エンドポイントの分離

Tanium Quarantine3.1.0

Tanium™ Quarantineを使用すると、侵害や他の疑わしい活動の証拠を示すWindows、Linux、Mac OS Xエンドポイントを隔離できます。Quarantineを使用して、隔離を適用、削除、テストします。 

エンドポイントが隔離されると、隔離されたエンドポイントでは承認されたトラフィックのみが許可されます。デフォルトでは、このトラフィックは以下でのみ許可されています: 

  • 隔離されたエンドポイント上のTanium Clientとポート17472上のTanium Server間。
  • IPアドレス(DHCP/DNS)を取得して解決するために必要な必須トラフィック。

Quarantineには、ツールによって適用された隔離ポリシーを自動的に元に戻す安全機能が含まれています。隔離ポリシーが適用されると、ポリシーの影響がログに記録されます。エンドポイントがTanium Serverと通信できる場合、Quarantineはポリシーの適用の成功を記録します。ポリシーによってエンドポイントがTanium Serverと通信できない場合、Quarantineはポリシーをバックアウトし、ログをアクションフォルダに保存します。

使用を開始する前に

ポリシーをデプロイする前に、ラボ環境で隔離ポリシーをテストします。動作が知られており予測可能になるまでポリシーを適用しないでください。ポリシーが正しく設定されていないと、Tanium Serverへのアクセスがブロックされる可能性があります。

  • Tanium Quarantineソリューションをインストールします。詳細については、Quarantineのインストールを参照してください。
  • Tanium Consoleのコンテンツ管理者アカウントが必要です。詳細については、Tanium Core Platformユーザーガイド:ロールの管理を参照してください。
  • エンドポイントが隔離中の場合に必要なトラフィックを特定します。

  • 対象プラットフォームに隔離ポリシーをテストできるラボマシン(Windows、Linux、Mac)が必要です。マシンに物理的にアクセスできるか、RDP (Windows)またはSSH (Linux、 Mac)を使用してアクセスできなければなりません。
  • Tanium Consoleでセンサーまたは保存されたQuestionを使用して隔離するエンドポイントにアクセスできる必要があります。

エンドポイントオペレーティングシステムの要件

サポートされているWindowsバージョン

  • Windows XP
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012

サポートされているLinux OSバージョン

  • RedHat/CentOS 5 IPTables on SYSV
  • RedHat/CentOS 6 IPTables on SYSV
  • RedHat/CentOS 7 Firewalld on Systemd
  • Ubuntu 12、14 UFW on Upstart
  • Ubuntu 15 UFW on Upstart/Systemd

サポートされているMac OSバージョン

  • OSX 10.9 - Mavericks
  • OSX 10.10 - Yosemite
  • OSX 10.11 - El Capitan
  • OSX 10.12 - Sierra

OSX 10.8 - Mountain Lion以前のリリースはipfirewall (IPFW)に基づいており、サポートされていません。

Windowsエンドポイントを設定する

[Apply Windows IPsec Quarantine (Windows IPsec Quarantineを適用)]パッケージはWindows IPsecポリシーを使用してエンドポイントを隔離します。カスタムルールやオプションを追加することもできます。詳細については、カスタム隔離ルールを作成する を参照してください。

ドメインIPsecポリシーが既に適用されているネットワークでWindows IPsec Quarantineを使用することはできません。

IPsec Policy Agentサービスがエンドポイントで実行されていることを確認する

必要に応じて、WindowsでIPsec Policy Agentが実行中のサービスとしてリストに表示されていることを確認できます。

  1. Tanium™ Interactで、 「Get Service Details containing "PolicyAgent" from all machines with Service Details containing "PolicyAgent" (「PolicyAgent」を含むサービスの詳細を持つすべてのマシンから「PolicyAgent」を含むサービスの詳細を取得する)」というQuestionを実行します。
  2. 返されるテーブルで、次の列の結果を確認します。
    • Service Status (サービスステータス): Running (実行中)またはStopped (停止中)
    • Service Startup Mode (サービス起動モード): Manual (手動)またはAutomatic (自動)
  3. 必要に応じて、結果にドリルダウンして、IPsec Policy Agentが実行されていないエンドポイントを特定します。

(Windows XPのみ)隔離ツールをデプロイする

隔離ツールパックには、Microsoft Windows XPを実行しているエンドポイントを隔離するためにIPsec Quarantineが使用するMicrosoftポリシーが含まれています。IPsecポリシーの適用は、Microsoft Windows XP以降のMicrosoft Windowsのネイティブバージョンであり、ツールパックを必要としません。

隔離ツールパックが必要なエンドポイントを見つけるには:

  1. Tanium ConsoleからQuarantineダッシュボードを開きます。
  2. [Needs Quarantine Tools Pack (XP only)(隔離ツールパックが必要(XPのみ)]をクリックし、ツールパックが必要なWindows XPベースのエンドポイントを選択します。
  3. [Deploy Action (アクションのデプロイ)]を選択します。パッケージウィザードが開きます。
  4. [Distribute Quarantine Tools (隔離ツールのディストリビューション)]を選択します。ツールパックが選択されたエンドポイントにデプロイされます。

Linuxエンドポイントの設定

[Apply Linux IPTables Quarantine (Linux IPTables隔離の適用)]パッケージは、[iptables]モジュールの使用をサポートするLinuxベースのオペレーティングシステムを実行しているエンドポイントを隔離します。

エンドポイントがネットワークマネージャを使用していないことを確認する

Linux IPTables Quarantineは、[iptables]モジュールがインストールされており、隔離の対象となるエンドポイント上の[Network Manager (ネットワークマネージャ)]モジュールを無効にします。

ネットワークマネージャを実行しているLinuxベースのエンドポイントをチェックするには、[Linux Network Manager (Linux ネットワークマネージャ)]センサーを使用してネットワークマネージャが有効になっているか確認します。Interactで、「network manager (ネットワークマネージャ)」と入力してそのセンサーを見つけます。このセンサーにはパラメータはありません。

Macエンドポイントを設定する

[Apply Mac PF Quarantine (Mac PF Quarantineを適用)]パッケージは、パケットフィルタ(PF)ルールの使用をサポートするMac OS Xオペレーティングシステムを実行しているエンドポイントを隔離します。このパッケージは、ネットワークリソースとの通信を排除してエンドポイントを分離するパケットフィルタルールを作成します。隔離の対象となるエンドポイントにパケットフィルタ(PF)ソフトウェアをインストールする必要があります。

ラボエンドポイントで隔離をテストする

ラボエンドポイントの隔離はデフォルトでTanium Serverを除くすべての通信をブロックします。許可されるトラフィック方向、許可されるIPアドレス、ポート、およびプロトコルを定義するカスタムルールを設定できます。カスタムルールを作成してデプロイする方法の詳細については、カスタム隔離ルールを作成する を参照してください。

ラボのルール設定をテストせずに隔離しないでください。

  1. 隔離の対象となるコンピュータ。
    1. Tanium Consoleで、[Is Windows (Windows)][Is Linux (Linux)]、または[Is Mac (Mac)]センサーを使用して隔離するエンドポイントを特定します。
    2. [True (真)]のエントリを選択し、[Drill Down (ドリルダウン)]をクリックします。

    3. 保存されたQuestionページで、[Computer Name (コンピュータ名)]を選択し、[Load (読み込み)]をクリックします。

      [Computer Names (コンピュータ名)]リストには、選択したOSを実行しているすべてのコンピュータの名前が表示されます。

    4. ラボエンドポイントを対象として選択し、[Deploy Action (アクションのデプロイ)]をクリックします。

  2. [Deployment Package (デプロイパッケージ)]フィールドに、デプロイする隔離パッケージの名前を入力します。 
    • Apply Windows IPsec Quarantine (Windows用IPsec Quarantineを適用する)
    • Apply Linux IPsec Quarantine (Linux用IPsec Quarantineを適用する)
    • Apply Mac PFQuarantine (Mac PF用Quarantineを適用する)

  3. (オプション)隔離ルールとオプションを定義します。
    隔離ルールの詳細については、カスタム隔離ルールを作成する を参照してください。
    • デプロイするパッケージに既にtaniumquarantine.datファイル添付している場合は、他の設定を行う必要はありません。
    • それ以外の場合は、[Override Config (設定を上書きする)]を選択してアクションにカスタムルールを適用します。
    • このパッケージのデプロイでオプションやルールを使用している場合は、有効にするオプションを選択し、カスタム隔離ルールを[Custom Quarantine Rules (カスタム隔離ルール)]フィールドに入力します。

  4. [Show Preview to Continue (プレビューを表示して続行する)]をクリックして、アクションの対象基準をプレビューします。[Deploy Action (アクションのデプロイ)]をクリックします。
  5. 対象ラボエンドポイントの隔離を確認します。

    コンピュータにTanium Serverおよびカスタム隔離ルールで設定したエンドポイント以外のリソースとの通信手段がないことを確認します。

    RDP (Windows)、SSH (Linux/Mac)、Pingネットワークユーティリティ、または同様の方法で通信がブロックされていることを確認することができます。隔離が許可する唯一のトラフィックはデフォルトで、隔離されたコンピュータ上のTanium Clientとポート17472を介したTanium Server間のみです。コンピュータが接続でサーバ名を指定できる必要があるサーバの場合は、それらの接続が通過できることを確認します。

  6. 隔離されたコンピュータのTanium Serverへの可視性を確認します。
    1. ラボコンピュータをQuestionまたはセンサーの対象とします。
    2. 隔離されたコンピュータの可視性について、センサーの結果を確認します。
    3. Quarantineダッシュボードで、[Isolated Machines (隔離されたコンピュータ)]をクリックします。1台のコンピュータが[Yes (はい)]付きで[Quarantine: Isolated Machines (Quarantine:隔離されたコンピュータ)]ページに表示されます。

アクションフォルダは、エンドポイントのTanium Clientインストールフォルダの下で通常<Tanium Client>\Downloads\Action_XXXX.logにあります。

隔離を解除する

[Remove Windows IPsec Quarantine (Windows IPsec Quarantineを解除)][Remove Mac PF Quarantine (Mac PF Quarantineを解除)]、または[Remove Linux IPTables Quarantine (Linux IPTables Quarantineを解除)]パッケージをエンドポイントにデプロイして、そのコンピュータの隔離を解除します。RDP (Windows)、SSH (Mac/Linux)、Pingユーティリティ、または隔離の解除とテストコンピュータの通常の通信を確認するための別の方法を使用します。

カスタム隔離ルールを作成する

隔離ルールとオプションで許可されるトラフィック方向、許可されるIPアドレス、ポート、およびプロトコルを定義できます。他のすべてのトラフィックはブロックされます。これらのルールは、Windows、Linux、Macで同じ形式です。カスタム隔離ルールの構文については、参照: カスタムルールとオプションを参照してください。

隔離ルールを定義しないと、デフォルト値が使用されます。隔離されたエンドポイントはTanium Serverのみにアクセスでき、DNS/DHCPトラフィックは許可されます。

旧バージョンのQuarantineでWindows IPsecポリシーファイルを提供していた場合、IPsecポリシーはカスタム隔離ルールを上書きします。

ポリシーをデプロイする前に、ラボ環境で隔離ポリシーをテストします。行動が知られており予測可能になるまでポリシーを適用しないでください。ポリシーが正しく設定されていないと、Tanium Serverへのアクセスがブロックされる可能性があります。

カスタム隔離のルールとオプションをデプロイするためのオプション

構成ファイルをパッケージに添付するか、隔離アクションをデプロイするときにTanium Consoleでオプションを選択することで、隔離ルールとオプションを定義できます。

構成ファイルをパッケージに添付

新しいパッケージまたは既存の隔離パッケージに対する隔離ルールとオプションを定義するtaniumquarantine.dat構成ファイルを添付できます。その後、そのパッケージをエンドポイントにプッシュします。taniumquarantine.datサンプルファイルについては、参照: カスタムルールの例を参照してください。

  1. メインメニューから、[Authoring (作成)] > [Packages (パッケージ)]に移動します。
  2. 新しいパッケージを作成するか、既存の隔離パッケージのいずれかを編集することができます。 
    • Apply Windows IPsec Quarantine (Windows用IPsec Quarantineを適用する)
    • Apply Mac PF Quarantine (Mac PF用Quarantineを適用する)
    • Apply Linux IPTables Quarantine (Linux用IPTables Quarantineを適用する)

  3. taniumquarantine.datファイルを更新します。
    1. 現在のファイルをダウンロードするには、[Download (ダウンロード)]をクリックします。
    2. 現在パッケージに入っているファイルを削除します。
    3. [Add (追加)]をクリックして更新したtaniumquarantine.datファイルをアップロードします。
  4. [Save (保存)]をクリックして、パッケージに更新を保存します。

Quarantineアクションをデプロイするときにユーザーインターフェイスでオプションを選択します。

[Apply Windows IPsec Quarantine (Windows用IPsec Quarantineを適用する)][Apply Mac PF Quarantine (Mac PF用Quarantineを適用する)]、または[Apply Linux IPTables Quarantine (Linux用IPTables Quarantineを適用する)]アクションでは、そのアクションの一部として隔離ルールとオプションを定義できます。詳細については、ラボエンドポイントで隔離をテストするを参照してください。

参照: カスタムルールとオプション

カスタムルールの形式

カスタムルールの形式では、大文字と小文字は区別されません。ルールをパイプ(|)で区切ることも、各ルールを新しい行に置くこともできます。後続の空白はサポートされていません。この形式は、構成ファイルとユーザーインターフェイスの両方で使用されます。

Direction:Protocol:IPAddress:CIDR:Port
#Comment

方向

有効値: INまたはOUT
着信と発信のどちらのトラフィックを許可するかを指定します。

Protocol

有効値: ICMPTCPUDP
ICMPを指定すると、ICMPプロトコルは指定されたアドレスとの通信が許可されます。この制限は、IPSecがICMPタイプ/コードをフィルタしないためです。フィルタはADVFirewallによって行われます。

IPAddress

任意のIPv4アドレスを指定するか、「ANY (すべて)」を使用できます。

CIDR

有効値: 0~32または未定義
ドット付き10進表記のサブネットマスクは、入力ファイルでは許可されていません。未定義(ブランク)は32と同じで、IPアドレスのみを使用します。

ポート

有効値: 0~65535または未定義
すべてのポートを許可するには、未定義(ブランク)のままにします。範囲は現在サポートされていません。個々のポートまたはすべてのポートのみを定義できます。

パッケージ内のカスタム隔離ルールパラメータを使用する場合、合計文字数は1100以下にする必要があります。これ以上の文字数が必要な場合は、カスタムDATファイルを使用できます。

隔離オプション

エンドポイントを隔離するときに、構成ファイルまたはデプロイアクションのユーザーインターフェイスで隔離オプションを設定できます。

構成ファイルの形式

OPTION:OptionName:OptionValue

Options

オプション名(Tanium Consoleの[Deploy Action (デプロイアクション)]画面)  オプション名(構成ファイル) 説明
すべてのDHCPを許可する AllDHCP trueに設定すると、任意のサーバへのDHCPトラフィックを許可します。
デフォルト: true
すべてのDNSを許可する AllDNS trueに設定すると、任意の宛先へのDNSトラフィックを許可します。
デフォルト: true
N/A CurrentDNS
  • trueに設定すると、現在のDNSだけにDNSトラフィックを許可します。
    デフォルト:false
  • すべてのTanium Serverを許可する Tanium Servers trueに設定すると、Tanium ClientのServerListまたはServerの設定で定義されているTanium ServerへのTaniumトラフィックを許可します。
    デフォルト: true
    代替Tanium Serverを許可する ALTTS 代替Tanium Server名またはその他のIPアドレスを指定します。たとえば、隔離中にDNSを使用しないようにする場合は、このオプションを使用します。隔離を解除すると、元のTanium Serverが復元されます。
    コンマで区切るか、代替を使用しない場合は空白のままにします。
    Tanium Serverの
    可用性を確認する
    CheckTS trueに設定すると、Tanium Server上でTaniumポートに到達できることを確認します。この確認に失敗した場合は、ルールを取り消してください。
    デフォルト: true
    VPNサーバ VPNSERVERS

    VPNサーバを指定して、カンマ区切りリストのルールを自動的に作成します。サーバを追加すると、次のように各ホストのルールが作成されます。IP:50/51、UDP:500、4500 TCP/UDP:443
    デフォルト:NO VPNServers

    通知メッセージ Notify システムが隔離されていることをユーザーに通知する文字列メッセージを指定します。
    メッセージの制限は255文字です。($)、(!)、(`)、(')、(*)など一部の文字は使用できず、(\")など一部の文字はエスケープする必要があります。特殊文字は、本番で使用する前にテクニカルアカウントマネージャと協力してテストしてください。
    デフォルト: No notification

    参照: カスタムルールの例

    [Custom Quarantine Rules (カスタム隔離ルール)]フィールドの例

    IN:UDP:10.0.0.21:32:161|OUT:UDP:10.0.0.21:32:162

    この例では、2つのルールを定義します:

    • 10.0.0.21にある別のデバイスからのSNMPクエリ(UDPポート161)を許可します。
    • SNMPトラップ(UDPポート162)を10.0.0.21にあるデバイスに送信できるようにします。
    • この例では、taniumquarantine.datファイルではなく、パッケージ内のパラメータオプションの使用方法を示します。

    taniumquarantine.datサンプルファイル

    DATファイルの場合、各エントリは1行でなければなりません。パイプ(|)文字を使用して行を結合することはできません。後続の空白はサポートされていません。

    #Allow ICMP out to a specific IP Address
    OUT:ICMP:192.168.10.15::0
    #Allow ICMP in from a specific IP Address
    IN:ICMP:192.168.20.10:32:0
    #Allow TCP port 80 in from a class C subnet
    IN:TCP:192.168.1.0:24:80
    #Allow UDP port 161 in from a specific IP
    IN:UDP:10.0.0.21:16:161
    #Allow HTTPS (tcp 443) out to a specific class B subnet
    OUT:TCP:192.168.0.0:16:443
    OPTION:ALLDNS:TRUE
    OPTION:CURRENTDNS:FALSE
    OPTION:ALLDHCP:TRUE
    OPTION:TANIUMSERVERS:TRUE
    OPTION:CHECKTS:TRUE
    OPTION:NOTIFY:This Device has been Quarantined

    最終更新:2019/04/2917:22| フィードバック

    Powered by Translations.com GlobalLink OneLink Software