間ごとのチェックで最大1000台のオフラインコンピュータが削除されます。オフラインコンピュータの数がこれより多い場合は、すべてのオフラインコンピュータが削除されるまで、チェックごとに1000台が削除されます。
非アクティブなエージェントのクリーンナップを有効にすると、次の操作を実行できます。
- オフラインのアクティブなコンピュータがWorkload Securityに再接続できるようにする
- 特定のコンピューターが削除されないようにオーバーライドを設定する
- 非アクティブなエージェントのクリーンアップジョブの結果を確認する
非アクティブなエージェントのクリーンナップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されないことに注意してください。
Trend Cloud One - Endpoint & Workload SecurityインスタンスがTrend Vision Oneにアップグレードされた場合、Trend Cloud One - Endpoint & Workload Securityエンドポイントの非アクティブエージェントの削除はTrend Vision Oneコンソールの設定によって決定され、非アクティブエージェントのクリーンアップオーバーライドは機能しなくなります。詳細については、アンインストールされたエージェントのクリーンアップ を参照してください。
非アクティブなAgentのクリーンナップを有効にする
- [管理] ページに移動します。
- [システム設定]→[Agent]→[非アクティブなAgentのクリーンナップ] で、[次の期間を超過した非アクティブなAgentを削除する:] を選択します。
- 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
- オフラインのコンピュータが Workload Security に再接続できるようにする(任意ですが推奨されます)。
- [Save] をクリックします。
オフラインコンピュータの保護を維持する
アクティブであるがWorkload Securityとの通信が不規則なオフラインコンピュータがある場合、指定された非アクティブ期間内に通信が行われなければ、非アクティブなAgentのクリーンナップによってそれらのコンピュータが削除されます。これらのコンピュータがWorkload Securityに確実に再接続するには、Agentからのリモート有効化 と 不明なAgentの再有効化の両方を有効にします。これを行うには、[ システム設定]→[エージェント]→[Agentからのリモート有効化] で、[ Agentからのリモート有効化を許可 ] を選択してから、[ 不明なAgentの再有効化] を選択します。
削除されたコンピュータが再接続すると、ポリシーがないため、新しいコンピュータとして追加されます。コンピュータへの直接リンクはすべて、Workload Securityイベントデータから削除されます。
イベントベースタスクを使用すると、Agentからのリモート有効化の際に、コンピュータに割り当てられたポリシーを自動的に割り当てることができます。
コンピュータが削除されないようにする
コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。
オーバーライドは次のように設定します。
- 上書きを設定するコンピュータまたはポリシーの Computer または Policy エディタを開きます。
- [設定]→[一般] に移動します。
- [非アクティブなAgentのクリーンナップのオーバーライド] で、[はい] を選択します。
- [保存] をクリックします。
削除されたコンピュータの監査を確認する
非アクティブなエージェントのクリーンナップジョブが実行されると、削除されたコンピュータの追跡に使用できるシステムイベントが生成されます。
次のシステムイベントを確認します。
- 2953 - 非アクティブなAgentのクリーンナップが正常に完了しました
- 251 - コンピュータの削除
- 716 - 不明なエージェントによる再有効化の試行 (不明なエージェントの再有効化が有効な場合)
システムイベントを検索する
非アクティブなエージェントのクリーンナップジョブによって生成されたシステムイベントを表示するには、イベントをフィルタする検索を作成します。
- [イベントとレポート] ページに移動します。
- 右上の [ Search ] をクリックし、[ Open Advanced Search] を選択します。
- [ Period]で、[ Custom Range] を選択します。
- [開始] に、非アクティブなAgentのクリーンナップジョブが最初に実行された時刻の直前にあたる日時を入力します。[終了] に、クリーンナップジョブが完了した時刻の直後にあたる日時を入力します。
- [検索] で、[イベントID] と [次のリストに含まれる] を選択し、「2953, 251」と入力します。必要に応じて、「716」やコンピュータの再有効化に関連するイベントID (130, 790, 350, 250) を入力することもできます。
非アクティブなエージェントのクリーンナップジョブによって生成されたすべてのシステムイベントが表示されます。対応する列をクリックすると、時間、イベントID、またはイベント名でイベントを並べ替えることができます。イベントをダブルクリックすると、そのイベントの詳細を表示できます。
システムイベントの詳細
2953 - 非アクティブなAgentのクリーンナップが正常に完了しました
このイベントは、非アクティブなエージェントのクリーンナップジョブが実行され、コンピュータが正常に削除されたときに生成されます。このイベントの説明は、削除されたコンピュータの数を示します。
すべてのコンピュータを削除するために複数のチェックが必要な場合は、チェックごとに個別のシステムイベントが生成されます。
251 - コンピュータの削除
[非アクティブなエージェントのクリーンナップが正常に完了しました] イベントに加えて、削除されたコンピュータごとに個別の [コンピュータの削除] イベントが生成されます。
716 - 不明なAgentの再有効化の試行
[不明なエージェントの再アクティブ化] が有効な場合、このイベントは、アクティブ化されたコンピュータがWorkload Securityに再接続しようとしたときに削除された場合に生成されます。再アクティベートされた各コンピュータでは、次のシステムイベントも生成されます。
- 130 - 資格情報の生成
- 790 - Agentからのリモート有効化の要求
- 350 - ポリシーの作成 (ポリシーを割り当てるイベントベースのタスクを有効にしている場合)
- 250 - コンピュータの作成または252 - コンピュータのアップデート