Taegis Endpoint Agent for Windows インストール

前提条件

インストール前に、Taegis™ XDR Endpoint Agentの情報と前提条件で要件を確認し、前提手順に従ってください。

重要

Taegis Endpoint Agentのアップデートサービスへの接続が途切れないようにするため、CA証明書を定期的に最新の信頼されたルート証明書で更新することを推奨します。

DNS解決

Windows Taegis Endpoint Agentは、ネットワーク接続要件に記載されているアドレスの解決にDNSを利用します。デフォルトでは、エージェントは登録および動作に必要なドメインを解決するため、GoogleのプライマリDNSサーバー（8.8.8.8）をHTTPS（TCP 443）経由で使用しようとします。インストール時にTCP 443経由で8.8.8.8への通信が許可されていない場合は、インストール時に従来のDNS（UDP 53）通信を使用してドメインを解決するための代替DNSサーバーアドレスを指定してください。

エージェントは以下の順序でDNS解決を試みます：

1. Google DNS（8.8.8.8）をHTTPS経由で問い合わせます。
2. ステップ1が失敗した場合、ユーザーが指定したプライマリのオーバーライドDNSをUDP経由で問い合わせます。前のステップが環境で失敗した場合、インストール時にオーバーライドの指定が必須となります。
3. ステップ2が失敗した場合、利用可能であればユーザーが指定したセカンダリのオーバーライドDNSをUDP経由で問い合わせます。

VDI環境

Windows Taegis Endpoint Agentバージョン2.4.14以降は、ゴールデンイメージやベースイメージを使用するものを含む、非永続的な仮想デスクトップインフラストラクチャ（VDI）環境をサポートします。詳細は次のナレッジベース記事をご参照ください：How To: Installing Windows Taegis Agent in VDI Environments。

インテグレーションから提供されるデータ

	検出	Auth	DNS	ファイル収集	HTTP	NIDS	Netflow	Process	ファイル変更	API Call	Registry	Scriptblock	Management	Persistence	Thread Injection	発見事項	テクニック発見事項	Generic
Taegis Windows エンドポイントエージェント	✓	✓	✓	✓			✓	✓	✓		✓	✓	✓		✓			✓

インストール

Windows用Taegis Endpoint Agentのインストール方法として、以下のいずれかを選択してください：

• AgentMigrator PowerShellスクリプトを使用してインストール
• MSIインストーラーを使用してインストール
• コマンドラインを使用してインストール
• MDMを使用してインストール

PowerShellスクリプトを使用したTaegis Endpoint Agentのインストール

Secureworksは、Windows Taegis Endpoint Agentの前提条件の検証を自動化するPowerShellスクリプトを提供しています。このスクリプトは、Red Cloak Endpoint AgentからTaegis Endpoint Agentへの移行や、新規インストール時の前提条件の検証にも役立ちます。

スクリプトの主な機能：

• インストール前の検証チェックを実施
• スクリプトが実行されたエンドポイントにTaegis Endpoint Agentをインストール
• インストール後の検証チェックを実施
• Red Cloak Endpoint Agentが存在する場合はアンインストール

スクリプトの詳細な使用方法については、次のナレッジベース記事をご参照ください：Automated Migration Script from Red Cloak to Taegis Agent。

スクリプトのダウンロードはこちら：

• AgentMigratorSample.ps1
• AgentMigratorTemplate.ps1

Agent Migratorスクリプトの最新バージョンを確認

スクリプトの最新バージョンを使用しているか確認するには、スクリプトの内容を確認し、コメント欄に記載されている最新バージョンを参照してください。

最新バージョン: 2.6

MSIインストーラーを使用したTaegis Endpoint Agentのインストール

1. MSIパッケージを実行すると、最初の画面でTaegis Endpoint Agentのバージョン番号が表示されます。希望するバージョンであることを確認し、Nextを選択します。

   

   Taegis Agentセットアップウィザード

2. インストール場所とパッケージをインストールする対象を選択します。デフォルトの場所は C:\Program Files\SecureWorks\Taegis Agent\ で、デフォルトの使用対象はEveryoneです。Nextを選択します。

   

   インストールフォルダーの選択

3. 以下の情報を入力します：

   • 前提手順でコピーした登録キーおよび登録サーバー
   • プロキシを使用する場合はオプションのプロキシサーバーアドレス
   • DNSオーバーライドサーバー（複数指定する場合はセミコロンで区切る）。DNSサーバーの数に制限はありません。DNSサーバーが指定されていない場合、デフォルトで8.8.8.8（HTTPS経由）が使用されます。DNS解決を参照してください。DNSオーバーライドサーバーはオプションですが、以下の場合は必須です：
   • エージェント構成でプロキシを使用する場合
   • ドメイン名解決（DNS）にデフォルトで使用されるGoogle DNS 8.8.8.8（TCP 443経由）が利用できない場合

   

   登録キーとサーバーの入力

4. Nextを選択し、入力内容を確認してからNextを選択し、インストールを確定します。

   

   インストールの確認

5. ユーザーアカウント制御の同意を求められたらYesを選択し、インストールを許可します。その後、エージェントがインストールされます。

6. インストール中に、登録キー、登録サーバー、プロキシ、DNSサーバーの設定が検証されます。このプロセスは通常約15秒かかり、成功した場合はステップ8に進んでください。失敗した場合、最も一般的な原因は登録キーやサーバーの誤りです。この場合、インストーラーは修正のためのダイアログを表示します。

   

   登録再試行

7. 登録キー、登録サーバー、プロキシ、DNSサーバーを再入力します。OKを選択すると、インストーラーが再度設定を検証します。再度検証できない場合はエラー画面が表示され、インストーラーが終了します。トラブルシューティングについてはWindowsエージェントのトラブルシューティングを参照してください。

   

   登録失敗

8. エージェントのインストールが完了したら、Closeを選択してUIを終了します。

   

   インストール完了

コマンドラインを使用したTaegis Endpoint Agentのインストール

MSIパッケージを入手したら、管理者権限でコマンドプロンプトを開き、以下を入力します：

msiexec /i <path>.msi REGISTRATIONKEY=<registration key> REGISTRATIONSERVER=<registration server> PROXY=<proxyserver:port> DNS=<host> /quiet

• プロキシを使用する場合は、PROXY=<proxyserver>:<port>スイッチでオプションのプロキシサーバーアドレスを指定します（上限=1）。

• DNSオーバーライドサーバーを指定する場合は、DNS=<host>スイッチを使用し、複数指定する場合はセミコロンで区切ります。DNSサーバーの数に制限はありません。DNSサーバーが指定されていない場合、デフォルトで8.8.8.8（HTTPS経由）が使用されます。DNS解決を参照してください。DNSオーバーライドサーバーはオプションですが、以下の場合は必須です：

  • エージェント構成でプロキシを使用する場合
  • ドメイン名解決（DNS）にデフォルトで使用されるGoogle DNS 8.8.8.8（TCP 443経由）が利用できない場合

• サイレントインストールを行う場合は、/quietフラグの追加を推奨します。

MDMを使用したインストール

• WindowsホストへのWorkspace ONE UEM（WS1）を使用した展開については、次のナレッジベース記事をご参照ください：Deploy Taegis Agent for Windows with Workspace ONE。
• WindowsホストへのIntuneを使用した展開については、次のナレッジベース記事をご参照ください：Deploy Taegis Agent for Windows with Intune。
• WindowsホストへのSCCMを使用した展開については、次のナレッジベース記事をご参照ください：Deploy Taegis Agent for Windows with SCCM。

インストールの検証

1. Windowsタスクマネージャーでホストとステータスを確認します：タスクマネージャーを開き、[プロセス]タブが選択されていることを確認し、詳細を選択します。下にスクロールして、以下のプロセスが存在することを確認してください：

   • Taegis Agent Host
   • Taegis Agent Host
   • Taegis Agent Host
   • Taegis Agent Service

   

   プロセスの検証

2. Windowsタスクマネージャーでエージェントバージョンを確認します：タスクマネージャーを開き、[プロセス]タブが選択されていることを確認し、詳細を選択します。下にスクロールしてTaegis Agent Hostを右クリックし、プロパティを選択、さらに詳細タブで Product Version を確認します。

ログファイルの場所

エージェントインストール後：エクスプローラーで C:\ProgramData\SecureWorks\TaegisAgent\TaegisUser に移動します。ProgramData フォルダーにアクセスするには、隠しフォルダーの表示を有効にする必要があります。TaegisUser ドキュメントを開くとログレポートを確認できます。

ログファイルの場所

エンドポイントエージェントのサマリーを確認する

エンドポイントエージェントのサマリー

XDRがエンドポイントのテレメトリーを処理すると、エンドポイントの一覧が生成されます。これらを確認するには、Taegis XDRメニューからエンドポイントエージェント → サマリーに移動してください。詳細については、エンドポイントエージェントの管理を参照してください。