IR Gathererによるデータ収集

Tanium IR Gatherer 3.8.0

IR Gatherer 3.8はWindows 10およびWindows Server 2016以降でメモリを収集しなくなりました。代わりにTanium Live Responseを使用してください。詳細は、Live Responseによるデータの収集を参照してください。

インシデント対応プロセスの重要なステップは、侵害されたエンドポイントからの更なるフォレンジック分析のための情報の収集です。IR Gathererを使用すると、Windows、Linux、およびMacオペレーティングシステムから広範なデータを収集できます。

IR Gathererパッケージは、エンドポイントから情報を収集し、その結果を指定された場所に転送します。IR Gathererが収集するデータの詳細については、Taniumナレッジベース:Tanium IR Gathererデータを参照してください。

使用を開始する前に

IR Gathererのインストール

Tanium IR Gathererを使用して、侵害されたエンドポイントからの情報を収集し、詳細なフォレンジック分析を行います。

システム要件

Tanium IR Gathererソリューションのインポート

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Tanium Content (Taniumコンテンツ)]セクションで、[IR Gatherer]の行を選択し、[Import Solution (インポートソリューション)]をクリックします。IR Gathererソリューションのインポート
  3. パッケージとセンサーのリストを確認し、[Proceed with Import (インポートを続行する)]をクリックします。

    ダウンロードしたソリューションのコンテンツに重複するデータベース項目を保持するか、上書きするかを指定するよう求められた場合は、重複を上書きするオプションを選択します。

  4. [Solutions (ソリューション)]ページに戻ったら、[Available Version (利用可能なバージョン)[Imported Version (インポートされたバージョン)]列が一致すること確認します。
  5. IR Gathererセンサーとパッケージがインストールされたことを確認します。
    1. メインメニューで[Authoring (作成)] > [Packages (パッケージ)]をクリックします。「gatherer」を検索します。IR Gathererパッケージが表示されます。
    2. メインメニューで[Authoring (作成)] > [Sensors (センサー)]をクリックします。「gatherer」を検索します。[Last IR Gatherer Push Date (最終IR Gathererプッシュ日)]センサーが表示されます。

コピー先とサービスアカウントを設定する

サーバ上にIR Gathererの保存場所がある必要があります。エンドポイント上のアクションとしてIR Gathererパッケージをデプロイするとき、このサーバに関する情報を指定します。

コピー操作を実行するときにIR Gathererが使用するアカウントに書き込み専用アクセスを割り当てます。このアカウントの読み取りと追加アクセスは不要であり、IR Gathererは潜在的に敵対的な環境で動作するため、セキュリティ上のリスクがあります。

ファイル転送に使用されるアカウントは、ログデータにこれらのアクセスアカウントのユーザー名とパスワードが含まれている可能性があるため、使用後できるだけ早く期限切れになる必要があります。

場所ファイルの転送方法をコピーする

以下の転送方式を利用できます。

ファイル転送プロトコル(FTP)/セキュアコピープロトコル(SCP)

書き込みアクセス専用のユーザーアカウントが必要です。このユーザーには読み取り、追加、削除の権限を割り当てないでください。アカウントは作成後まもなく有効期限が切れるようにします。

セキュアファイルトランスポートプロトコル(SFTP)

書き込みアクセス専用のユーザーアカウントが必要です。読み取り、追加、削除の権限を割り当てないでください。アカウントは作成後まもなく有効期限が切れるようにします。

サーバブロックメッセージ(SMB)プロトコル

(Windowsのみ) \\server\shareのロケーション(理想的には分散ファイルシステム(DFS)で、Domain Computersグループへの書き込みアクセスを許可するロケーション)。SMB転送タイプでは、ユーザー名とパスワード情報を入力しないでください。

SSHキーペアを作成する

(MacおよびLinux) 転送方法としてSFTP またはSCPをプラットフォーム上で使用している場合は、秘密キー (id_rsa)を生成して適切なIR Gathereに追加する必要があることがあります。このキーを使用すると、ファイルを転送できるようにサーバのコピー先でエンドポイント認証を行うことができます。詳細については、SFTP、SCP、またはSSHサーバのマニュアルを参照してください。

IR Gathererパッケージを設定する

パッケージがアクションとしてデプロイされる際に適用されるIR Gatherer - Collect Info to Central Server (IR Gatherer - 情報を中央サーバへ収集)IR Gatherer - Mac、または[IR Gatherer - Linux]パッケージで設定をカスタマイズできます。

パッケージを開いて編集する

メインメニューで[Authoring (作成)] > [Packages (パッケージ)]をクリックします。検索ボックスに「gather」と入力します。更新するパッケージを選択し、[Edit (編集)]をクリックします。

パッケージのタイムアウトを更新する

IR Gathererパッケージをエンドポイント上のアクションとしてデプロイする場合、アクションの最小有効期限は[Command Timeout (コマンドタイムアウト)]値と[Download Timeout (ダウンロードタイムアウト)]値の和です。デフォルト値を変更して、アクションをデプロイするときのタイムアウトを増減できます。

フィールド 説明
コマンドタイムアウト

パッケージコマンドが期限切れになるまでの時間間隔(分単位)。

コマンドはデフォルトで15分後にタイムアウトします。

ダウンロードタイムアウト ダウンロード操作がタイムアウトするまでの時間間隔(分単位)。

ダウンロード操作はデフォルトで10分後にタイムアウトします。

アクションロックを無視する ロックされたクライアントがこのパッケージを含むアクションを実行できるようにします。アクションロックの設定については、Taniumナレッジベース:アクションロックを参照してください。

パッケージ内のファイルの確認と更新

パッケージ内の既存ファイルを更新するには、そのパッケージ からそのファイルを削除し、[Add (追加)]をクリックて更新されたファイルをアップロードします。

Mac

KnockKnockまたはOSXコレクタをダウンロードした場合、これらのファイルを[IR Gatherer - MAC]パッケージに追加します。

  1. IR Gatherer - MACパッケージの[Files (ファイル)]セクションで、[Add (追加)]をクリックします。
  2. KnockKnockmaster.zipファイルまたはosxcollector.pyファイルをアップロードします。
  3. (オプション)キーペアを生成した場合は、id_rsaファイルをパッケージの[Files (ファイル)]セクションに追加します。

Linux

キーペアを生成した場合は、id_rsaファイルを[IR Gatherer - Linux]パッケージにアップロードします。

  1. [Files (ファイル)]セクションで[Add (追加)]をクリックします。
  2. id_rsaファイルをアップロードします。

パッケージを保存する

他の設定とパラメータを設定してから[Save (保存)]をクリックします。

エンドポイントからデータを収集する

IR Gathererをカスタマイズして、特定のエンドポイント情報を取得することができます。

対象エンドポイント

  1. Tanium Consoleでは、オペレーティングシステムベースのQuestionを使用して、IR Gathererパッケージをデプロイするコンピュータを探します。例えば、 
    • 「Get Computer Name from all machines with Is Windows is "True" (「Is Windows (Windows)」が「True (真)」のすべてのコンピュータからコンピュータ名を取得する)」
    • 「Get Computer Name from all machines with Is Windows is "True" (「Is Linux (Linix)」が「True (真)」のすべてのコンピュータからコンピュータ名を取得する)」
    • 「Get Computer Name from all machines with Is Mac is "True" (「Is Mac (Mac)」が「True (真)」のすべてのコンピュータからコンピュータ名を取得する)」
  2. データを取得したいエンドポイントまでドリルダウンします。データを収集したいエンドポイントを選択し、[Deploy Action (アクションをデプロイ)]をクリックします。

IR Gathererパッケージをアクションとしてデプロイする

  1. 対象とするエンドポイントのオペレーティングシステムに適したパッケージを使用します。
    • [IR Gatherer - Collect Info to Central Server (IR Gatherer - 情報を中央サーバへ収集)]パッケージを使用して、Windowsベースのオペレーティングシステムからアーティファクトを取得します。





    • [IR Gatherer - Linux]パッケージを使用して、Linuxベースのオペレーティングシステムからアーティファクトを取得します。





    • [IR Gatherer - MAC]パッケージを使用して、Macベースのオペレーティングシステムからアーティファクトを取得します。




  2. アーティファクトをコピーする場所に関する情報を指定します。IR Gathererでファイルを転送するための要件の詳細については、コピー先とサービスアカウントを設定するを参照してください。

  3. [Show Preview to Continue (プレビューを表示して続行)]をクリックします。
  4. アクションをデプロイする先のエンドポイントのリストをプレビューした後、[Deploy Action (アクションをデプロイ)]をクリックします。

結果の確認とファイルの表示

(Windowsのみ) IR Gathererの実行履歴を表示する

[Last IR Gatherer Push Date (最後のIR Gathererプッシュ日)]センサーを使用して、IR Gathererの最後の実行に関する情報を取得します。

[Reset Last IR Gatherer Push Date (最後のIR Gathererプッシュ日をリセット)]パッケージを使用して、Windowsレジストリから最後のコレクションの日付をクリアします。

ログファイルを表示する

アクションが発行されたが指定されたファイルが表示されない場合は、エンドポイントのログファイルでTanium Consoleに表示されているアクションIDを確認します。たとえば、アクションIDが7684の場合は、/opt/Tanium/Tanium Client/Downloads/Action_7684ディレクトリ。

コピージョブアクティビティを表示する

コピージョブアクティビティは、各クライアントごとにログされます。ログファイルは90日ごとにローテーションされます。コピージョブアクティビティは、各エンドポイントのTanium Client\Tools\Copy\Logsディレクトリにログされています。

サーバ上で収集したファイルを表示する

出力は、ファイルのホスト、日時、および出力ハッシュに基づく名前が付けられた単一のzipアーカイブです。zipファイル内には、一連のフォルダ(収集された各アーティファクトごとに1つずつ)が入っています。各アーティファクトフォルダ内には、収集された証拠に対応するファイルとフォルダが入っています。

参照:IR Gathererセンサーとパッケージ 

各IR Gathererセンサーとパッケージ用パラメータの詳細については、Taniumナレッジベースで IR Gathererリファレンスを参照してください。

最終更新:2019/04/2917:22| フィードバック

Powered by Translations.com GlobalLink OneLink Software