その他のリソース

リリースノート

ビデオチュートリアム

サポートナレッジベース
(ログインが必要です)

Connectの概要

Connectを使用すると、Tanium™をSIEM、ログ解析ツール、脅威フィードと統合する、または電子メール通知を送信することができます。

接続

接続とは、接続元接続先間のリンクです。接続元は、回答やログメッセージのように、Taniumが作成しているデータである可能性があります。接続先は、セキュリティ情報やイベント管理(SIEM)ツールのように、統合対象のTanium以外のものです。

接続先

Connectには、多くの一般的なSIEMツール、ファイル、ログ、および電子メールフォーマット用のテンプレートが含まれています。これらのテンプレートを使用して、構成管理データベース(CMDB)、トラブルチケットシステム、および専有ITシステムと統合することができます。

接続元

アクション履歴

アクション履歴は、コンソールオペレータが行ったすべてのアクションの記録です。このレコードをTaniumで表示するには、[Actions (アクション)] > [Action History (アクション履歴)]をクリックします。詳細については、Tanium Platformユーザーガイド:アクション履歴の管理を参照してください。

監査ログ

Tanium Serverは、サーバの構成と設定の変更に関する詳細な監査ログを保持します。ただし、これらのログにアクセスするには、Taniumデータベースに直接アクセスする必要があります。監査ログにアクセスするには、それらをTanium Connectのデータソースとして設定できます。

[Days to Collect (収集日数)]が空白の場合、すべてのデータは最初の接続実行時に収集されます。後続の接続実行では、最後に成功した実行日から最新のレコードまでのデータが取得されます。

[Days to Collect (収集日数)]に値が設定されている場合、実行されるすべての接続は、その日数のデータに制限されています。重複防止のため、標準の[New items (新規アイテム)]を追加します。

イベント

Tanium™ DetectやTanium™ Network QuarantineなどのTaniumソリューションは、イベントをデータソースとしてConnectに転送できます。これらのイベントは、接続の接続元として使用し、使用可能な接続先のいずれかに送信できます。詳細については、Tanium Threat Responseユーザーガイド:Tanium Connect転送を設定するおよびTanium Network Quarantineユーザーガイド:通知の設定を参照してください。

Palo Alto WildFire

TaniumとWildFireの統合により、Palo Altoファイアウォールから確認されたマルウェアのリストが取得され、WildFireシステムからの完全なレポートが要求されます。完全なマルウェアレポートは、その後、脅威の痕跡情報(IOC)に変換され、Detectシステムに渡されて複数のエンドポイント脅威検出が行われます。 詳細については、Palo Alto Networks WildFireとTanium Detectの構成を参照してください。

Questionログ

Question履歴ログは、実行されたすべてのQuestionの履歴です。ConnectでデータソースとしてQuestionログを使用している場合、いくつかの方法でログをフィルタして、送信されるデータの総量を減らすことができます。詳細については、Tanium Platformユーザーガイド:Question履歴を参照してください。

レピュテーションサービス

レピュテーションサービスは、Palo Alto WildFireやVirusTotalなどのさまざまなソースからの評判データの集約されたリポジトリです。悪意のあるコンテンツや疑わしいコンテンツなど、含めるステータスの種類を選択できます。レピュテーションアイテムのステータスだけでなく、レピュテーションソースの詳細情報を含む完全なレポートを含めることもできます。この接続元から情報を取得するには、1つまたは複数のレピュテーションソースが設定されている必要があります。詳細については、レピュテーションデータの構成を参照してください。

保存されたQuestion

保存されたQuestionとは、何度も繰り返し使用したいTaniumのコマンドを意味します。保存されたQuestionの詳細については、Tanium Platformユーザーガイド:保存されたQuestionの操作を参照してください。保存されたQuestionには、次の設定を使用できます:

設定 説明
Flatten (平坦化) 結果を個別のレコードとして処理するためには、[Flatten (平坦化)]設定を有効にします。たとえば、マシン上に新しいMD5ハッシュが検出されたときに通知を受け取るようにできます。[Flatten (平坦化)]設定を有効にしないと、すべてのMD5ハッシュなど、マシンからの保存されたQuestionによって取得されたデータセット全体が単一のレコードとみなされます。このデータセットに加えられた変更はすべて送信先に表示されます。[Flatten (平坦化)]を有効にすることで、Connectはマシンからのすべてのハッシュを単一のレコードとしてではなく、個別のベース(1つのマシンからの1つのMD5ハッシュ)で新しいハッシュを処理します。
Hide Errors (エラーを隠す) 保存されたQuestionに対してエラーが返された場合は、[Hide Errors (エラーを隠す)]設定を使用して、エラーの結果が送信先に送信されないようにします。
Hide No Results (結果なしを隠す) 保存されたQuestionに対して[No results]が返された場合は、[Hide No Results (結果なしを隠す)]設定を使用して、この結果が送信先に送信されないようにします。
Recent (最近) オフラインのマシンからの結果を含める場合は、[Recent (最近)]を選択することで、オフラインエンドポイントの保存されたQuestionに対する最新の回答を返します。
Answer Complete Percent (答えが完了したパーセント)

保存されたQuestionが設定された完了パーセント値を返した後の結果が渡されます。設定したパーセント値が返された後に得た結果が送信先に送信されません。送信先で保存されたQuestionから返されたデータが不完全であることに気づいた場合、この設定を0に設定することでそのデータを無効にできます。無効にした場合、タイムアウト時間が経過するとすべてのデータが返されます。

Timeout (タイムアウト) 処理された結果を返す前にクライアントが応答するのを待つ時間。
Batch Size (バッチサイズ) 保存されたQuestion結果に対して一度に返される行数。この設定は、送信先によって異なる場合があります。

サーバ情報

次の場所にあるサーバ情報を接続元として使用します:https://<tanium_server>/info.json

システムステータス

システムステータスには、IPアドレス、ネットワーク内の位置、Tanium Serverに最後に登録したときのようなエンドポイントに関する有用な情報を含む、すべてのエンドポイントの状態が含まれます。システムステータスデータの詳細については、Tanium Platformユーザーガイド:システムステータスの監視を参照してください。

Tanium™ Asset

Tanium Assetには、一連の事前定義レポートが付属しているので、監査と在庫管理の準備に役立ちます。独自のカスタムレポートとビューを作成することもできます。各レポートまたはビューについて、レポートまたはビューをデータソースとして指定する接続を作成できます。現在サポートされている送信先には、電子メール、ファイル、HTTP、ソケットレシーバ、Splunk、SQL Serverがあります。詳細については、Tanium Assetユーザーガイド:Assetの概要を参照してください。

Tanium™ Discover

Tanium Discoverには、ご使用の環境のインターフェイスのインベントリを管理するレポートが含まれています。各レポートについて、レポートをデータソースとして指定する接続を作成できます。詳細については、Tanium Discoverユーザーガイド:Discoverの概要

接続スケジュール

接続実行は接続元から接続先にデータを送信する1回の反復処理です。Cronスケジュールを使用して、各接続の実行のタイミングを調整します。接続は分、時、日、週、月の異なる組み合わせで実行できます。スケジュールビューで接続がいつ実行され、どのくらいのデータが送信されているかを確認できます。スケジュールの詳細については、接続をスケジュールするを参照してください。

最終更新:2019/06/0418:42| フィードバック

Powered by Translations.com GlobalLink OneLink Software