その他のリソース

リリースノート

ビデオチュートリアル

サポートナレッジベース
(ログインが必要です)

Tanium Interactの概要

Tanium Interactを使用して、マネージドエンドポイントにQuestionを発行し、応答を分析し、応答に基づいたエンドポイントへのアクションを展開します。InteractはTanium Core Platformの一部としてライセンスされていますが、Taniumモジュールであるため、Tanium ConsoleやTanium Serverとは別に更新できます。

Questionとは?

TaniumのQuestionは、Tanium Serverからマネージドエンドポイントに発行するクエリです。ダイナミックQuestionは、Interactの[Ask a Question (Questionの実行)]またはQuestion Builder (Questionビルダ)]機能を通じて作成および発行します。保存済みQuestionは、これらの機能を使用して再構成することなく、Questionを再発行することができる設定オブジェクトです。

[Ask a Question (Questionの実行)]機能は、自然言語パーサに基づいて構築されているため、専門的なクエリ言語ではなく、自然な質問で使い始めることができます。完全な文章やしっかりした構文でQuestionを入力する必要はありません。大文字と小文字は区別されず、スペルミスがあっても大丈夫です。 パーサは入力内容を解釈し、有効なクエリ数を提案するため、それらクエリを利用してTanium Clientに送信するQuestionを一定の形式にすることができます。 Interactは、InteractのホームページおよびInteractコンテンツページの上部にある[Question Bar (Questionバー)]のテキスト入力フィールドとして、[Ask a Question (Questionの実行)]機能を提供します。

次の図は、自然言語の入力が解析されて、クエリに変換される例を示しています。まず、ユーザはlast logged in userと語句を入力し、[Search (検索)]をクリックします。この入力に対し、Interactは有効な構文で形成されたクエリのリストを返します。

F: 図1: 自然言語パーサ

Questionには取得する情報を指定するget句と対象エンドポイントを指定するfrom句があります。基本的なQuestionには、以下が含まれます。

  • get句の1つ以上のセンサー名(例:最後にログインしたユーザ)
  • from句のFrom all machines(Tanium Clientをホストするすべてのエンドポイント)

高度なQuestionには、フィルタ句とパラメータ化センサーを含みます。

Questionを発行し、Question履歴を表示する手順は、Questionを実行する を参照してください。Question構文の詳細については、参照: Questionの例および関連情報:高度なQuestion構文 を参照してください。

センサーとは?

センサーとは、TaniumのQuestionに対する回答を計算するためにエンドポイントで実行するスクリプトです。Tanium Serverは、Tanium Clientの登録中にセンサーをエンドポイントに分散します。センサーでは、以下のような情報を収集するQuestionを実行ができます。

  • ハードウェア/ソフトウェアのインベントリと設定を取得する
  • 実行中のアプリケーションとプロセス
  • ファイルとディレクトリ
  • ネットワーク接続

Tanium Serverのインストールプロセスは、センサーを含むデフォルトのコンテンツパックを自動的にインポートします。インポートするその他のTaniumソリューションは、インポートするTaniumコンテンツ パックまたはTaniumソリューションモジュールに応じて、より多くのセンサーを追加する場合があります。Taniumが提供するコンテンツ内に必要なセンサーが見つからない場合は、カスタムセンサーを作成できます。

詳細については、Tanium Consoleユーザガイド:センサーの管理を参照してください。

計数質問と非計数質問

計数Questionは、特定の回答文字列が複数のエンドポイントに対して同じになる可能性がある結果を返します。[Question Results (Questionの結果)]グリッドには、各共通回答のエンドポイント数を示すカウント列が表示されます。計数Questionには、センサーを1つだけ含めることができます。 Get Tanium Client Logging Level from all machinesは、LogVerbosityLevel設定の値を返すセンサーを持つ計数Questionの例です。エンドポイントで回答メッセージに回答を追加するよう促すメッセージが表示されると、その値に一致する回答の集計値がインクリメントされます。 Tanium Serverで回答文字列からなる表を管理しています。多くの場合は、ログレベルのように、多くのエンドポイントは一般的な回答をいくつか提供するだけなので、Tanium ServerでのQuestionのフットプリントは比較的小さくなります。

F: 図2: 計数Question

非計数Questionには、各エンドポイントから一意の文字列を返すセンサーがあります。たとえば、Get Tanium Client IP Address from all machinesと入力すると、一意のIPアドレスが返されます。Tanium Clientが回答メッセージに回答を追加するよう促されると、新しい文字列が追加されます。Tanium Serverでは、非計数Questionのデータフットプリントは大きくなることがあります。

F: 図3: 非計数Question

[Question Builder (Questionビルダ)]を使用してQuestionを構築するとき、計数Questionがtoo many resultsという回答を返す場合のために、計数Questionを非計数Questionに変換するオプションがあります。

複数センサーを使用するQuestion

Questionを作成すると、get句のAND演算子を使用して、複数のセンサーを指定することができます。[Question Results (Questionの結果)]ページは、次の例に示すように、最初のセンサー、次のセンサーというように結果をグループ化します。

F: 図4: 複数のセンサーを使用したQuestion

パラメータ化センサーを使用するQuestion

パラメータ化センサーを使用すると、[Question Bar (Questionバー)]または[Question Builder (Questionビルダ)]にQuestionを入力するときに指定した値を使用します。次の例は、File Existsセンサーについて説明しています。Tanium Consoleは、ファイルパスとファイル名を指定するよう促します。

F: 図5: File Existsパラメータ化センサー

もう1つの例として、High CPU Processesセンサーがあります。各マシンから返されるCPUプロセス数を表すパラメータを指定できます。たとえば、CPUの使用率が上位5つのプロセスを確認しようとしているとします。Questionの構文は以下のようになります。

Get High CPU Process[5] from all machines

複数のパラメータを持つセンサーの場合は、コンマで区切ったパラメータの順序付きリストを渡すことができます。たとえば、ID1を使用したアクションのアクションログから最初の10行を表示するには、次のようにパラメータリストを指定します。

Get Tanium Action Log[1,10] from all machines

フィルタを使用するQuestion

フィルタを使用すると、デフォルトの「all machines」より少ないエンドポイントに絞り込んだQuestionを作成できます。たとえば、次の高度なQuestionは、特定のプロセス名または値を持つエンドポイントのみを対象としています。

F: 図6: Questionのフィルタ

左側(get句)は完全で有効なクエリです。右側には「from all machines with 」条件を使用したフィルタがあります。from句のフィルタは、エンドポイントによって処理されるQuestionの最初の部分です。エンドポイントデータがこのフィルタに一致しない場合、エンドポイントはそれ以上Questionを処理しません。Questionに複数のフィルタがある場合、エンドポイントは各フィルタを評価します。フィルタ条件は、ブール値のtrueまたはfalseで評価されます。たとえば、with Running Processes contains exploreで指定された文字列が結果の文字列と一致する場合、この条件はtrueと評価され、一致しない場合はfalseと評価されます。フィルタがtrueに評価される場合、エンドポイントはQuestionの左側にセンサーを実行し、結果を返します。

[File Exists[]]のようなパラメータ化センサーは、文字列「File Exists: 「Filename」または「File does not exist」というメッセージを返します。このため、フィルタ式にセンサーを入力する際は、注意が必要です。

F: 図7: 例:パラメータ化センサーを使用したQuestion

フィルタ式with File Exists["C:\Program Files\PuTTY\putty.exe"] containing "Exists"は、結果がFile Exists: C:\Program Files\PuTTY\putty.exeの場合true、結果がFile does not existではfalseと評価され、回答セットをフィルタリングするために使用できます。

F: 図8: 例:パラメータ化センサーを使用したフィルタリング

フィルタ式は文字列または正規表現のどちらでも一致検索できます。下表に、[Question Builder (Questionビルダ)]を使用するときに表示される通りのサポートされているフィルタ演算子を示します。[Question Builder (Questionビルダ)]から読み込まれた、または[Question Bar (Questionバー)]に表現を入力した後に一部の演算子が正規化される方法についても説明します。

T: 表9: フィルタ演算子
フィルタ演算子 使用方法
contains (指定文字列を含む) センサー値が指定された文字列を含む。

例:running processes contains "explore"

does not contain (指定文字列を含まない) センサー値が指定された文字列を含まない。
starts with (指定文字列で始まる) センサー値が指定された文字列で始まる。

例: starts with "explore"

does not start with (指定文字列で始まらない) センサー値が指定された文字列で始まらない。
ends with (指定文字列で終わる) センサー値が指定された文字列で終わる。

例: ends with "explore.exe"

does not end with (指定文字列で終わらない) センサー値が指定された文字列で終わらない。
matches (指定文字列と一致する) センサー値が指定された正規表現と一致する(ブースト構文)。
does not match (指定文字列と一致しない) センサー値が指定された正規表現と一致しない。
in (リストの1つに一致) センサー値が指定された文字列の1つに一致する。文字列は空白なしでコンマ区切りします。Questionを読み込むと、Questionバーに表示されている表現式はinの代わりにequalsor演算子を使用します。

例:Questionビルダのフィルタin "10.10.10.10,10.10.10.11"は、Questionを読み込むとIP Address equals 10.10.10.10 or IP Address equals 10.10.10.11となります。

is equal to (指定文字列と等しい) センサー値が指定された値または文字列と等しい。Questionが読み込まれると、Questionバーに表示される式ではis equal toの代わりにequalsが使用されます。
指定文字列と等しくない センサー値が指定された値または文字列と等しくない。Questionが読み込まれると、Questionバーに表示される式ではis not equal toの代わりにnot equalsが使用されます。
is less than (指定値より小さい) センサー値が指定された値より小さい。Questionが読み込まれると、Questionバーに表示される式には演算子の言葉での表現の代わりに記号(<)が使用されます。

例:installed application version [chrome] < 12

is less than or equal to (指定値以下である) センサー値が指定された値以下である。Questionが読み込まれると、Questionバーに表示される式には演算子の言葉での表現の代わりに記号(<=)が使用されます。

例:installed application version <= 12

is greater than (指定値より大きい) センサー値が指定された値より大きい。Questionが読み込まれると、Questionバーに表示される式には演算子の言葉での表現の代わりに記号(>)が使用されます。

例:installed application version [chrome] > 12

is greater than or equal to (指定値以上である) センサー値が、指定された値以上である。Questionが読み込まれると、Questionバーに表示される式には演算子の言葉での表現の代わりに記号(>=)が使用されます。

例:installed application version >= 12

数列センサーのQuestionを含む複雑なフィルタ式の例については、関連情報:高度なQuestion構文 を参照してください。

Questionの有効期限

ダイナミックまたは保存済みQuestionを発行すると、Tanium ServerはQuestionIDをQuestionに割り当てます。ウェブブラウザのURLフィールドにQuestionIDが表示されます。QuestionIDは10分後に「期限切れ」となり、そのURLは無効になります。つまり、ページを更新したり、リンクを共有したりできるのは、その10分間だけです。

F: 図10: Question ID

10分後にURLに移動すると、InteractはQuestionの期限が切れたことを示すメッセージを表示し、[Question Bar (Questionバー)]Questionテキストをコピーして再発行できるようにするオプションを提供します。

F: 図11: Questionの有効期限切れメッセージ

保存済みQuestion

[Saved questions (保存済みQuestion)]は、Interactの[Question Bar (Questionバー)]で再構成することなく再発行できるQuestionです。これらは、再発行間隔、アクセス権限、関連するアクション、その他の設定を定義できる設定オブジェクトです。スケジュールに基づいて保存済みQuestionを手動で問題なく発行することもできます。Taniumモジュールを介して保存済みQuestionやTanium XML APIを使用するカスタムアプリケーションを使用して問題を解決することもできます。たとえば、Tanium™ Connectを使用して保存済みQuestionを定期的に発行し、結果を外部サーバに送信できます。保存済みQuestionを作成するには、[Question Bar (Questionバー)]からダイナミックQuestionを発行して保存します。インポートするTaniumモジュールおよびコンテンツパックには、事前に定義された保存済みQuestionも用意されています。Interactモジュールは、ダッシュボードに保存済みQuestionを整理し、カテゴリ下でダッシュボードを整理します。各カテゴリ、ダッシュボード、および保存済みQuestionは、1つのコンテンツセットに割り当てられます。

ダッシュボード

ダッシュボードは、エンドポイントから取得した情報に関連する保存済みQuestionのグループです。たとえば、事前定義されたハードウェアインベントリダッシュボードには、CPU、ディスク、メモリ、BIOS情報を取得するQuestionが含まれています。ダッシュボード内のすべてのQuestionを同時に発行することができます。

カテゴリ

カテゴリは、一群のダッシュボードです。 これは、特定の目的で使用するQuestionの包括的な用語として機能します。たとえば、[Security (セキュリティ)]カテゴリには [Data Leakage (データ漏洩)][Wireless Network Security (ワイヤレスネットワークセキュリティ)]、および [USB Device Security (USBデバイスセキュリティ)]ダッシュボードが含まれ、セキュリティ関連のQuestionが含まれています。

コンテンツセット

コンテンツセットは、アクセスを制御するためのユーザロール権限を適用する保存済みQuestion、ダッシュボード、カテゴリ、その他のコンテンツのグループです。Taniumは、デフォルトコンテンツパックおよびTaniumモジュールを介して定義済みコンテンツセットを複数用意しています。カスタムコンテンツセットを作成することもできます。詳細および関連するタスクについてはコンテンツセットの管理を参照してください。

Questionの結果

Tanium Interactを使用してダイナミックQuestionを発行した後、[Question Results (Questionの結果)]ページが開き、エンドポイントからの回答(結果)をグリッドに表示します。このページでは、ライブ更新、フィルタ、チャートなどの表示オプションを提供することにより、結果の分析を促進します。詳細と関連手順については、Questionの結果を管理するを参照してください。

アクション

Tanium Interactを使用してQuestionを発行し、Question結果を分析し、管理アクションが必要なエンドポイントを決定すると、これらのエンドポイントにパッケージをデプロイして、Tanium Clientが関連するアクションを実行できるようにすることができます。手順については、アクションのデプロイを参照してください。

最終更新: 2020/11/19 21:50| フィードバック

Powered by Translations.com GlobalLink OneLink Software