コンテンツファイルの認証

Tanium as a Service (TaaS)は、必要なコンテンツを自動的にインポートします。TaaS展開環境でカスタムコンテンツをインポートすることはできません。

コンテンツのインポートとエクスポートの概要

Tanium Consoleでは、コンテンツのエクスポートおよびインポートができます。この機能は、Tanium Server間でコンテンツをコピーしたい場合に有用です。JSONまたはXMLのどちらの形式のコンテンツファイルもエクスポートおよびインポートできます。ベストプラクティスは、JSON形式を利用することです。

Tanium展開環境の本番サーバにコンテンツを配布する前にラボ環境でカスタムコンテンツを開発し、テストしてください。

実働ライセンスを持つTanium展開の場合、インポートするコンテンツにはデフォルトでデジタル署名が必要です。署名の検証により、展開において不正なファイルがインポートされないようにします。秘密鍵を使用して署名を作成します。Tanium Serverは、関連する公開鍵を使用し、インポート処理中に署名を検証します。信頼済み署名者の公開鍵は、Tanium Serverで管理されます。Tanium Serverキーストアの公開鍵が署名を検証できない場合、サーバはコンテンツをインポートせず、Tanium Consoleに失敗メッセージが表示されます。

図1:署名検証エラー

ラボライセンスを持つTanium展開の場合、Tanium Consoleは、インポートを選択したファイルが署名されていなければ通知し、続行するか否かを選択できるようにします。ただし、ベストプラクティスは、どの展開においても署名されていないファイルをインポートしないことです。

TaniumソリューションまたはTaniumコンテンツパックのコンポーネントとしてインポートするコンテンツのキーまたは署名を生成する必要はありません(Taniumソリューションの管理を参照)。Taniumはこのコンテンツに署名してからそれを利用可能にし、関連する公開鍵はサーバのインストールプロセス中にTanium Serverキーストアへ配布されます。その他のすべてのコンテンツについては、署名する公開鍵/秘密鍵ペアを手動で生成し、インポートするコンテンツファイルを検証しなければなりません。

管理者予約済みロールを持つユーザはすべてのコンテンツタイプをエクスポートおよびインポートできます。Import Signed Content (署名付きコンテンツのインポート)アクセス権限が有効なmicro adminロールを持つユーザは、コンテンツファイルが署名入りで、そのコンテンツの種類に対する読み取り権限がある場合にのみコンテンツをインポートできます。他のユーザの場合、エクスポートとインポートの可否はコンテンツタイプとロール割り当てによって異なります。詳しくはコンテンツ管理のアクセス権限を参照してください。

コンテンツをインポートする前に1回限りのタスクとして公開鍵/秘密鍵ペアを生成し、公開鍵をTanium Serverキーストアにコピーしなければなりません。その後、インポートする個々の新しいコンテンツファイルに署名するには秘密鍵を使用しなければなりません。署名付きコンテンツファイルのインポートとコンテンツのエクスポート手順については、「共有サービスとコンテンツを管理する」を参照してください。

コンテンツの認証キーを作成する

Tanium Serverでは、コンテンツファイルの署名および検証のための暗号化キーペアを生成するためのKeyUtilityコマンドラインプログラムを提供しています。KeyUtilityとその関連ファイルは、Tanium Serverのインストールフォルダの最上位(例: \Program Files\Tanium\Tanium Server)にあります。KeyUtilityプログラムは、インストールフォルダから実行することも、任意のWindowsシステムの作業フォルダにファイルをコピーして、その作業フォルダから実行することもできます。

  1. (任意) 作業フォルダからKeyUtilityを実行するには、フォルダを次のようにセットアップします。
    1. Tanium Serverインストールフォルダから(Windows展開環境の場合)、またはTanium Support提供のKeyUtility.zipファイルを展開した場所から次のファイルをコピーします。
      • KeyUtility.exe
      • libeay32.dll
      • ssleay32.dll
    2. これらのファイルを作業フォルダに貼り付けます。
  2. Windowsのコマンドプロンプト(cmd.exe)を開き、KeyUtilityファイルが存在するフォルダから次のコマンドを実行します。<file name>引数にはキーファイル名を定義しますが、サフィックスを指定する必要はありません。KeyUtilityは、公開キーのサフィックス.pubと秘密キーのサフィックス.pvkを自動的に付加します。

    KeyUtility.exe makekeys <file name>

以下は、このコマンドおよび作業フォルダに生成されるコンテンツの例です。

D:\Tanium\Working>KeyUtility.exe makekeys TaniumLab

D:\Tanium\Working>dir
			
Directory of D:\Tanium\Working
			
09/05/2018 08:05 PM <DIR> .
09/05/2018 08:05 PM <DIR> ..
08/17/2018 03:04 AM 4,254,704 KeyUtility.exe
03/27/2018 07:03 PM 2,632,192 libeay32.dll
03/27/2018 07:03 PM 457,728 ssleay32.dll
09/05/2018 08:05 PM 158 TaniumLab.pub
09/05/2018 08:05 PM 241 TaniumLab.pvk
5 File(s) 7,345,023 bytes
2 Dir(s) 41,049,174,016 bytes free	

コンテンツファイルに署名する

コンテンツファイルの認証用の公開キー/秘密キーペアを作成したら、秘密キーを使用してファイルに署名します。

  1. コンテンツファイルを、KeyUtilityとコンテンツ署名キーファイルが存在するフォルダからアクセスできる場所にコピーします。

    このフォルダは、Tanium Serverのインストールフォルダ(例: \Program Files\Tanium\Tanium Server)またはセットアップした作業フォルダのいずれかです。「コンテンツの認証キーを作成する」を参照してください。

  2. Windowsのコマンドプロンプト(cmd.exe)を開き、KeyUtilityとキーファイルが存在するフォルダに移動します。
  3. コンテンツファイルに署名します。

    KeyUtility.exe signcontent <private_key> <content_file>

    以下はコマンドの一例です。

    KeyUtility.exe signcontent import.pvk "Example Multicolumn Sensor Windows Registry.json"

  4. テキストエディタでコンテンツファイルを開き、最後に次のような署名があることを確認します。

    <!--hash=2a8bc7529c9fcdad037982bcbfc12306aa88ac8b9d95d02248ec369008188b7c0e356ad1811609c7 54eb01dc97c09b9f2acb10331e2d9dbf77d309124c61950a;signature=01AF3D547A97CCBD62A022F398 586DEAD4E29A30C29406283DA2E8F1E9FCF176194D66D4D9602538102F8F2FBBCFBC7AF370DB44E839C04 7253A246447E9A146706F00E94CD26D2CF29D8916E6EE0F21C77F0E13A6769905E5DDC09458912A94BB74 C1311C9B26301DB8D8C73AC043EBC6A5A836FB6815011F1ACB37E0248A30F100B631-->

公開鍵をキーストアにコピーする

コンテンツファイルをインポートするには、Tanium Serverのキーフォルダ(例: \Tanium\Tanium Server\content_public_keys\content)に、サーバがそのファイルの署名の検証に使用する公開キーのコピーが存在する必要があります。キー生成コマンドを実行したフォルダから公開鍵をコピーします。このフォルダは、Tanium Serverのインストールフォルダ(例: \Program Files\Tanium\Tanium Server)またはセットアップした作業フォルダのいずれかです。「コンテンツの認証キーを作成する」を参照してください。

Tanium ApplianceのTanium Serverにコンテンツ署名キーを追加する方法についてはTanium Applianceインストールガイド:ユーザが作成したコンテンツのインポートを有効化するを参照してください。