Tanium Clientピアリングの設定

Tanium™ Core Platformは、低遅延、高帯域幅のローカルエリアネットワーク(LAN)リンク間で大部分のデータ伝送を送信することにより、エンタープライズエンドポイントの管理に必要なネットワークリソースを最適化し、WAN (Wide Area Network)の使用率を大幅に削減します。

Tanium Clientピアリングの機能の仕方と関連するコンセプトの詳細はクライアントピアリングを参照してください。

エンタープライズネットワークに関する情報が多くない場合でも、デフォルトのクライアントピアリング設定は便利です。ベストプラクティスとして、貴社のネットワーク管理者とTaniumのテクニカルアカウントマネージャ(TAM)と協力して、特定のエンタープライズネットワークの詳細に基づきピア通信をさらに最適化するいくつかの重要な設定を構成します。Tanium Clientのピアリング設定のチューニングをする場合、次の目標に重点を置いてください。

  • WANを介したクライアントのピアリングを常に防止します。大きなサブネットがある場合、AddressMask (IPv4)およびAddressPrefixIPv6が定義するアドレスの境界を拡大したい場合があります。しかし、この変更により受け入れ不可能なレイテンシが起きないことを確認する必要があります。AddressMaskおよびAddressPrefixIPv6を、WANリンクをまたがないと予想するネットワーク内最大のサブネットのnetmask/prefixに設定します。
  • リーダー接続の数を減らすために、できるだけ近くのエリアのサイズを最適化します。これらは、それぞれのTanium Clientの近くのエリアでバックワードリーダーとフォワードリーダーがTanium Serverと確立した接続です。
  • AddressMaskおよびAddressPrefixIPv6境界のより詳細な例外を指定するには、分割サブネット構成を使用します。
  • エンタープライズVPNサブネットアドレスを指定するには、隔離サブネット構成を使用します。VPNクライアント向けのベストプラクティスはTanium Clientピアリングに参加しないことです。

Tanium Core Platform 7.2以前は、IPv4のみをサポートしています。バージョン7.3以降のIPv6サポートを必要とする場合、テクニカルアカウントマネージャにご相談ください。それぞれのTanium ClientはTanium ServerにIPv4クライアントまたはIPv6クライアントとして登録できますが、両方は登録できません。また、Taniumのデプロイでは、IPv4とIPv6両方の近くのエリアを含むことができますが、それぞれの近くのエリアは一つのIPバージョンからのクライアントのみしか含むことができません。IPv4クライアントとIPv6クライアントは互いにピアできません。

クライアントピアリング設定

追加設定なしで、以下のTanium Server設定によって、Tanium Clientピアリングの境界が決まります。

AddressMask

Windowsレジストリ(サーバがWindowsホスト上で実行する場合)またはTanOSコンソール(サーバがTanium Applianceの場合)で設定したTanium Server設定。AddressMaskは、最適ではないピア接続を防ぐために、IPv4アドレスを持つクライアントピアのネットワーク近接度を管理します。デフォルト設定では、同じ24ビットアドレスマスクを共有する近くのクライアントにピアリングを制限します。たとえば、サブネット192.168.0.0/24のTanium Clientは、他のTanium Clientと192.168.0.0/24でピアリングすることができますが、192.168.1.0/24にはピアリングできません。Tanium ClientがTanium Serverに登録すると、サーバはクライアントがピアリングしようとする可能性のある近くのクライアントのリストをTanium Serverに送信できます。近くのクライアントリストはAddressMask境界に準拠しています。

AddressPrefixIPv6

Windowsホスト上で実行するTanium Server 7.3以降では、これはWindowsレジストリで設定されたTanium Server設定です。AddressPrefixIPv6は、最適ではないピア接続を防ぐために、IPv6アドレスを持つクライアントピアのネットワーク近接度を管理します。デフォルトは0です。これはピアリングを指定しません。IPv6ネットワークのピアリングの最適値を判断するにはテクニカルアカウントマネージャと相談してください。そうでなければ、この設定はAddressMaskと同様に機能します。

DesiredNeighborhoodSize

Tanium Console ([Administration (管理)] > [Global Settings (グローバル設定)])で設定可能な、Tanium Core Platformグローバル設定。デフォルトのDesiredNeighborhoodSizeは100です。これはTanium Serverが/24 IPv4サブネット内のそれぞれ100クライアントの一次チェーンをTanium Clientに割り当てるということです。チェーンのどちらかの端を1つのバックワードリーダーと1つのフォワードリーダーが終端させます。バックワードリーダーには最低のIPアドレスがありそれぞれのフォワードピアにはより高いIPアドレスがあります。しかし、IPアドレスが常に数値的に近接していることはなく、そのわけはサブネット内のすべてのIPアドレスのあるエンドポイントがTanium Clientをインストール済みではないからです。

F: 図1: エンタープライズサブネット内Tanium Clientの近くのエリア

ほとんどの場合、デフォルト設定では、WANを介したクライアントのピアリングが効果的に防止されます。たとえば、F: 図2の中のエンタープライズネットワークでは、デフォルトのAddressMask値(/24)は、データセンター内のクライアントと本社およびリモートブランチオフィスのクライアント間のWAN (この場合インターネット)でのピアリングを防止するために有効です。デフォルトのDesiredNeighborHoodSize設定値100は、サブネットごとに2つの近くのエリアを形成します。

しかし、この例ではデフォルトのAddressMask値も2つの本社サブネット内でのピアリングを防止します。この境界は受け入れ可能ですが、不必要に制限されているかもしれません。その理由としては、通信のいくつかがWAN上を飛んだとしてもクライアントが十分近いため接続のレイテンシが低く、少ないためです。本部サブネットの横断ピアリングを許可することで、バックワードリーダーとフォワードリーダーの数を減らすことができ、そのためWAN接続の数を減らしています。この例では、エンタープライズネットワーク192.168.0.0/22は4つの/24サブネットで構成されているため、AddressMaskを/22に設定して、本部サブネットの192.168.1.0/24と192.168.3.0/24にまたがるピアリングを許可することもできます。

AddressMask設定を変更すると意図しない結果が生じる可能性があります。たとえば、AddressMaskを/22に変更すると、データセンタークライアントがWANをまたいでブランチオフィスクライアントまたは本部クライアントと接続できます。WANをまたいだピアリングを防止するために、分割サブネット構成を設定できます。分割サブネットは、AddressMask境界よりも細かいレベルで境界を設定します。たとえば、192.168.0.0/24および192.168.2.0/24のクライアントを、/24サブネットの外側でピアリングすることを制限するルールを作成できます。Tanium Clientが登録されると、Tanium ServerはAddressMaskとSeparatedSubnets.txtの両方のルールを評価し、最も制限の厳しいルールを適用します。クライアントが分割サブネットファイルにリストされたサブネット上にある場合、Tanium Serverはクライアントに提供されるピアリストを操作し、同じサブネット内の他のクライアントのみを含むようにします。

F: 図2: /24サブネットでのクライアントピアリング

AddressMaskだけを変更しても必ずしもバックワードリーダーとフォワードリーダーの数を減らすわけではありません。通常、DesiredNeighborhoodSizeも増やします。受け入れられないレイテンシーを追加することなく、できるだけ大きな値に設定してください。長いチェーンではQuestionが長い距離を移動することを忘れないでください。より長いチェーンはまた、それぞれのTanium Clientがより多くの近くのクライアントとの分割ディストリビューションに参加することを意味します。DesiredNeighborhoodSizeを変更した後は、予定済みアクション中のQuestionレスポンスタイムとクライアントエンドポイントのリソース使用率への影響を監視します。特定のネットワークに適したバランスを見つけるために、追加の調整が必要な場合があります。以下の図はDesiredNeighborhoodSizeの200への増加により例示のネットワークでリーダー数が16から8に減少したことを示しています。

F: 図3: リーダーの減少により最適化されたクライアントピアリング

AddressMaskおよびAddressPrefixIPv6の設定

  1. Tanium Serverホストコンピュータで、以下のTanium ServerのWindowsレジストリエントリに移動します。

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tanium\Tanium Server

  2. AddressMaskエントリをダブルクリックして編集します。T: 表4の値の指定に関するガイダンスを参照してください。
  3. AddressPrefixIPv6エントリをダブルクリックして編集します。
  4. 変更を保存します。

次の表は、クラスCおよびクラスBアドレスのIPv4ネットワークアドレスマスクの長さをまとめたものです。AddressMaskはREG_DWORD型で、16進値として指定されています。この規則では、Windowsのレジストリキー値でマスクのオクテットの順序が逆になるため、FFFFFF00 (255.255.255.0)は00FFFFFFと、FFFFF000 (255.255.240.0)は00F0FFFFと指定されています。

T: 表4: AddressMaskの設定
CIDR
マスク
ホスト
アドレス
使用可能なアドレス ネットマスク 16進値
マスク
WindowsレジストリAddressMask値
          00000000
/30 4 2 255.255.255.252 FFFFFFFC FCFFFFFF
/29 8 6 255.255.255.248 FFFFFFF8 F8FFFFFF
/28 16 14 255.255.255.240 FFFFFFF0 F0FFFFFF
/27 32 30 255.255.255.224 FFFFFFE0 E0FFFFFF
/26 64 62 255.255.255.192 FFFFFFC0 C0FFFFFF
/25 128 126 255.255.255.128 FFFFFF80 80FFFFFF
/24 256 254 255.255.255.0 FFFFFF00 00FFFFFF
/23 512 510 255.255.254.0 FFFFFE00 00FEFFFF
/22 1024 1022 255.255.252.0 FFFFFC00 00FCFFFF
/21 2048 2046 255.255.248.0 FFFFF800 00F8FFFF
/20 4096 4094 255.255.240.0 FFFFF000 00F0FFFF
/19 8192 8190 255.255.224.0 FFFFE000 00E0FFFF
/18 16384 16382 255.255.192.0 FFFFC000 00C0FFFF
/17 32768 32766 255.255.128.0 FFFF8000 0080FFFF
/16 65536 65534 255.255.0.0 FFFF0000 0000FFFF
AddressMask設定を無効にするには、ゼロを8つ入力します。ピアリングを制限するためにAddressMaskを使用したくない場合は、これを行います。AddressMaskをオフにすると、デフォルトの動作がないため、SeparatedSubnets.txtファイルのすべてのエンタープライズサブネットを明確に説明する必要があります。レジストリキーを削除するだけでなく、00000000を指定する必要があります。そうしないと、変更内容がTanium Serverのアップグレードによって保持されません。AddressMaskという名前のレジストリエントリが存在しない場合、アップグレード処理でデフォルト値(/24)によりレジストリエントリが作成されます。

DesiredNeighborhoodSizeを構成する

  1. 管理者ロールを持つユーザーとして、Tanium Consoleにログインします。
  2. [Administration (管理)] > [Global Settings (グローバル設定)]に進みます。
  3. DesiredNeighborhoodSize設定を検索し、
  4. 設定を選択して[Edit (編集)]をクリックします。
  5. カスタムサイズを指定して設定を保存します。
  6. パスワードを入力してデータベースへの変更を確定します。

クライアントが更新されたピアリストを登録して受け取るには、最大4時間(Tanium Clientの登録リセット間隔)の時間がかかることがあります。

分割サブネットを構成する

Tanium Core Platform 7.0.314.6194でリリースされたTanium Consoleには、サブネット設定の構成を容易にする構成ワークベンチが含まれています。分割サブネット(7.0.314.6194以降のバージョン)を設定するには:

  1. [Configuration (構成)] > [Tanium Server] > [Subnets (サブネット)]に移動します。
  2. [Separated Subnet (分割サブネット)]をCIDR形式(192.168.2.0/24など)で入力します。Tanium Core Platform 7.3以降は、IPv6サブネットをサポートします(テクニカルアカウントマネージャに問い合わせてください)。これは角カッコで囲み、プリフィックスを付ける必要があります([2001:db8::]/32など)。
  3. :コメントまたは文書を追加する場合は、行の先頭またはエントリの直後に「;」または「#」文字のいずれかを使用します。

  4. 変更を保存します。

分割サブネット(7.0.314.6085以前のバージョンの7ビルド)を設定するには、

  1. メモ帳などの標準エディタを使用してテキストファイルを作成します。
  2. ファイル内で、CIDR形式のサブネットアドレスを1行に1つずつ指定します。例:

    #データセンターのサブネット
    192.168.0.0/24
    ; Branch Subnets
    192.168.2.0/24
    [2001:db8::]/32


    行の先頭に;または#記号のいずれかを使用します。または任意のコメントやドキュメントを追加するためにエントリの直後に入力します。

  3. SeparatedSubnets.txtと名前を付けてファイルを保存します。
  4. アクティブ/アクティブクラスタ内のすべてのサーバを含む、Tanium Serverインストールフォルダにファイルをコピーします。
  5. ファイルを任意のZone Server上のZone Serverインストールフォルダにコピーします。Zone Serverは、このリストを使用して、このリストを介して登録するTanium Clientのピアリストを管理します。SeparatedSubnets.txtファイルの内容は、サーバによって異なる場合があります。ローカルファイルのみが有効です。混乱の可能性を避けるために、ファイルを同期させておくことをお勧めします。

Tanium Server Windowsサービスを再起動する必要はありません。

分割サブネットを設定した後、Tanium Clientは4時間(登録リセット間隔)かけてTanium Serverに登録し、更新されたピアリストを受け取ることができます。

隔離サブネットを構成する

ベストプラクティスとして、VPNでTanium Clientがクライアントピアリングに参加できるようにしないでください。VPNクライアントは特別なVPNアドレスブロック内でローカルIPアドレスを有していますが、ホストエンドポイントは実際には互いに近接してはいません。それらの間のネットワーク通信は、WANリンクを利用し、クライアント-サーバ間の接続よりもはるかに長いレイテンシとなります。隔離サブネットを構成でき、指定されたサブネットおよびエンドポイントIPアドレスのリストのクライアントピアリングが無効になります。Tanium Clientが登録されると、Tanium ServerはAddressMask、AddressPrefixIPv6、SeparatedSubnets.txt、およびIsolatedSubnets.txtを評価し、これらの設定のうち最も制限の厳しいルールを適用します。クライアントIPアドレスがIsolatedSubnets.txtにリストされているサブネットにある場合、Tanium Serverはそのクライアントを空のピアリストに送り、それによりクライアントはピアリングには参加しません。

F: 図5: 隔離サブネット

隔離サブネットを設定した後、Tanium Clientは4時間(登録リセット間隔)かけてTanium Serverに登録し、更新されたピアリストを受け取ることができます。

Tanium ClientをTanium Serverホストコンピュータにインストールする場合、そのホストコンピュータが、CIDR IPアドレス(たとえば192.168.0.1/32)をIsolatedSubnets.txtに追加することが適切な場合があります。Tanium Serverと同じホストにインストールされたTanium Clientは、ポート17472ではなく17473のピアトラフィックに自動的に従うように設計されています。ポート17473がブロックされている場合、ファイルのディストリビューションなど、クライアントのピアリング中に問題が発生する可能性があります。

隔離サブネットを使用して、他のケースでのピアリングを無効にすると便利です(たとえば、ネットワークに問題があるときにピアリングをテストまたはデバッグする場合など)。これを実行することに関連するパフォーマンスコスト(WANを介したクライアントとサーバの接続の増加)と適時性に関する問題の両方があることに注意してください。たとえば、ピアツーピアでないTanium Clientは、新しいQuestionについて登録間隔(通常は数分)で学習します。その結果、隔離されたマシンは、ピアツーピアのTanium Clientよりもゆっくりと答えを提供します。隔離サブネットを使用してピアリングを無効にする場合は、基盤となるネットワークの問題を調査して解決し、隔離されたクライアントがピアリングを再開できるように構成を更新することがベストプラクティスです。

Tanium Core Platform 7.0.314.6194でリリースされたTanium Consoleには、サブネット設定の[Configuration (構成)]を容易にする構成ワークベンチが含まれています。隔離サブネット(7.0.314.6194以降のバージョン)を設定するには:

  1. [Configuration (構成)] > [Tanium Server] > [Subnets (サブネット)]に移動します。
  2. [Isolated Subnet (隔離サブネット)]をCIDR形式(192.168.2.0/24など)で入力します。Tanium Core Platform 7.3以降は、IPv6サブネットをサポートします(テクニカルアカウントマネージャに問い合わせてください)。これは角カッコで囲み、プリフィックスを付ける必要があります([2001:db8::]/32など)。
  3. :コメントまたは文書を追加する場合は、行の先頭またはエントリの直後に「;」または「#」文字のいずれかを使用します。

  4. 変更を保存します。

隔離サブネット(7.0.314.6085以前のバージョン7ビルド)を設定するには:

  1. メモ帳などの標準エディタを使用してテキストファイルを作成します。
  2. ファイル内で、CIDR形式のサブネットアドレスを1行に1つずつ指定します。例:

    #データセンターのサブネット
    192.168.10.0/24; VPNコンセントレータを介して接続するデバイス
    [2001:db8::]/32; VPNコンセントレータを介して接続するデバイス


    行の先頭に;または#記号のいずれかを使用します。または任意のコメントやドキュメントを追加するためにエントリの直後に入力します。

  3. IsolatedSubnets.txtと名前を付けてファイルを保存します。
  4. ファイルをTanium Serverのインストールフォルダにコピーします。アクティブ/アクティブ高可用性デプロイでは、これをそれぞれのTanium Serverに行ってください。
  5. ファイルを任意のTanium Zone Server上のZone Serverインストールフォルダにコピーします。Zone Serverは、このリストを使用して、このリストを介して登録するTanium Clientのピアリストを管理します。IsolatedSubnets.txtファイルの内容は、サーバによって異なる場合があります。ローカルファイルのみが該当します。ベストプラクティスとして、ファイルの同期を維持し混乱が起きる可能性を排除します。

Tanium Server Windowsサービスを再起動する必要はありません。

変更を確認する

変更内容を確認するには、Tanium Consoleを使用するか、クライアントホストコンピュータの設定を調べます。

Tanium Consoleを使用する

Tanium Clientは登録時に更新されたピアリストを受信します。[Administration (管理)] > [System Status (システムステータス)]に進み、予定通りステータスを確認するには、[Last Registration (最終登録)]の日時を考慮します。[Network Location (ネットワークロケーション)]で行を並べ替え、サブネット間でクライアントのピアリングステータスを確認するためにブラウズできます。

[Status (ステータス)]列は、クライアントがリーダーかどうかを示します。空白のエントリは、通常のピアを示します。[Status (ステータス)]列を使用して、設定変更がリーダー数に与える影響を追跡できます。

[Direction (方向)]列はクライアントの接続状態を示します。上向きの矢印は、Tanium Serverとの接続を示します。横の矢印はピアとの接続を示します。[Direction (方向)]列を使用して、クライアントがリーダーである理由を理解できます。

T: 表6: ピアの方向が報告された状態
アイコン 説明
バックワードとフォワーディングピア接続を持つ、正常なステータスのクライアント。
バックワードリーダー。一般的に、これは「低い」IPアドレスを持ちます。これは、一次チェーンの一端を示します。
フォワードリーダー。一般的に、これは「高い」IPアドレスを持ちます。これは、一次チェーンの一端を示します。
希望する近くのエリアサイズに達したことによる、指名リーダー。
孤立したクライアント。独立したクライアントにはピア接続がありません。

テストまたは小規模のパイロット展開では、過度の数のリーダー接続または予期しないリーダー接続のように見えることがあります。プラットフォームは、最低限のリーダー数でより最適に稼働するため、リーダーは必要に応じて作成されます。

Questionを使用して、予想される動作を確認することもできます。初期コンテンツパックには、Tanium Clientのピア通信と近くのエリア構成を調べるために設計されたセンサーが含まれています。センサーには次のものが含まれます。Tanium ClientのIPアドレス、Taniumピアアドレス、Taniumバックピアアドレス、およびTanium Client近くのエリア。次の例は、これらのセンサーを使用するアドホックなQuestionです。

クライアントの構成を調べる

個々のクライアントでは、Tanium Clientの設定でピアアドレスリストを確認できます。

以下は、IsolatedSubnets.txtファイル経由で、ピアリングが無効化された、Tanium ClientのWindowsレジストリの例です。

次の例は、TaniumClientStatus.iniファイル(Tanium Client 6.0)の近くのエリアとピアリング情報を示しています。このクライアントには転送ピアがないため、フォワードリーダーです。

次の例は、Tanium Clientデータベース(Tanium Client 7.2)の近くのエリアとピアリング情報を示しています。

cmd-prompt$ sudo ./TaniumClient config list
Keys:
  - ComputerID: 3235161864
  - DatabaseEpoch: 2017-11-01 17:54:19.073914
  - HostDomainName: tam.local
  - LastGoodServerName: ts1.tam.local
  - LogVerbosityLevel: 1
  - RegistrationCount: 3333
  - Resolver: nslookup
  - ServerName: zs1.tam.local
  - ServerNameList: ts1.tam.local,zs1.tam.local
  - ServerPort: 17472
  - Status:
    - Status.BackPeerAddress: 512:17472:10.10.10.40_512:0:10.10.10.40
    - Status.BackPreviousPeerAddress: NoAddress_NoAddress
    - Status.BufferCount: 2
    - Status.ClientAddress: 512:17472:10.10.10.51_512:0:10.10.10.51
    - Status.NeighborhoodList: 512:17472:10.10.10.13_512:0:10.10.10.13, 512:17472:10.10.10.40_512:0:10.10.10.40, 512:17472:10.10.10.51_512:0:10.10.10.51
    - Status.PeerAddress: NoAddress_NoAddress
    - Status.PreviousPeerAddress: 512:17473:10.10.10.11_512:0:10.10.10.11
    - Status.StaleCount: 34
    - Status.StaleList: Operating System,NAT IP Address,Online,OS Platform,Available Patches,Running Processes Memory Usage,Tanium Client Version,Disk Used Percentage,Reboot Required,Tanium Client Core Health,Is Virtual,Disk Free Space,tempsensor_33,Installed Applications,Comply - Compliance Aggregates,Has Tanium Standard Utilities,Has Incident Response Tools,Has Patch Tools,Installed Patches,Manufacturer,Has Hardware Tools,Is Windows,Chassis Type,Is Mac,IOC Detect Tools Version,Comply - Vulnerability Aggregates,Has Old Incident Response ID Files,Patch Cab Out of Date,IP Address,Uptime,Network Adapters,Is Linux,Open Ports,Running Processes
  - ValueSystem:
    - ValueSystem.0 0: 1
    - ValueSystem.CorrelationDecisionHaste: 1
    - ValueSystem.CorrelationRequiredConfidence: 0.69999999999999996
    - ValueSystem.CorrelationThresholdMultiplier: 1
    - ValueSystem.CorrelationVolumeMultiplier: 0.01
    - ValueSystem.PrevalenceDecisionHaste: 1
    - ValueSystem.PrevalenceRequiredConfidence: 0.69999999999999996
    - ValueSystem.PrevalenceVolumeMultiplier: 1
    - ValueSystem.ValueThreshold: 0.10000000000000001
  - Version: 7.2.314.3518
cmd-prompt$

最終更新:2019/06/0612:36| フィードバック

Powered by Translations.com GlobalLink OneLink Software