その他のリソース

リリースノート

サポートナレッジベース
(ログインが必要です)

概要

このガイドでは、エンタープライズエンドポイントにTanium Client 6.0およびTanium Client 7.2を導入する方法について説明します。

Tanium Clientとは

Tanium Clientは、エンドポイントコンピュータにインストールされたサービスです。お客様の質問に答える、以下を含むエンドポイントに関する静的リアルタイムデータと動的リアルタイムデータの両方を数秒で検出し、報告します:

  • ハードウェアおよびソフトウェアインベントリ
  • ソフトウェア構成
  • ローカルまたはドメインユーザーの詳細
  • インストールされたアプリケーションまたはサービス、スタートアッププログラム、および実行中のプロセス
  • レジストリキーとその値の存在
  • WMIデータ要素
  • ファイルシステムの詳細(ハッシュまたはコンテンツによるファイルの識別を含む)
  • イベントログの結果
  • ネットワーク構成の設定と状態

同様の速度で、Tanium Clientを使用し、許可された管理者がターゲットデバイスのコマンドラインからアクションを実行しているかのように、コマンド、アクション、スクリプト、またはその他の実行可能プログラムを実行できます。たとえば、次の操作を実行するための指示をTanium Clientに送信できます:

  • アプリケーションまたはサービスのインストールまたはアンインストール
  • インストールされたアプリケーション、サービス、ハードウェアドライバ、またはファームウェアの更新またはパッチ
  • インストールされているアプリケーションまたはサービスの管理
  • Windowsのレジストリ設定またはその他の設定の追加、削除、変更
  • ファイルまたはファイルの内容の追加、削除、変更
  • サービスの開始または停止

これらの強力な機能により、地理的に離れている大規模な組織において、ゼロデイ攻撃、セキュリティ違反、アプリケーションの停止を、数日、数週間ではなく数秒、数分で識別し対応することができます。

登録

Tanium Clientソフトウェアが最初にエンドポイントに導入されると、初期設定で割り当てられたTanium Serverへの直接接続が開始されます。最初の登録時に、Tanium Clientは一意のIDを確立し、Tanium Serverから最新のクライアント設定、近くのピアのリスト、最新のセンサー、Question、予定済みアクションの定義を受信します。デフォルトでは、初期登録ステータスは約4時間ごとにリセットされるように設定されているため、Tanium Clientは強制的に登録を再初期化します。これにより、最新の設定が適用され、最適なピアが選択されます。

また、Tanium Clientは既定の間隔で行われる通常の登録によってTanium Serverに再登録されます。デフォルトの登録間隔は、30〜90秒のランダムな時間です。通常の登録時にTanium Clientは、現在のQuestion、動作、および設定の状態をTanium Serverに通知します。それに応じて、Tanium Serverは新しいQuestion、アクション、設定を送信して適用します。大規模な環境では、通常の登録において、Tanium Clientは、まず新しいQuestion、アクション、設定を受領します。

クライアントピアリング

エンタープライズネットワークでは、Tanium Clientはピア関係を確立します。ピア接続は、Taniumのメッセージとファイルを交換するために使用される継続的、長期的な接続です。情報は一次チェーンでピアどうしで交換されます。登録時に、Tanium Clientはピア接続を確立しようとする他のTanium Clientのピアリストを受信します。Tanium Clientは、このリストを使用して、どの近くのクライアントが最適なネットワークピアであるかを判別します。

デフォルトで、それぞれの一次チェーンは100のTanium Clientを有します。これらのチェーンは、近くのエリアと呼ばれます。設計上、それぞれの近くのエリアにはチェーンの両端にフォワードリーダーバックワードリーダーがいます。登録時以外は、リーダーだけがTanium Serverとの直接接続を確立します。Tanium Serverはセンサー、Question、および予定済みアクションをバックワードリーダーに渡します。バックワードリーダーは前のピアに渡し、フォワードリーダーに到達するまで順方向のピアに渡します。フォワードリーダーは、Questionへの回答と予定済みアクションのステータスをTanium Serverに返送します。

F: 図1: Tanium Clientの近くのエリア

Taniumピアコミュニケーションは、オンラインになった新しいクライアントの適応を助けたり、削除または効果的な通信を停止したクライアントの経路を迂回したり、またはファイアウォールブロッキングなどのネットワークレベルのブロックを反映したりします。Tanium Clientがそのリスト内の前方のピアへの発信接続を確立できない場合、フォワードリフレクションが起こり、クライアントは代わりにTanium Serverへの前方接続を確立し、フォワードリーダーになります。同様に、Tanium Clientが後方のピアへの発信接続を確立できない場合は、バックワードリフレクションが起こり、 クライアントはTanium Serverへの逆方向接続を確立し、バックワードリーダーになります。Tanium Clientは、ファイルディストリビューション(ファイルディストリビューションを参照)のための後方ピアとの継続的な接続を確立しました。

クライアントのピアリングにより、WANリンク上の接続と帯域幅が大幅に縮小されます。以下の図はデータセンターでのサブネット、本部、ブランチオフィス、それに加えて社外勤務者からのVPN接続を含む、大規模なエンタープライズネットワークでの節約の割合を説明しています。登録時以外はリモートVPN クライアントとリーダーは明るい赤で描かれ、WAN (この例ではインターネット)を介してTanium Serverに接続します。残りのクライアントは、薄い赤色で示されており、それぞれのサブネットのLAN上のピア接続を介してデータを共有します。

F: 図2: エンタープライズネットワークでのクライアントピアリング

担当のデプロイに合わせてクライアントピアリング設定をカスタマイズするには、Tanium Clientピアリングの設定を参照してください。

ファイルディストリビューション

これらのファイルを利用するアクションをデプロイする場合は、管理対象エンドポイントにTanium Serverがファイルを配信します。たとえば、Windowsをアップグレードするアクションをデプロイする場合、Tanium ServerがWindowsパッチファイルを含むパッケージを配信します。Tanium Clientはファイルのディストリビューションに参加するエンドポイントで実行され、以下のようにプロセスを最適化します。

  • Tanium Clientピアリング

    WANリンクを介してTanium Serverが配信するファイルの数を減らします。ファイルをすべての管理対象エンドポイントに送信する代わりに、Tanium Serverはクライアントの近くのエリアのバックワードリーダーに指定されているいくつかのエンドポイントにのみファイルを送信します。それぞれのバックワードリーダーは、高速LAN接続を介して受け取ったファイルを一つのフォワードピアから次のピアへとフォワードリーダーに到達するまでリレーします。

  • Tanium Clientキャッシュ

    クライアントがファイルをシャードという小さな塊で再送信できるようにします。それぞれのクライアントが、Tanium Serverが以前クライアントの近くのエリアに配信した共有ファイルの高度なローカルキャッシュを維持します。その結果、同じファイルが後で要求(たとえば、アクションをもう一度実行する)されたときに、Tanium Serverがファイルを再配布することを要求するのではなく、クライアントがLAN経由でピアからシャードを回収してファイルを再構成することができます。デフォルトで、それぞれのクライアントは100MBのシャードのキャッシュを保持します。各クライアントはアルゴリズムに基づいて特定のシャードを保持し、効率的なディストリビューションが確実に行われるようにします。これらのキャッシュは、最近使用されたシャードに優先順位を付けるアルゴリズムに基づいて自己クリーニングします。

ファイルを配信するために、Tanium Serverはまずファイルを複数のシャードファイルへダウンロードします。シャードはそれぞれハッシュ値に関連付けられています。その後、Tanium Serverはすべてのコンポーネントシャードをファイル全体にマップするマニフェストを作成します。Tanium Serverを使用してファイルを含むパッケージを配布すると、そのファイルのマニフェストがパッケージに含まれます。

Tanium Serverは登録プロセスを通じてQuestionやアクションを送りますが、シャードは送りません。代わりに、Tanium Serverはバックワードリーダーを介してそれぞれのTanium Clientの近くのエリアにシャードを送ります。Tanium Clientがパッケージと関連するマニフェストファイルを受け取ると、まず自身のキャッシュをチェックして、すでにマニフェストにリストされているシャードがあるかどうかを確認します。その後Tanium Clientは、ローカルで見つけられなかったすべてのシャードを新しく要求するメッセージを生成します。この要求メッセージはまず一次チェーンに沿って、そのローカルの近くのエリアの端へと流されます。要求メッセージがチェーンを横断すると、各ピアはローカルキャッシュにリストされているシャードをチェックします。ピアに要求されたシャードの1つがあれば、要求しているピアにシャードを送信します。重複を避けるために、チェーン内の次のピアにメッセージを伝播する前に、要求メッセージからその特定のエントリを削除します。Tanium Clientがチェーンに沿って順方向に流れた後すべてのシャードが見つからない場合、クライアントはチェーンを逆方向に流れるシャードの要求を送信します。各ピアがキャッシュを確認した後でまだシャードが見つからない場合、最初のTanium Clientは足らないシャードをTanium Serverへ直接要求し適切に配布します。

F: 図3: Taniumシャードファイル

TLS

7.2 Core Platformには、Tanium Client 7.2からTanium Server 7.2、Tanium Client 7.2からTanium Zone Server 7.2への接続で、TLSが有効にするネイティブサポートがあります。詳細については、Tanium Core Platformインストールガイドをご覧ください。Tanium Client 6.0またはそれ以前のサーババージョンの場合、TLS設定は無視されます。

最終更新:2019/06/0612:36| フィードバック

Powered by Translations.com GlobalLink OneLink Software