IRセンサーとパッケージの使用

IRセンサーを使用すると、インシデントへの迅速な対応とスコープが可能です。IRでは、計算集約型のハッシュアルゴリズムと頻繁なファイルシステムスキャンが必要な場合があります。このため、赤外線センサーは狭い範囲で書き込まれ、処理が最小限に抑えられ、必要な情報が数秒で取得されます。再帰的な検索操作はほとんどなく、ほとんどのセンサーは1つのファイルに対して16進検索またはハッシュ一致を実行し、単一のディレクトリを対象とします。この戦略は、企業規模で重要な情報を迅速に提供するために、Taniumの一次チェーントポロジを活用しています。

パラメータ化されたセンサーをアクションとしてデプロイすることについて

ファイルをハッシュしバイナリ検索を実行するセンサーなど、セキュリティ企業全体で広範な計算のリソースを必要とするセンサーは、アクションとしてデプロイされます。パラメータ化されたセンサーをアクションとしてデプロイすると、次のような大型タスクの速度が向上します。

  • ディレクトリ間でバイナリデータを検索する
  • 多数のディレクトリにまたがるファイルのハッシュ値のマッチング
  • 実行可能ファイルと読み込まれたモジュールのハッシュとマッチング

アクションは一度に1つずつ処理されません。短いアクションは長いアクションと同時に実行されます。厳密にキューに入れられていないため、長いアクションの実行によって、短いアクションが遅れることはありません。

アクションはタイムアウトしません。アクションの処理時間はタスクの性質に依存するため、ジョブの開始時にアクションが完了したとみなされます。しかし、結果がすぐに利用できるとは限りません。

アクションをデプロイするとき、IRジョブIDを指定する必要があります。その後、ジョブIDをパラメータとして指定することにより、[Incident Response Job Results (IRジョブの結果)]センサーを使用してWindowsベースのエンドポイントからの結果ファイルを表示できます。プラットフォーム固有の収集アクションの1つを使用して、ジョブ結果ファイルを検索して中央場所にコピーできます。

T: 表1: IRコンテンツの使用例
タスク Question パッケージ/センサー
ハッシュを持つすべてのエンドポイント上で実行中のすべてのプロセスのリストを取得する Get Running Processes with Hash from all machines (すべてのコンピュータからハッシュを使用して実行中のプロセスを取得する) センサー: 
Running Processes with Hash (ハッシュを持つ実行中のプロセス)
特定のMD5ハッシュに一致する現在実行中のプロセスを取得する Get MD5 Hash Match Files Executing from all machines (すべてのコンピュータからMD5ハッシュ一致ファイルを取得する) パッケージ:
Incident Response - MD5 Hash Match Files Executing (MD5ハッシュ一致ファイル実行中)
IRジョブの結果をTanium Consoleに表示する Get Incident Response Job Results from all machines (すべてのコンピュータからのIRジョブ結果の取得) センサー: Incident Response Job Results (Incident Referenceジョブの結果)
WindowsベースエンドポイントのIRジョブ結果を中央場所にコピーする Get Has Incident Response ID Files from all machines (すべてのコンピュータからIR IDファイルを取得する) パッケージ:IR Gatherer - Collect Info to Central Server (情報を中央サーバに収集する)

使用を開始する前に

パラメータ化されたセンサーをアクションとしてデプロイする

  1. 対象にするエンドポイントを指定します。
    1. 一連のエンドポイントを返すように質問します。
    2. エンドポイントを選択して[Deploy Action (アクションをデプロイする)]をクリックします。
  2. パラメータ化されたセンサーを指定します。
    1. パラメータ化されたセンサーの名前を[Deployment Package (デプロイパッケージ)]フィールドに入力します。

      たとえば、次のように入力します:「Incident Response - Search for Files (IR - ファイルの検索)」

    2. センサーのパラメータを指定します。

      [Incident Response - Search for Files (Incident Response - ファイルの検索)] センサーの場合は、一致を見つけるファイルの[Pattern (パターン)][IR Job ID (IR ジョブID)]を指定します。

      [IR JobID (IRジョブID)]の値はユーザーが自由に指定できます。この値を使用して、アクションの結果を取得します。値は一意でなければなりません。2つのアクションが同じジョブIDを共有する場合、それらのアクションによって識別されるファイルは破棄される可能性があります。後でジョブ結果を取得できるように、値を覚えておいてください。

    3. アクションのデプロイを完了します。[Deploy Action (アクションを実行する)]をクリックします。
  3. パラメータ化されたセンサーアクションの結果を取得します。
    1. 次のQuestionを実行します:「Get Incident Response Job Results from all machines (すべてのコンピュータからのIRジョブ結果の取得)」 
    2. [Incident Response Job ID (IRジョブID)]を指定します。

      ジョブIDの値アクションをデプロイしたときに指定したのと同じ値です。 

    3. [Go (移動)]をクリックします。

参照:IRセンサーとパッケージ 

各IRセンサーのパラメータの詳細については、Taniumサポートナレッジベース:Tanium IRリファレンスを参照してください(ログインが必要です)。  

最終更新:2019/04/2917:22| フィードバック

Powered by Translations.com GlobalLink OneLink Software