Client Recorder Extensionの概要
Client Recorder Extensionは、Tanium Integrity Monitor、Tanium Map、Tanium Threat Response、およびTanium Traceソリューションモジュールに共通する機能です。これは重要なフォレンジックエビデンスを継続的に各エンドポイントに保存します。Client Recorder Extensionは、エンドポイントカーネルとその他の下位レベルのサブシステムを監視し、さまざまなイベントを捕捉します。
従来のディスクやメモリのフォレンジック技術では、エンドポイントのアクティビティの断片を正常に再構築できますが、これは基盤となるオペレーティングシステムがネイティブに保持するエビデンスに限定されます。対象期間からのこのタイプのエビデンスは、時間の経過とともに急速に劣化する可能性があります。対照的に、Client Recorder Extensionは、完全で解釈しやすいイベント履歴を保持するので、最新のシステムイベントを再現することができます。
アイドル状態のシステムでも、迅速にデータを蓄積します。Client Recorder Extensionは、ローカルデータベース内のイベントデータを格納します。デフォルトの構成では、履歴データを数か月間まで保持できます。Client Recorder Extensionが消費するローカルストレージの容量をカスタマイズし、記録されたエビデンスのタイプをフィルタリングすることができます。
記録されたイベントのタイプ
Client Recorder Extensionは、追加のコンテキストとメタデータを含む、広い範囲のイベントを捕捉します。記録されたイベントの例:
- プロセス実行
- ファイルシステムアクティビティ
- レジストリ変更
- ネットワーク接続
- ドライバおよびライブラリの読み込み
- ユーザー認証
データべースをより有用にするため、また、より長い期間データを保持するため、発生回数の多いイベントなどを除外することを検討してください。たとえばLanguageListレジストリ値はWindowsエンドポイント上の冗長なイベントです。
選択したレジストリイベント、ネットワークイベント、ファイルイベント、セキュリティイベント、またはDNSイベントにイベントレコーディングを制限するフィルタを構成できます。
レジストリ
[Windows のみ]レジストリキーと値の作成や変更など、レジストリの変更。関連するプロセスとユーザーコンテキストが含まれます。
ネットワーク
関連するプロセスとユーザーコンテキストを含む、インターネットロケーションへのHTTP要求などのネットワーク接続イベント。すべてのインバウンドとアウトバウンドのTCP接続のイベントが記録されます。
ファイル
エンドポイントのディレクトリに書き込まれたファイルなど、ファイルシステムイベント。関連するプロセスとユーザーコンテキストが含まれます。例:Windows Updateが使用する場所にコピーされたマルウェアファイル、またはファイルに対するコンテンツの変更。
セキュリティ
[Windows と Linux のみ]セキュリティイベントには、認証、特権エスカレーションなどがあります。このイベントタイプには、ログオンイベントが含まれます。
DNS
[Windows 8.1 以降]プロセスパス、ユーザー、クエリ、応答、および操作の種類を含む要求情報。
WindowsでのClient Recorder Extensionデータのソース
Client Recorder Extensionは、複数のソースから、エンドポイントの1つのローカルデータベースにデータを収集します。カーネルイベントはWindowsツールから収集されます。Windowsエンドポイントでは、オプションのMicrosoft Sysmonを設定することで、実行されたプロセスに関する追加情報が提供されます。
Client Recorder Extensionの一部の機能には、特定のバージョンのWindowsが必要です。
* Sysmonが設定されている場合、Sysmonによって記録されたドライバの読み込み情報が使用されます。
LinuxでのClient Recorder Extensionデータのソース
Linux向けClient Recorder Extensionは、Linux監査サブシステムを使用してイベントを収集します。Linux向けClient Recorder Extensionは、イベントコレクションに次のコンポーネントを使用します。
カーネルドライバ(kaudit)
このプロセスは、カーネル監査イベントに責任を負うLinuxカーネルの一部であり、監査済みイベントをuauditdプロセスに転送します。監査済みイベントは、ルールファイルが定義します。このルールファイルは、audit.rulesと呼ばれ、/etc/audit/audit.rulesにあります。kauditdプロセスに読み込むことができる追加のルールファイル、およびaudit.rulesファイルは/etc/audit/rules.d/にあります。
監査デーモン(auditd)
このプロセスは、ネットリンクソケットを介してカーネルに通信します。ほとんどのLinuxバージョンでは、これは単一リスナーに限定されます。このプロセスは、監査ログファイルに書き込むか、イベントをaudispdプロセスに転送します。
監査ディスパッチャ(audispd)
このプロセスは、シングルリスナーソケットの制限を克服するためのイベントマルチプレクサです。このプロセスは、監査プロセスから監査イベントを消費し、リアルタイムでイベントを分析したい子プラグインにディスパッチします。Client Recorder Extensionは、これらの子プラグインの一例です。これらの子プラグインの構成は、/etc/audisp/plugins.d/でご覧いただけます。
Client Recorder Extension
Client Recorder Extensionは、audispdプロセスから監査済みイベントを収集するaudispdプラグインとして機能し、monitor.dbと名付けられたSQLiteデータベースに書き込まれます。このデータベース内のテーブルは生のイベントを保管する、記録されたデータテーブルからデータのクエリを定義する仮想テーブルで、データ収集を簡素化します。Client Recorder Extensionおよびmonitor.dbは/opt/Tanium/TaniumClient/Tools/Trace/にあります。
セキュリティとDNSイベントの記録はLinuxでは使用できません。
MacでのClient Recorder Extensionデータのソース
Macエンドポイント上で、レコーダは10.8から最新までのすべてのMacリリースにインストールされているOpenBSM監査システムからデータを収集します。
レコーダは/dev/auditpipeのクローンに接続され、イベントをmonitor.dbに記録します。レコーダがMacエンドポイントにインストールされている場合、/etc/security/audit_classはTanium Recorderのエントリーで更新され、ランタイムで登録済みイベントをマッピングします。それから、レコーダは/dev/auditpipeをコピーし、コピーを構成してtan監査クラスを使用します。レコーダ構成が読み取られると、必要なイベントのタイプが適切なシステムコールに翻訳され、監視されます。これらのコールはtan監査クラスにマッピングされます。これにより、レコーダが監査済みイベントをエンドポイントのaudit.logに書き込むことを防ぎ、レコーダが監視するシステムコールを精選することが可能となります。
レコーダは次のイベントタイプをmonitor.dbに書き込みます。
プロセスイベント
プロセスのコマンドライン
プロセスハッシュ
ネットワークイベント
ファイルイベント
セキュリティとDNSイベントの記録はMacでは利用できません。
この文書には、第三者が提供するコンテンツや製品(ハードウェアおよびソフトウェアを含む)、サービス(「第三者のアイテム」)に対するアクセス手段や、第三者のそうした情報そのものが含まれていることがあります。 Tanium Inc.およびその関連会社は、(i)それらの第三者のアイテムに対して責任を負うものではなく、第三者のアイテムに関するすべての保証および責任を明示的に放棄し、(ii)お客様とTaniumとの間の有効な契約に明記されているのでない限り、かかる第三者のアイテムへのアクセスや、利用に起因する損失、費用または損害について責任を負いません。
また、この文書は、特定の第三者のアイテムの使用やTanium製品との組み合わせを求めるものでも、想定するものでもありません。そのような組み合わせによって生じた知的財産権の侵害について、Taniumおよびその関連会社は一切責任を負いません。第三者のアイテムとTanium製品の組み合わせが適切であるかどうか、また第三者の知的財産権を侵害しないかどうかの判定の責任はTaniumではなくお客様にあります。
最終更新:2020/04/0120:29| フィードバック
