「Tanium Cloud」の機能を1つずつ勉強していきます。
1.Discoverモジュールのポイント
・非管理端末の検出、一覧化
公式マニュアル。
Find, report on, and take action against unmanaged endpoints.
2.何が嬉しいか?
2-1.前提
組織として会社のネットワーク上に接続されるデバイスに対し、Taniumを使って全体管理をするという目的がある。
2-2.嬉しいこと
会社のネットワーク上に接続されるデバイスに対し、TaniumClientが入っているかをリスト化してくれる。
→Tanium Clientが入っていない端末に対しては、(当然ながら)状態の可視化、パッチ適用などができない。
これがセキュリティリスクの温存になる。
3.アーキテクチャ
3-1.確認単位
MACアドレス(オフィスのプリンタなども抽出される可能性がある。スキャンを絞らないとカフェや自宅のネットワークもスキャンされるので、事前のスキャン設定が重要。)
3-2.スキャン
| レベル | 手法 | ポイント |
|---|---|---|
| 1 | ARP キャッシュおよびインターフェース接続 | パッシブ検出方式。各エンドポイントのローカルARP キャッシュから結果が返されるため、エンドポイントはスキャンされない。 |
| 2 | ping | ICMPを出して応答を取得。 ホスト名,MACアドレスと製造元,OSプラットフォームを確認。 |
| 3 | Nmap スキャンとホスト検出) | ARPリクエストを出して応答を取得。 NpcapがインストールされていないエンドポイントにNpcapをインストール Nmapは、一連のTCPやUDPのパケットをリモートホストに送り、応答内容を解析する。 ARP ブロードキャストが実行されるため、スキャンの開始時にネットワーク アクティビティが急増することがある。 |
| 4 | ホスト検出と OS フィンガープリントを使用した Nmap スキャンqVBz | NMAPスキャンを実施して応答を取得。 OS フィンガープリントも含まれる |
NMAPについて
https://nmap.org/man/ja/man-os-detection.html
4.運用例
下記を定期的に実施する(棚卸しのイメージ)。
| STEP | 項目 | ポイント |
|---|---|---|
| 1 | 状態可視化 | Locationカラムなどを手掛かりに拠点を識別した上で、Tanium Clientの入っていないデバイスを確認 |
| 2 | 精査 | ①インストール不可かどうかを確認。不可のデバイス(MACアドレス単位)に対して、ラベルを付ける。 |
| 3 | 是正 | インストール可能な端末に対し、Tanium Clientインストールを行う。 |