Sensor 部署
Endpoint Sensor
連線方式
在進行端點部署前,需要先了解環境中的端點能夠透過那些方式連線到 Vision One
如果端點無法直接連線至網際網路則需要考慮透過 Service Gateway 或是 Proxy 連線出去
並建議建立兩個或以上的 Service Gateway 或 Proxy 避免連線異常中斷
Service Gateway Forward Proxy Service (FPS)
部署前需要先參考設定 Service Gateway 所需要的防火牆設定
Deploy a Service Gateway and Configure Firewall Exceptions
並依照 Service Gateway 底下的端點會開啟哪些功能去開啟防火牆設定
Firewall exceptions: Singapore - all exceptions
Service Gateway 各個功能會用到的 Port
Ports used by the Service Gateway virtual appliance
在 Workflow and Automation 的 Service Gateway Management 中點選 Download
Virtual Appliance
在彈出的右側欄選擇 Service Gateway 類型以及 Registration Token 記得先複製
可以先參考 System Requirements 的說明後進行選擇
Service Gateway appliance system requirements
依照 Disk image type 部署完畢後,使用下列資訊登入:
帳號:admin
密碼:V1SG@2021
登入成功後會要求變更密碼
輸入 enable 進入 administrative commands
首先設定 Service Gateway 的 IP、Gateway、DNS
Configure network primary ipv4.static <interface> <ip_cidr> <gateway> <dns1> [dns2] [cni]
透過稍早複製的 Registration Token 註冊
完成後即可在 Service Gateway Management 看到該 Service Gateway 回報
點選 Service Gateway 的名稱進入後找到 Manage Services
在 Manage Services 中找到 Forward Proxy Service 並下載安裝
等待 Service 安裝完成
完成後在 Endpoint Inventory > Global Settings > Proxy
Settings 當中的
Service Gateway: Forward proxy enabled 數字應該增加
Note
請在確認 Forward proxy 啟用且具有該服務的 Service Gateway 的 Connection
status 為 Healthy 的情況
下載 Agent Installer 以確保最新的設定有包含在 Agent Installer 中
Custom proxy
在 Endpoint Security 的 Endpoint Inventory 中點選齒輪圖示後點選
Global settings
在 Global settings 找到 Agent Installer Proxy Settings 為需要 Proxy 的服務設定
設定完成後請下載新的 Agent Installer 並透過新的 Installer 安裝
環境檢查
XDR Endpoint Checker
如果端點安裝具有問題或是未出現在 Endpoint Inventory 可以透過 XDR Endpoint Checker 初步檢查
右上角問號圖示 > Run Diagnostic Test > Tool Download 找到 XDR Endpoint
Checker
下載取得一個 XDR_Endpoint_Checker_site 地區代號的 zip 檔案
解壓縮後執行 XDR_Endpoint_Checker.exe
執行後會彈出瀏覽器視窗,按下 Start
如果發現 System certificates 的錯誤,參考:
Managing outdated Windows Certificates
可以透過 Using the EasyFix for System Certificates Tool 提到的工具匯入所需要的憑證
如果發現連線至 Vision One 具有問題,請確認防火牆例外設定正確
Firewall exceptions: Singapore - all exceptions
如果出現 Device time 的錯誤表示裝置與 Vision One 之間的時間差距過大(三十分鐘)
請確認裝置時間的正確性以及是否正確設定了 NTP 同步時間
如果有其他錯誤或是檢查都通過了還是具有問題
請將 Log 資料夾壓縮收集提交給趨勢科技技術支援
Standard Endpoint Protection (SEP)
Windows
直接安裝
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Standard Endpoint Protection (SEP) 的區塊選擇對應的作業系統、作業系統架構以及管理端點的
Endpoint Group Manager (EGM) 後下載 Agent Installer
下載取得 TMStandardAgent_Windows_x86_64_Windows.zip
Warning
解壓縮取得的檔案請保持它們的名稱與相對位置
請不要重新命名、移動、刪除任何檔案與資料夾,避免安裝過程中找不到檔案。
以系統管理員身分執行 EndpointBasecamp.exe 並等待安裝完成
安裝完成後可能會需要重新啟動,agent會在右下方彈出提示。
在元件版本中可以看到用戶端 GUID
Microsoft Active Directory Group Policy
可以部署 PowerShell Script 來透過 GPO 部署 agent 首先下載 Sample Script 參考 Script 範本
Info
由於此範例也會同時檢查 SWP 的服務(amsp,ds_agent)因此也適用於 SWP
$uncPath 請依照環境內實際儲存「已經解壓縮的 agent installer」的位置修改
例如本次範例儲存在 \\31-201-ADServer\TrendMicro_Demo_VS\SEP
則必須將 $uncPath 修改成 \\31-201-ADServer\TrendMicro_Demo_VS\SEP\*
Warning
不同版本的 PowerShell 對於不在最後標註 * 的行為可能不同
Windows Server 2022 會只複製資料夾底下的內容(不符合預期)
Windows 10 22H2 會連同該資料夾一起複製(符合預期)
部署 Script 前,如果有不同版本的作業系統,請確認是否對同一種寫法有不同的行為
否則,這會導致在後續取得 EndpointBasecamp.exe 的位置有問題
新增一個 GPO
電腦設定 > 喜好設定 > 控制台設定 > 排定的工作
右鍵 > 新增 > 排定的工作
選擇變更使用者或群組
輸入 SYSTEM 後檢查名稱接著按下確定
選擇不論使用者登入與否均執行並勾選以最高權限執行
接著在觸發程序設定一個想要觸發的條件
最後在動作設定 powershell.exe -file “Script 所在位置”
將 GPO 部署後就可以看到端點具有對應的排程
安裝完成的 Logs 參考
偵測到端點已經有 SEP 或是 SWP 的 Logs 參考
macOS
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Standard Endpoint Protection(SEP) 的區塊選擇對應的作業系統、作業系統架構以及管理端點的
Endpoint Group Manager(EGM) 後下載 Agent Installer
點選 endpoint_basecamp.pkg 安裝
點選 繼續
點選 安裝
輸入密碼並點選 安裝軟體
完成安裝
彈出需要權限的視窗
點選該按鈕後將打開 隱私權與安全性 找到該頁面中的
部分系統需要你得留意才能使用。 點選旁邊的 詳細資訊
輸入密碼
允許 iCore Security 與 iCore Service
允許 iCoreService 過濾網路流量
完畢後繼續允許 Endpoint Sensor 與 Security Agent 的權限
Note
這些應該會跟已阻擋系統延伸功能的通知一起出現
首先點選 Endpoint Sensor 的 Continue 在接下來的 Allow System
Extension
點選 Open Privacy & Security 這應該會導向到稍早允許系統延伸功能的位置
如果一開始沒有跳被阻擋的系統延伸功能的通知,可以由此導向到該位置。
設定完成後,點選 Continue 繼續到下一個 Full Disk Access 權限
在 Allow Full Access 點選 Open Privacy & Security
會導向到 完全取用磁碟 的位置,繼續依照順序點選 Open File Location
並把彈出視窗中的檔案一個一個拉進 完全取用磁碟 的選單中
完成後連同 Security Agent 的權限一起允許
完成後,等待程式重新啟動應不再看見需要權限的通知
Server & Workload Protection (SWP)
Windows
直接安裝
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Server & Workload Protection (SWP)
選擇作業系統類型後,選擇要 Auto detect 還是 Full package
並選擇 Protection Manager
Auto detect 在偵測到版本之後會需要額外下載元件,會需要更多的網路資源
Full package 會需要自行選擇版本並拿到對應的作業系統部署
下載取得 agent installer 如果是 Auto detect 的可以看到 auto 在檔名上
反之,則可以看到對應的作業系統版本在檔名上
Warning
注意:解壓縮取得的檔案請保持它們的名稱與相對位置
請不要重新命名、移動、刪除任何檔案與資料夾,避免安裝過程中找不到檔案。
Auto detect 會相較於 Full package 少了 packages 的資料夾
以系統管理員身分執行 EndpointBasecamp.exe 並等待安裝完成
安裝完成後即可在 Endpoint Inventory 看到該端點
同時該端點右下方也會出現圖示
如果沒有設定 Policy 也沒有預設的 Policy
請到 Computers 設定 Policy 來啟用所需要的功能
Microsoft Active Directory Group Policy
步驟以及範例完全與 SEP 相同,請詳細步驟參考 SEP 的 Microsoft Active Directory
Group Policy 章節
以下為 Auto detect 的簡易流程說明
設定一個新的排程
設定想要安裝的時間
在動作設定 powershell.exe -file “Script所在位置”
部署後端點出現相應排程
檢查 Endpoint Inventory 是否有該端點出現
Linux
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Server & Workload Protection(SWP)
選擇作業系統類型後,選擇要 Auto detect 還是 Full package
Auto detect 在偵測到版本之後會需要額外下載元件,會需要更多的網路資源
Full package 會需要自行選擇版本並拿到對應的作業系統部署
下載取得 Agent Installer 如果是 Auto detect 的可以看到 auto 的檔名
反之,則可以看到對應的作業系統版本在檔名上
Warning
注意:解壓縮取得的檔案請保持它們的名稱與相對位置
請不要重新命名、移動、刪除任何檔案與資料夾,避免安裝過程中找不到檔案。
Auto detect 會相較於 Full package 少了 packages 的資料夾
cd 移動到解壓縮目的資料夾,輸入 sudo ./tmxbc install
安裝完成後可以用 ps aux | grep tmxbc | grep -v grep 看到服務
Tip
如果服務有啟動但是沒有回報到 Endpoint Inventory 請按照下列順序初步檢查
- agent 與 Vision One 之間的時間差是否超過了三十分鐘
可以嘗試透過 date; curl "http://worldtimeapi.org/api/timezone/<customer_timezone>
檢查網際網路時間與裝置時間的差距
例如:date;curl http://worldtimeapi.org/api/timezone/Asia/Taipei
- 是否已經依照建議打開防火牆
- 是否能夠存取
https://files.trendmicro.com
- 如果沒有 proxy,使用
curl -k -l -vvv https://files.trendmicro.com
- 如果有 proxy,使用
curl -k -l -vvv -X proxy_url:port https://files.trendmicro.com
- Kernel 資訊
uname -r
grep "" /etc/*-release
5. 確認是否有 Linux Secure Boot(如果是 Endpoint Sensor 啟用有問題)
如果有 Linux Secure Boot 是否有 Enrolling Trend Micro public key
Note
如果初步檢查仍具問題需要收集下列資料
XBC debug log
- 修改設定啟用 debug
sudo vi /opt/TrendMicro/EndpointBasecamp/etc/.conf
- 重新啟動服務
systemctl restart tmxbc
- 重新啟動服務後確認
/opt/TrendMicro/EndpointBasecamp/logs/tmxbc.log 是否已經看到 Level
為 DEBUG
- 輸入下列指令將
/opt/TrendMicro/EndpointBasecamp/ 壓縮收集
zip tmxbc_debug.zip -r /opt/TrendMicro/EndpointBasecamp/
diagnostic package
如果是 Endpoint Sensor 啟用有問題請額外收集 diagnostic package
- 輸入下列指令產生 diagnostic package
sudo /opt/TrendMicro/vls_agent/vlsa_control -d
- 收集下列資料夾與檔案
/var/opt/TrendMicro/vls_agent/diag
/var/opt/TrendMicro/vls_agent/xbc.ini
/var/opt/TrendMicro/vls_agent/diag/meta.json
Sensor Only
Windows
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Endpoint Sensor 的區塊選擇對應的作業系統架構後下載 Agent Installer
下載取得 TMSensorAgent_Windows_x86_64.zip
Warning
注意:解壓縮取得的檔案請保持它們的名稱與相對位置
請不要重新命名、移動、刪除任何檔案與資料夾,避免安裝過程中找不到檔案。
以系統管理員身分執行 EndpointBasecamp.exe 並等待安裝完成
安裝完成後即可在 Endpoint Inventory 看到該端點
macOS
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到 Endpoint
Sensor 並選擇 macOS
點選 endpoint_basecamp.pkg 安裝
點選 繼續
點選 安裝
輸入密碼後按下 安裝軟體
安裝完成
完成安裝後彈出需要權限的視窗
依照程式上面的說明給予權限,首先點選 Open privacy & Security 的按鈕
點選該按鈕後將打開 隱私權與安全性 找到該頁面中的
部分系統需要你得留意才能使用。 點選旁邊的 詳細資訊
將彈出的視窗所需要的權限打開,按下 好
允許 iCoreSecurity 過濾網路內容
完成第一個步驟 System Extension 繼續開啟 Full Disk Access
點選這個頁面的 Open privacy & Security 的按鈕
彈出 完全取用磁碟 的視窗,繼續按照順序點 Open File Location
在每一個彈出的資料夾都使用滑鼠拖曳檔案到 完全取用磁碟 的視窗
依照順序授予完全取用磁碟的權限:
EndpointBasecamp
Trend Micro Extension (XDR)
Trend Micro XDR Endpoint Sensor
程式會在最後會要求重新打開
重新開啟後應不再會看到需要權限的視窗而是看到下列視窗(確認完就可以關閉)
Linux
Endpoint Inventory 點選 Agent Installer 在彈出的右側欄找到
Server & Workload Protection(SWP)
選擇作業系統類型後,選擇要 Auto detect 還是 Full package
Auto detect 在偵測到版本之後會需要額外下載元件,會需要更多的網路資源
Full package 會需要自行選擇版本並拿到對應的作業系統部署
下載取得 Agent Installer 如果是 Auto detect 的可以看到 auto 的檔名
反之,則可以看到對應的作業系統版本在檔名上
Warning
注意:解壓縮取得的檔案請保持它們的名稱與相對位置
請不要重新命名、移動、刪除任何檔案與資料夾,避免安裝過程中找不到檔案。
Auto detect 會相較於 Full package 少了 packages 的資料夾
cd 移動到解壓縮目的資料夾,輸入 sudo ./tmxbc install
安裝完成後可以用 ps aux | grep tmxbc | grep -v grep 看到服務
Tip
如果服務有啟動但是沒有回報到 Endpoint Inventory 請按照下列順序初步檢查
- agent 與 Vision One 之間的時間差是否超過了三十分鐘
可以嘗試透過 date; curl "http://worldtimeapi.org/api/timezone/<customer_timezone>
檢查網際網路時間與裝置時間的差距
例如:date;curl http://worldtimeapi.org/api/timezone/Asia/Taipei
- 是否已經依照建議打開防火牆
- 是否能夠存取
https://files.trendmicro.com
- 如果沒有 proxy,使用
curl -k -l -vvv https://files.trendmicro.com
- 如果有 proxy,使用
curl -k -l -vvv -X proxy_url:port https://files.trendmicro.com
- Kernel 資訊
uname -r
grep "" /etc/*-release
5. 確認是否有 Linux Secure Boot(如果是 Endpoint Sensor 啟用有問題)
如果有 Linux Secure Boot 是否有 Enrolling Trend Micro public key
Note
如果初步檢查仍具問題需要收集下列資料
XBC debug log
- 修改設定啟用 debug
sudo vi /opt/TrendMicro/EndpointBasecamp/etc/.conf
- 重新啟動服務
systemctl restart tmxbc
- 重新啟動服務後確認
/opt/TrendMicro/EndpointBasecamp/logs/tmxbc.log 是否已經看到 Level
為 DEBUG
- 輸入下列指令將
/opt/TrendMicro/EndpointBasecamp/ 壓縮收集
zip tmxbc_debug.zip -r /opt/TrendMicro/EndpointBasecamp/
diagnostic package
如果是 Endpoint Sensor 啟用有問題請額外收集 diagnostic package
- 輸入下列指令產生 diagnostic package
sudo /opt/TrendMicro/vls_agent/vlsa_control -d
- 收集下列資料夾與檔案
/var/opt/TrendMicro/vls_agent/diag
/var/opt/TrendMicro/vls_agent/xbc.ini
/var/opt/TrendMicro/vls_agent/diag/meta.json
重要主機設定
在 Attack Surface Risk Management > Attack Surface Discovery 點擊
Devices
重要主機會標示 
圖示
亦可手動調整 Asset Criticality 至 8 或更高來標示為重要主機
在該裝置的頁面中選擇 Asset Profile 可以看到現在的 Asset Criticality 點擊 Modify
Criticality 可進行修改
在 Modify Criticality 依照該裝置的重要程度調整 Criticality source
