Incident Responseソリューションの
インストール

Tanium Incident Responseのインストール

Tanium™ Incident Responseソリューションを使用すると、インシデントのスキャンとハント、フォレンジックアーティファクトの調査、分析用にシステムデータの収集ができます。

注:マニュアルに記載されている手順とスクリーンショットは、バージョン7以降のものです。バージョン6とは手順と画面が異なる場合があります。

使用を開始する前に

  • Autorunsコンテンツを使用するには、Autoruns for Windows v13.82からAutoruns.zipファイルをダウンロードします。ソリューションのインポート中にこのファイルをアップロードします。

  • Taniumソリューションモジュールやコンテンツパックをインポートするには、管理者ロールが割り当てられている必要があります。

Tanium Incident Responseソリューションのインポート 

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Incident Response]セクションで、[Import Version (バージョンのインポート)]をクリックします。
  3. カテゴリ、ダッシュボード、保存されたQuestion、保存されたアクション、パッケージ、センサー、およびコンテンツセットの各ロールを確認します。
  4. Autoruns.zipファイルをアップロードします。


    Autorunsコンテンツが正しく動作するためには、Autoruns.zipファイルをアップロードする必要があります。

  5. インポートを完了します。
    • プラットフォームバージョン6.5および7.0では、[Proceed with Import (インポートを続行する)]をクリックします
    • プラットフォームバージョン7.1.314.3071以降では、[Include content set overwrite (コンテンツセットの上書きを含める)]を有効化し、[Import (インポート)]をクリックします。

      詳細については、Tanium Core Platformユーザーガイド:モジュールのためのコンテンツの整列を参照してください。

  6. IRセンサーとパッケージがインストールされたことを確認します。 
    1. メインメニューで[Authoring (作成)] > [Packages (パッケージ)]をクリックします。
    2. 「Incident Response」を検索します。
    3. メインメニューで[Authoring (作成)] >  [Sensors (センサー)]をクリックします。
    4. [Category (カテゴリ)]列で、メニューボタンをクリックし、「Incident Response」を含むフィルタを作成します。

次にやるべきこと

IRツールをエンドポイントにデプロイします。詳細は、IRツールのデプロイ を参照してください。

他のIRソリューショをインストールすることもできます。

Indexのインストール

Tanium Indexは、エンドポイントでローカルに実行され、保存ファイルの脅威インジケータを検出および調査するのに役立つ情報を収集、計算、提供するソリューションです。Indexは、エンドポイントのリソース使用率を最小限に抑え、利用可能な場合はファイルシステムのジャーナル処理とともに動作するように最適化されています。このソリューションは、次の操作を実行します。

  • ローカルファイルシステムのインデックス付け
  • ファイルハッシュを計算する
  • ファイルの属性とマジックナンバーを記録する

Tanium Indexソリューションのインポート

Taniumソリューションページから関連するコンテンツをインポートして、Tanium Indexソリューションをインストールします。

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Tanium Content (Taniumコンテンツ)]セクションで、[Tanium Index]の行を選択し、[Import Solution (インポートソリューション)]をクリックします。
  3. 保存されたアクションとパッケージのリストを確認します。
    • バージョン6.5および7.0のプラットフォームでは、[Proceed with Import (インポートに進む)]をクリックします。
    • バージョン7.1.314.3071以降のプラットフォームでは、[Include content set overwrite (コンテンツセットの上書きを含める)]を有効にして、[Proceed with Import (インポートに進む)]をクリックします。

      詳細については、Tanium Core Platformユーザーガイド:モジュールのためのコンテンツの整列を参照してください。

  4. インポートが完了すると、[Tanium Solutions (Taniumソリューション)]ページに戻ります。[Available Version (利用可能なバージョン)]の値と[Imported Version (インポートされたバージョン)]列の値が一致することを確認します。

Tanium Indexのインポート後、インデックスセンサー、パッケージ、予定済みアクションはコンソールで表示できます。

次にやるべきこと

デフォルトでは、エンドポイントにインデックスを配布するアクションは無効になっています。[Deploy Distribute Tanium Endpoint Index Tools (Taniumエンドポイントインデックスのデプロイ)]の予定済みアクションを有効化して、インデックスエンドポイントツールをエンドポイントに配布します。次に、カスタム構成ファイルを作成し、[Distribute Tanium Endpoint Index Config (Taniumエンドポイントインデックス構成のディストリビューション)]アクションを新しいファイルとともに有効化します。エンドポイントでのインデックスの有効化の詳細については、ファイルシステムのインデックス作成を参照してください。

IR Gathererのインストール

Tanium IR Gathererを使用して、侵害されたエンドポイントからの情報を収集し、詳細なフォレンジック分析を行います。

システム要件

Tanium IR Gathererソリューションのインポート

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Tanium Content (Taniumコンテンツ)]セクションで、[IR Gatherer]の行を選択し、[Import Solution (インポートソリューション)]をクリックします。
  3. パッケージとセンサーのリストを確認し、[Proceed with Import (インポートを続行する)]をクリックします。

    ダウンロードしたソリューションのコンテンツに重複するデータベース項目を保持するか、上書きするかを指定するよう求められた場合は、重複を上書きするオプションを選択します。

  4. [Solutions (ソリューション)]ページに戻ったら、[Available Version (利用可能なバージョン)][Imported Version (インポートされたバージョン)]列が一致すること確認します。
  5. IR Gathererセンサーとパッケージがインストールされたことを確認します。
    1. メインメニューで[Authoring (作成)]> [Packages (パッケージ)]をクリックします「gatherer」を検索します。
    2. メインメニューで[Authoring (作成)]> [Sensors (センサー)]をクリックします。「gatherer」を検索します。[Last IR Gatherer Push Date (最後のIR Gathererプッシュ日)]センサーが表示されます。

次にやるべきこと

詳細については、IR Gathererによるデータ収集を参照してください。

Live Responseをインストールする

Tanium Live Responseは、PowerShell 2.0以降を搭載したWindowsシステムから大量のデータを収集するために使用できるコンテンツです。

使用を開始する前に

Autorunsコンテンツを使用するには、Autoruns for Windows v13.82からAutoruns.zipファイルをダウンロードします。ソリューションのインポート中にこのファイルをアップロードします。

Tanium Live Responseソリューションをインポートする

関連するコンテンツを[Tanium Solutions (Taniumソリューション)]ページからインポートして、Tanium Live Responseソリューションをインストールします。

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Tanium Content]セクションで[Live Response]の行を選択して[Import Solution (インポートソリューション)]をクリックします。
  3. 保存されたアクション、パッケージとセンサーのリストを確認し、[Proceed with Import (インポートを続行する)]をクリックします。
  4. Autoruns.zipファイルをアップロードします。
    Autorunsコンテンツが正しく動作するためには、Autoruns.zipファイルをアップロードする必要があります。
  5. [Import (インポート)]をクリックします。
  6. インポートが完了すると、ソリューションページに戻ります。[Available Version (利用可能なバージョン)]の値と[Imported Version (インポートされたバージョン)]列の値が一致することを確認します。

次にやるべきこと

Live Response詳細については、Live Responseによるデータの収集を参照してください。

Quarantineのインストール

Tanium Quarantineは、侵害やその他の疑わしい活動の証拠を示すエンドポイントを隔離するために使用できるパッケージとセンサーの集まりです。Quarantineを使用して隔離を適用、削除、テストできます。QuarantineはWindows、Linux、およびMac OS Xのエンドポイントでサポートされています。

Tanium Quarantineソリューションをインポートする

Taniumソリューションページから関連するコンテンツをインポートして、Tanium Quarantineソリューションをインストールします。

  1. メインメニューから、[Tanium Solutions (Taniumソリューション)]をクリックします。
  2. [Tanium Content (Taniumコンテンツ)]セクションで、[Quarantine]の行を選択し、[Import Solution (インポートソリューション)]をクリックします。
  3. 保存されたアクション、パッケージとセンサーのリストを確認し、[Proceed with Import (インポートを続行する)]をクリックします。
  4. インポートが完了すると、ソリューションページに戻ります。[Available Version (利用可能なバージョン)]の値と[Imported Version (インポートされたバージョン)]列の値が一致することを確認します。

次にやるべきこと

Quarantineの詳細については、エンドポイントの分離を参照してください。

最終更新:2019/04/2917:22| フィードバック

Powered by Translations.com GlobalLink OneLink Software