アンマネージドインターフェイスの検出

検出メソッドを設定すると、環境内のマネージドインターフェイスを使用して、アンマネージドインターフェイスを検出します。

アンマネージドインターフェイスを識別すると、Tanium Client Deploymentサービスと一緒にTanium Clientをインストールすることで、これらのインターフェイスをTanium Serverの管理対象下に置くことができます。

検出メソッドの概要

検出メソッドを定義するには、検出メソッドを実行する範囲を設定するコンピュータグループを指定する必要があります。たとえば、エンドポイントがセキュリティ保護されたネットワーク上にある場合にのみ、エンドポイントを含むコンピュータグループを作成することができます。検出メソッドはアクションを使用して検出操作を行います。

検出メソッドごとのネットワークへの影響

検出メソッドにより、ネットワークに与える影響は異なります。ARPキャッシュ検出およびインターフェイス接続は、エンドポイントでローカルに利用可能な情報を見るため、パッシブ検出メソッドと見なされます。PingとNmapは、検出プロセスでネットワーク活動がなされるため、アクティブ検出メソッドと見なされます。

アクティブ検出メソッドのネットワークへの影響を軽減するために、特定のサブネット内にあるコンピュータグループに検出範囲を適用し、1日に数回検出を実行するように選択できます。パッシブ検出メソッドではネットワークへの影響がないため、コンピュータグループに検出範囲を適用し、1時間ごとに検出を実行するように選択できます。

これらの検出メソッドには、独自の利点と欠点があります。通常、一般的な構成では、さまざまなコンピュータグループとスケジュールで有効なパッシブ検出方法とアクティブ検出方法の組み合わせが使用されます。テクニカルアカウントマネージャ(TAM)と協力して、検出メソッドをデプロイする前に、その影響を十分に理解しておく必要があります。

  ARP
キャッシュ
インターフェイス
接続
シンプルPing
スクリプト
Nmap
スキャン
メソッドタイプ パッシブ パッシブ アクティブ アクティブ
ネットワークへの影響 ほとんど影響なし ほとんど影響なし 中位 構成に依存する

検出メソッドごとのサポートするプラットフォーム

  ARP
キャッシュ
インターフェイス
接続
シンプルPing
スクリプト
Nmap
スキャン
Windows 2
Linux 1 3
Mac OS 1
Solaris
AIX

1 Discover 2.6以降

2Windows XPはサポートされていません

3Red Hat Enterprise Linux 5はDiscover 2.10以降でサポートされています

ARPキャッシュの検出

ARPキャッシュ検出メソッドでは、すべてのマネージドエンドポイントにあるARPキャッシュテーブルにアクセスします。これらのARPキャッシュテーブルには、各マネージドエンドポイントのネットワーク直近にあるインターフェイスに関するデータが保存されています。ARPキャッシュ検出を有効にすると、Discoverはエンドポイントにアクションを送信して、各マネージドインターフェイスからARPキャッシュを収集します。

検出メソッド設定で[Enable Hostname Lookup on all platforms (すべてのプラットフォームでのホスト名検出を有効にする)]が有効になっている場合、検出された各インターフェイス用のホスト名を見つける試みがなされます。

ARPキャッシュには、ネットワークの一部ではないインターフェイスを含めることができます。ARPキャッシュ検出をマネージドインターフェイス上で実行する場合、IPアドレスの最初の3つのオクテットが一致しないインターフェイスを削除することによって、ネットワーク直近にないインターフェイスが除外されます。たとえば、マネージドインターフェイスには、10.0.0.2や192.168.0.2など、1つ以上のIPアドレスが割り当てられています。最初の3つのオクテット(10.0.0.または192.168.0.)が一致するARPインターフェイスのみが報告されます。

インターフェイスページの値:ARP

インターフェイス接続の検出

インターフェイス接続の検出メソッドはエンドポイントにアクションを送信して、各マネージドエンドポイントに現在接続しているすべてのIP接続を収集します。次に、この検出メソッドは、ローカルARPキャッシュ内にあるインターフェイスを検索して、関連するMACアドレスを解決します。

検出メソッド設定で[Enable Hostname Lookup on all platforms (すべてのプラットフォームでのホスト名検出を有効にする)]が有効になっている場合、検出された各インターフェイス用のホスト名を見つける試みがなされます。

インターフェイス接続はIP接続データによりARPキャッシュの検出を改善します。

Tanium Clientをインストールしたエンドポイントで接続検出を実行すると、エンドポイントのサブネットに存在しないインターフェイスが除外されます。

インターフェイスページの値:connected

シンプルPingスクリプト検出

シンプルPingスクリプト検出メソッドでは、Taniumのマネージドエンドポイントにスキャンパッケージに自動的に配信し、マネージドインターフェイス間のギャップのみをスキャンすることで、アンマネージドインターフェイスを検出します。ギャップをスキャンするだけで、大量のネットワークトラフィックを生成し、IPSやファイアウォールでアラームを発生させる、ネットワークスキャナでよく見られる問題の多くが排除されます。

マネージドエンドポイントは、一次チェーンアーキテクチャで相互に接続されています。1台のマネージドエンドポイント上で、スキャンパッケージが一次チェーン内でピアを確認して、IPアドレスの範囲を計算します。この範囲は、一次チェーン内のバックワードピアから、転送ピアまたはサブネットの終点までになります。

範囲が計算された後、スキャンパッケージはターゲットとなるIPアドレスをping -aコマンドでPingします。スキャンパッケージでインターフェイスを見つけた後、シンプルPingスクリプトがホスト名を解決します。 隔離エンドポイントは、デフォルトではスキャンされません。隔離エンドポイントとは、隔離サブネット上にあるエンドポイントを指します。あるいは、エンドポイントにピアが存在しないため、隔離サブネット上にあるように見えるエンドポイントを指します。隔離サブネットの詳細については、Tanium Clientのデプロイガイド:「隔離サブネット」を構成するを参照してください。この動作を無効にするには、検出メソッドを設定する際に[Enable Scanning on Isolated Endpoints (隔離されたエンドポイントでスキャンを有効にする)]オプションを使用します。

結果がインポートされると、Discoverサービスはインターフェイスがマネージドであるか、アンマネージドであるか確認します。MACおよびメーカーもインポートプロセスの一部として解決されます。

シンプルPingスクリプト検出により、ネットワークへの影響がさらに深まるため、小さなコンピュータグループで実行するか、間隔を延長して実行するか選択できます。

制限事項: 自動スキャンパッケージのディストリビューションと構成は、検出を開始する前に完了する必要があります。[Distribute Over Time (ディストリビューションの所要時間)]の最大値は4時間です。つまり、この時間内にパッケージのディストリビューションを実行する必要があります。パッケージのディストリビューションには、再発行に設定された時間の約1.5倍(最大4時間)かかります。 たとえば、シンプルPingメソッドを1時間ごとに実行するように設定した場合、アンマネージドインターフェイスは1.5時間以降にDiscoverに表示されます。このディストリビューションコストは、Ping検出メソッドの作成または更新のみに適用されます。

インターフェイスページの値:script

Nmapスキャンによる検出

Nmapスキャン検出は、Taniumのマネージドエンドポイントにスキャンパッケージを自動的に配信することで管理対象外インターフェイスを検出します。Network Mapper (Nmap)ユーティリティを各エンドポイントで使用して、他の検出メソッド(OSフィンガープリンティングを含む)で取得できる情報以外にも、ネットワークインターフェイスに関する情報を取得できます。

Nmapスキャンによる検出メソッドでは、シンプルPingスクリプト検出メソッドと同様に、一次チェーン内にあるピアを調べてIPアドレスの範囲を計算します。 隔離エンドポイントは、デフォルトではスキャンされません。隔離エンドポイントとは、隔離サブネット上にあるエンドポイントを指します。あるいは、エンドポイントにピアが存在しないため、隔離サブネット上にあるように見えるエンドポイントを指します。隔離サブネットの詳細については、Tanium Clientのデプロイガイド:「隔離サブネット」を構成するを参照してください。この動作を無効にするには、検出メソッドを設定する際に[Enable Scanning on Isolated Endpoints (隔離されたエンドポイントでスキャンを有効にする)]オプションを使用します。

Nmapスキャンによる検出を設定するには、次のいずれかのオプションを使用します。 

ホスト

デフォルト設定のローカルサブネット上で、Nmapスキャンによる検出を実行します。ターゲットへのARP応答が検出されると、エンドポイントは使用可能とリスト表示されます。インターフェイスについては、オペレーティングシステムまたは開いているポートの情報は返されません。

ホスト検出とOSフィンガープリント

ホスト検出の設定と同じデフォルト設定でNmapスキャンを実行します。デフォルトでは、OSフィンガープリンティングによって、各エンドポイントでよく使用される約1000個のTCPポートがスキャンされます。高度な設定では、エンドポイント、および対象エンドポイントポートへのスキャンを実行するソースポートを設定できます。OS世代フィールドの値はNmapからの「最良の推測」です。

エンドポイントファイル:Nmap検出メソッドを使用すれば、このエンドポイントに以下のファイルがインストールされます。Nmapで有効にする必要がある除外の詳細については、Discoverの要件を参照してください。

  • nmap.exe: スキャン操作を<Tanium Client>\Tools\Discover\nmapディレクトリで実行します。
  • npcap-0.99-r4-oem.exeおよびvcredist_x86.exe: エンドポイントで実行し、Nmapに必要なライブラリを追加します。これらの実行可能ファイルは、<Tanium Client>\Downloads\Action_<action_id>ディレクトリから実行します。Npcapはオンデマンドでロードされ、エンドポイント上の管理者ユーザーのみで使用できます。Windowsのエンドポイントでは、Npcapファイルは C:\Program Files\Npcapディレクトリにインストールされます。

制限事項: 自動スキャンパッケージのディストリビューションと構成は、検出を開始する前に完了する必要があります。[Distribute Over Time (ディストリビューションの所要時間)]の最大値は4時間です。つまり、この時間内にパッケージのディストリビューションを実行する必要があります。パッケージのディストリビューションには、再発行に設定された時間の約1.5倍(最大4時間)かかります。 たとえば、Nmapスキャン検出メソッドを1時間ごとに実行するように設定した場合、アンマネージドインターフェイスは1.5時間以降にDiscoverに表示されます。このディストリビューションコストは、Nmap検出メソッドの作成または更新のみに適用されます。

インターフェイスページの値:nmap

マネージドインターフェイス

アンマネージドインターフェイスの検出メソッドに加えて、[Managed Assets (マネージドアセット)]に保存されたQuestionに応答するインターフェイスは、コンピュータID値のみを使用して作成されます。

インターフェイスページの値:managed

スキャンの除外項目を設定

NmapおよびシンプルPingスクリプトのスキャンからIPアドレスグループを除外するには、スキャンの除外項目を設定します。

  1. Discoverのホームページで、設定 をクリックします。[Scan Exclusions (スキャンから除外)]に移動します。[Add Scan Exclusions (スキャンの除外項目を追加する)]をクリックします。
  2. 以下のスキャン除外タイプから選択します。 

    一般除外

    スキャンから除外するデバイスまたはデバイス群のIPアドレス。

    VPN除外

    VPNを表すIPアドレス。VPNにより接続されたデバイスはスキャンされません。

    オフネットワーク除外

    Zone Server IPアドレスのリスト。これらのサーバを通して接続されているデバイスはスキャンされません。

  3. 除外する項目の名前とIPアドレスのコンマ区切りのリストを指定します。[Save (保存)]をクリックします。
  4. 1つまたは複数の検出メソッドと除外項目を関連付けます。シンプルPingスクリプトまたはNmapスキャン検出メソッドを作成または編集するときに使用するスキャンの除外項目を指定できます。

検出メソッドの設定

環境の要件を満たす検出メソッドを決定したら、検出メソッドを作成できます。

前提条件

検出メソッドを実行する範囲を指定するには、コンピュータグループを定義する必要があります。コンピュータグループを設定するには、メインメニューをクリックしてから、[Administration (管理)] > [Computer Groups (コンピュータグループ)}の順にクリックします。

手順

  1. (オプション)バックグラウンド処理の頻度を設定します。Discoverのホームページから、設定 をクリックして、[Background Processes Frequency (バックグラウンド処理の頻度)]を編集します。この設定では、検出メソッドを実行した結果を[Interfaces (インターフェイス)]ページにインポートする頻度が決定されます。
  2. 検出メソッドを追加します。Discoverのホームページから、設定 をクリックして[Discovery Methods (検出メソッド)]タブをクリックします。[Add Discovery Method (検出メソッドの追加)]をクリックします。これらの設定は、選択した検出メソッドによって異なります。

    Discoverサービスアカウントは、検出メソッド用に構成したコンピュータグループにアクセスできる必要があります。ユーザーへのコンピュータグループの割り当ての詳細については、Tanium Core Platformユーザーガイド:ユーザーにコンピュータグループを割り当てるを参照してください。


    隔離されたエンドポイントをスキャンすべきか、および使用するスキャン除外セットを指定します。除外項目を設定する方法については、スキャンの除外項目を設定を参照してください。
  3. 検出メソッドの結果は、定義した再発行間隔でインポートされます。これらの結果は、バックグラウンド処理の頻度に対して定義した間隔でインポートされます。
    結果を強制的にインポートするには、Discoverのホームページに移動します。[How to Use Discover (Discoverの使い方)]セクションで、[Configure Discover Settings (検出設定を構成する)]をクリックしてから、[Discover Unmanaged Interfaces (アンマネージドインターフェイスを検出する)]をクリックします。このボタンをクリックすると: 
    • ARPキャッシュとインターフェイス接続の結果が収集され、インポートされます。
    • シンプルPingスクリプトとNmap検出のアクティブな結果が収集されます。エンドポイント上で、これらのメソッドがアクティブでない場合、結果は収集されません。

    [Discover Unmanaged Interfaces (アンマネージドインターフェイスを検出する)]をクリックしても、シンプルPingスクリプトやNmap検出メソッドは強制的に実行されません。これらのメソッドの結果がすでに配信され、エンドポイントでアクティブである場合、これらの結果は収集されます。

次にやるべきこと

参照:検出メソッド別のデータ 

  ARPキャッシュ インターフェイス接続 シンプルPingスクリプト Nmapスキャン(ホスト) Nmapスキャン(ホスト+ OSフィンガープリント) マネージドインターフェイス

Computer ID (コンピュータID)

Discovery Method (検出メソッド)

First Seen (最初の表示)

Hostname (ホスト名)

IP Address (IPアドレス)

Labels (ラベル)

ラベルは検出メソッドでインポートされた後インターフェイスに適用されます。詳細については、ラベルを参照してください。

N/A N/A N/A N/A N/A N/A

Last Discovered (最後の検出)

最後にシンプルPingスクリプト、インターフェイス接続、またはNmapスキャン検出メソッドで見つかったインターフェイス。この属性は、管理対象インターフェイスや、ARPキャッシュ検出で見つかったインターフェイスには適用されません。この属性は、インターフェイスの喪失がフラグ付けされた時点を判断するために使用されます。

Last Managed (最後の管理)

最後にインターフェイスが管理対象インターフェイスとして返された時点。この属性は、インターフェイスの喪失がフラグ付けされた時点を判断するために使用されます。

Last Seen (最後の表示)

どれかの検出メソッドで最後にインターフェイスが検出された時点。この値は、すべての検出メソッドから返されます。この属性は、インターフェイスが喪失されたとしてフラグ付けされた時点の判断には使用されません。

Mac Address (Macアドレス)

Manufacturer (メーカー)

MACアドレスから得られたネットワークカードメーカー

NAT IP Address (NAT IPアドレス)

Open Ports (開いているポート)

Nmapによってスキャンされる最も一般的な1000個のポート、または検出メソッドの設定で提供されるポートのリストから取得します。

OS Generation (OSの世代)

(Nmapのみ) OSフィンガープリンティングによるOSバージョンの「最善の推測」です。OS世代をラベル条件として選択する場合は、注意深く検討してください。

OS Platform (OSプラットフォーム)

オペレーティングシステム。

Unmanageable (管理不能)

管理不能なインターフェイスは、Tanium Clientを実行できないデバイス上にあります。デフォルトでは、管理不能なインターフェイスには、Tanium ClientでサポートされていないOSプラットフォームが存在します。これのプラットフォームは、[Unmanageable OS Platforms (管理不能なOSプラットフォーム)]の自動ラベルで事前に定義されています。 

最終更新:2019/06/0414:07| フィードバック

Powered by Translations.com GlobalLink OneLink Software