Client Recorder Extensionの概要

Client Recorder Extensionは、Tanium Integrity Monitor、Tanium Map、Tanium Threat Response、およびTanium Traceソリューションモジュールに共通する機能です。これは重要なフォレンジックエビデンスを継続的に各エンドポイントに保存します。Client Recorder Extensionは、エンドポイントカーネルとその他の下位レベルのサブシステムを監視し、さまざまなイベントを捕捉します。

従来のディスクやメモリのフォレンジック技術では、エンドポイントのアクティビティの断片を正常に再構築できますが、これは基盤となるオペレーティングシステムがネイティブに保持するエビデンスに限定されます。対象期間からのこのタイプのエビデンスは、時間の経過とともに急速に劣化する可能性があります。対照的に、Client Recorder Extensionは、完全で解釈しやすいイベント履歴を保持するので、最新のシステムイベントを再現することができます。

アイドル状態のシステムでも、迅速にデータを蓄積します。Client Recorder Extensionは、ローカルデータベース内のイベントデータを格納します。デフォルトの構成では、履歴データを数か月間まで保持できます。Client Recorder Extensionが消費するローカルストレージの容量をカスタマイズし、記録されたエビデンスのタイプをフィルタリングすることができます。

記録されたイベントのタイプ

Client Recorder Extensionは、追加のコンテキストとメタデータを含む、広い範囲のイベントを捕捉します。記録されたイベントの例:

  • プロセス実行
  • ファイルシステムアクティビティ
  • レジストリ変更
  • ネットワーク接続
  • ドライバおよびライブラリの読み込み
  • ユーザー認証
エンドポイントのオペレーティングシステムに適用されるかどうかにかかわらず、どのプロセス、レジストリ、ネットワーク、ファイル、セキュリティイベントを記録するか指定できます。

データべースをより有用にするため、また、より長い期間データを保持するため、発生回数の多いイベントなどを除外することを検討してください。たとえばLanguageListレジストリ値はWindowsエンドポイント上の冗長なイベントです。

選択したレジストリイベント、ネットワークイベント、ファイルイベント、セキュリティイベント、またはDNSイベントにイベントレコーディングを制限するフィルタを構成できます。

レジストリ

[Windows のみ]レジストリキーと値の作成や変更など、レジストリの変更。関連するプロセスとユーザーコンテキストが含まれます。

ネットワーク

関連するプロセスとユーザーコンテキストを含む、インターネットロケーションへのHTTP要求などのネットワーク接続イベント。すべてのインバウンドとアウトバウンドのTCP接続のイベントが記録されます。

ファイル

エンドポイントのディレクトリに書き込まれたファイルなど、ファイルシステムイベント。関連するプロセスとユーザーコンテキストが含まれます。例:Windows Updateが使用する場所にコピーされたマルウェアファイル、またはファイルに対するコンテンツの変更。

セキュリティ

[Windows と Linux のみ]セキュリティイベントには、認証、特権エスカレーションなどがあります。このイベントタイプには、ログオンイベントが含まれます。

DNS

[Windows 8.1 以降]プロセスパス、ユーザー、クエリ、応答、および操作の種類を含む要求情報。

WindowsでのClient Recorder Extensionデータのソース

Client Recorder Extensionは、複数のソースから、エンドポイントの1つのローカルデータベースにデータを収集します。カーネルイベントはWindowsツールから収集されます。Windowsエンドポイントでは、オプションのMicrosoft Sysmonを設定することで、実行されたプロセスに関する追加情報が提供されます。

Client Recorder Extensionの一部の機能には、特定のバージョンのWindowsが必要です。

T: 表1: Client Recorder Extensionの機能 - Windows
機能 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2以降 Windows 7 Windows 8 Windows 8.1以降
DNS
イベント
利用不可 利用不可 利用可能 利用不可 利用不可 利用可能
プロセスハッシュとコマンドライン情報 TaniumドライバまたはSysmonが必要 Taniumドライバを推奨 Taniumドライバを推奨 TaniumドライバまたはSysmonが必要 Taniumドライバを推奨 Taniumドライバを推奨
ドライバ読み込み 利用可能* 利用可能 利用可能 利用可能* 利用可能 利用可能

* Sysmonが設定されている場合、Sysmonによって記録されたドライバの読み込み情報が使用されます。

LinuxでのClient Recorder Extensionデータのソース

Linux向けClient Recorder Extensionは、Linux監査サブシステムを使用してイベントを収集します。Linux向けClient Recorder Extensionは、イベントコレクションに次のコンポーネントを使用します。

カーネルドライバ(kaudit)

このプロセスは、カーネル監査イベントに責任を負うLinuxカーネルの一部であり、監査済みイベントをuauditdプロセスに転送します。監査済みイベントは、ルールファイルが定義します。このルールファイルは、audit.rulesと呼ばれ、/etc/audit/audit.rulesにあります。kauditdプロセスに読み込むことができる追加のルールファイル、およびaudit.rulesファイルは/etc/audit/rules.d/にあります。

監査デーモン(auditd)

このプロセスは、ネットリンクソケットを介してカーネルに通信します。ほとんどのLinuxバージョンでは、これは単一リスナーに限定されます。このプロセスは、監査ログファイルに書き込むか、イベントをaudispdプロセスに転送します。

監査ディスパッチャ(audispd)

このプロセスは、シングルリスナーソケットの制限を克服するためのイベントマルチプレクサです。このプロセスは、監査プロセスから監査イベントを消費し、リアルタイムでイベントを分析したい子プラグインにディスパッチします。Client Recorder Extensionは、これらの子プラグインの一例です。これらの子プラグインの構成は、/etc/audisp/plugins.d/でご覧いただけます。

Client Recorder Extension

Client Recorder Extensionは、audispdプロセスから監査済みイベントを収集するaudispdプラグインとして機能し、monitor.dbと名付けられたSQLiteデータベースに書き込まれます。このデータベース内のテーブルは生のイベントを保管する、記録されたデータテーブルからデータのクエリを定義する仮想テーブルで、データ収集を簡素化します。Client Recorder Extensionおよびmonitor.db/opt/Tanium/TaniumClient/Tools/Trace/にあります。

セキュリティとDNSイベントの記録はLinuxでは使用できません。

MacでのClient Recorder Extensionデータのソース

Macエンドポイント上で、レコーダは10.8から最新までのすべてのMacリリースにインストールされているOpenBSM監査システムからデータを収集します。

レコーダは/dev/auditpipeのクローンに接続され、イベントをmonitor.dbに記録します。レコーダがMacエンドポイントにインストールされている場合、/etc/security/audit_classはTanium Recorderのエントリーで更新され、ランタイムで登録済みイベントをマッピングします。それから、レコーダは/dev/auditpipeをコピーし、コピーを構成してtan監査クラスを使用します。レコーダ構成が読み取られると、必要なイベントのタイプが適切なシステムコールに翻訳され、監視されます。これらのコールはtan監査クラスにマッピングされます。これにより、レコーダが監査済みイベントをエンドポイントのaudit.logに書き込むことを防ぎ、レコーダが監視するシステムコールを精選することが可能となります。

レコーダは次のイベントタイプをmonitor.dbに書き込みます。

プロセスイベント

プロセスのコマンドライン

プロセスハッシュ

ネットワークイベント

ファイルイベント

セキュリティとDNSイベントの記録はMacでは利用できません。

最終更新:2020/04/0120:29| フィードバック

Powered by Translations.com GlobalLink OneLink Software