Guide de déploiement de Tanium Client : Configuration du peering des Tanium Clients

Vue d’ensemble des paramètres de peering de Tanium Client

Les paramètres de peering définissent les limites de sous-réseau des chaînes linéaires dans lesquelles les Tanium Clients forment des relations entre peers. Les paramètres de peering sont conçus pour optimiser les ressources réseau nécessaires à la gestion des endpoints en s’assurant que la plupart des transmissions de données sont distribuées entre les liaisons à faible latence et à large bande passante des réseaux locaux (LAN). L’utilisation de liaisons LAN principalement réduit considérablement l’utilisation des ressources sur le réseau étendu (WAN).

Pour plus d’informations sur le fonctionnement du peering Tanium Client et les concepts connexes, consultez la section Peering des clients.

Vous pouvez configurer le Tanium Client pour sélectionner périodiquement un nouveau port d’écoute de manière aléatoire, au lieu d’utiliser un port fixe pour les communications des peers. Consultez la section Randomiser les ports d’écoute.

Utilisez les paramètres de peering client par défaut pour optimiser les ressources réseau lorsque tous les endpoints d’un sous-réseau défini par le masque d’adresse /24 par défaut partagent une connexion locale haut débit, ou lorsque vous ne disposez pas de beaucoup d’informations sur le réseau de l’entreprise. Travaillez avec les administrateurs réseau et l’assistance Tanium pour configurer quelques paramètres clés qui optimisent davantage la communication entre peers en fonction des caractéristiques de votre réseau. Par exemple, des paramètres distincts s’appliquent aux clients qui se connectent directement au serveur Tanium plutôt qu’aux clients qui se connectent à un Tanium Zone Server. Concentrez-vous sur les objectifs suivants lors du réglage des paramètres :

  • Peering LAN uniquement : le paramètre de masque d’adresse par défaut est (IPv4) et les paramètres de préfixe d’adresse (IPv6) sont conçus pour empêcher le peering de Tanium Client sur les WAN. Pour plus de détails, reportez-vous à la section Paramètres du masque d’adresse et du préfixe..
  • Sous-réseaux séparés : spécifiez des exceptions plus granulaires aux limites définies par le paramètre de masque d’adresse ou le paramètre de préfixe. Par exemple, dans un sous-réseau défini par le paramètre de masque d’adresse, vous pouvez avoir un sous-réseau plus petit qui traverse les liaisons WAN. Dans ce cas, vous pouvez définir des sous-réseaux séparés au sein de ce sous-réseau plus petit afin qu’il n’y ait pas de peering de ses clients sur les liaisons WAN. Pour plus d’informations, reportez-vous à la section Configurer des sous-réseaux séparés.
  • Sous-réseaux isolés  : spécifiez les adresses des sous-réseaux et des endpoints pour lesquels vous souhaitez désactiver le peering du Tanium Client. Vous pouvez configurer des sous-réseaux isolés qui sont des sous-réseaux autonomes ou qui comprennent des chaînes linéaires plus petites au sein de la chaîne que le paramètre de masque d’adresse ou le paramètre de préfixe définit (voir F : Figure 1). Pour plus d’informations, reportez-vous à la section Configurer des sous-réseaux isolés.

Lorsqu’un Tanium Client s’enregistre via Tanium as a Service (TaaS), le serveur Tanium ou le zone Server, TaaS le serveur évalue les paramètres de peering et applique la règle la plus restrictive pour déterminer le sous-réseau de ce client. Par exemple, si le masque d’adresse par défaut définit un sous-réseau /24 et que la configuration des sous-réseaux séparés définit un sous-réseau /26, TaaS le serveur applique les limites de peering du sous-réseau séparé à un client dont l’adresse IP se trouve dans les limites des deux.

Dans la Tanium Core Platform 7.4.3 ou ultérieure, les serveurs Tanium écrivent des configurations de sous-réseau dans la base de données Tanium et les synchronisent automatiquement dans un déploiement actif-actif. Sur les zone Servers, vous devez configurer et gérer manuellement les fichiers SeparatedSubnets.txt et IsolatedSubnets.txt qui résident dans le répertoire d’installation de Zone Server.

Tanium Core Platform 7.2 ou les versions antérieures prennent en charge uniquement IPv4. Contactez l’assistance Tanium si vous avez besoin de la prise en charge d’IPv6 dans la version 7.3 ou une version ultérieure. Chaque Tanium Client peut s’inscrire auprès du serveur Tanium en tant que client IPv4 ou client IPv6, mais pas les deux. De plus, un déploiement Tanium peut inclure à la fois des chaînes linéaires IPv4 et IPv6, mais chaque chaîne contient des clients pour une seule version IP ; les clients IPv4 ne peuvent jamais établir de peering avec les clients IPv6.

F : Figure 1 illustre un déploiement avec des sous-réseaux séparés et isolés un déploiement IPv4 où les Tanium Clients internes se connectent aux serveurs Tanium dans un déploiement actif-actif et les clients externes se connectent au zone Server.

11  Masque d’adresse AddressMask and zs_address_mask

Lorsque chaque Tanium client s’inscrit, le serveur Tanium ou le zone Server envoie au client une liste de voisinage. Il s’agit d’une liste de clients adjacents qui sont optimaux pour le peering et qui se trouvent dans les limites du sous-réseau /24 définies par le paramètre de masque d’adresse AddressMask (MasqueAdresse) ou zs_address_mask (masque_adresse_zs). Dans cet exemple, les deux paramètres appliquent le masque d’adresse /24 par défaut comme limites de chaîne linéaire.

Dans F : Figure 1, le zone Server utilise le zs_address_mask (masque_adresse_zs) qu’il reçoit d’un serveur Tanium. Si nécessaire, vous pouvez remplacer le paramètre en configurant AddressMask (MasqueAdresse) localement sur le zone Server.

2 Configuration des sous-réseaux séparés

Lors de l’évaluation de la configuration des sous-réseaux séparés, TaaS applique les serveurs Tanium et Zone Server appliquent des exceptions qui définissent des chaînes linéaires plus petites qui sont contenues dans le masque d’adresse /24 les chaînes AddressMask (MasqueAdresse) ou zs_address_mask (masque_adresse_zs).

3 Configuration des sous-réseaux isolés

TaaS évalue Les serveurs Tanium et le zone Server évaluent la configuration des sous-réseaux isolés pour définir des chaînes linéaires pour les sous-réseaux dans lesquels les clients n’effectuent pas de peering les uns avec les autres.

La figure suivante montre la base de données Tanium sur un hôte dédié. Toutefois, dans un déploiement d’appliance Tanium, la base de données est sur le même hôte que les serveurs Tanium.

F : Figure 1 :  Peering Tanium Client

Paramètres du masque d’adresse et du préfixe.

Contactez l’assistance Tanium si vous devez modifier les paramètres suivants de peering de Tanium Client.

AddressMask

Dans les sous-réseaux IPv4 où les Tanium Clients s’inscrivent directement auprès du serveur Tanium, AddressMask (MasqueAdresse) régit la proximité réseau des peers clients pour empêcher les peer connections sous-optimales (telles que les connexions sur les WAN). L’installation du serveur Tanium ajoute automatiquement le paramètre (Administration (Administration) > Management (Gestion) > Local Settings (Paramètres locaux)) avec une valeur par défaut qui limite le peering aux voisins qui partagent le même masque d’adresse 24 bits. Par exemple, un Tanium Client dans le sous-réseau 192.168.0.0/24 peut établir un peering avec d’autres Tanium Clients dans 192.168.0.0/24, mais pas avec ceux dans 192.168.1.0/24. Lorsque chaque Tanium Client s’inscrit auprès du serveur Tanium, le serveur envoie au client une liste de voisins avec lesquels il peut tenter le peering. Cette liste de voisinage adhère à la limite AddressMask (MasqueAdresse).

zs_address_mask

Dans les sous-réseaux IPv4 où les Tanium Clients s’inscrivent directement auprès du zone Server zs_address_mask (masque_d’adresse_zs) régit la proximité réseau des peers clients pour empêcher les peer connections sous-optimales. Le zone Server reçoit le paramètre du serveur Tanium (Administration (Administration) >  Management (Gestion) > Global Settings (Paramètres globaux)) avec une valeur par défaut qui limite le peering aux voisins qui partagent le même masque d’adresse 24 bits. Si nécessaire, vous pouvez remplacer le paramètre global en configurant AddressMask (MasqueAdresse) localement sur chaque zone Server. Lorsque chaque Tanium Client s’inscrit auprès du zone Server, le serveur envoie au client une liste de voisinage qui respecte la limite zs_address_mask (masque_d’adresse_zs) (ou AddressMask (MasqueAdresse) local).

AddressPrefixIPv6

(Tanium Core Platform 7.3 ou version ultérieure) Dans les sous-réseaux IPv6 où les Tanium Clients s’inscrivent directement auprès du serveur Tanium, AddressPrefixIPv6 (PréfixeAdresseIPv6) régit la proximité réseau des peers clients pour empêcher les peer connections sous-optimales. Par défaut, ce paramètre n’est pas visible tant que vous ne l’avez pas configuré manuellement (Administration (Administration) > Management (Gestion) > Local Settings (Paramètres locaux)). La valeur par défaut est 0, qui ne spécifie pas de peering. Lorsque chaque Tanium Client s’inscrit auprès du zone Server Tanium, le serveur envoie au client une liste de voisinage qui respecte la limite AddressPrefixIPv6 (PréfixeAdresseIPv6). Contactez l’assistance Tanium pour déterminer la valeur optimale pour le peering dans les réseaux IPv6.

zs_address_prefix_ipv6

(Tanium Core Platform 7.3 ou version ultérieure) Dans les sous-réseaux IPv6 où les Tanium Clients s’inscrivent auprès du zone Server, zs_address_prefix_ipv6 (préfixe_adresse_zs_IPv6) régit la proximité réseau des peers clients pour empêcher les peer connections sous-optimales. Le zone Server reçoit le paramètre du serveur Tanium (Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux)). La valeur par défaut est 0, qui ne spécifie pas de peering. Si nécessaire, vous pouvez remplacer le paramètre global en configurant AddressPrefixIPv6 (PréfixeAdresseIPv6) localement sur chaque zone Server. Lorsque chaque Tanium Client s’inscrit auprès du zone Server, le serveur envoie au client une liste de voisinage qui respecte la limite zs_address_prefix_ipv6 (préfixe_adresse_zs_ipv6) (ou AddressPrefixIPv6 (PréfixeAdresseIPv6) local). Contactez l’assistance Tanium pour déterminer la valeur optimale pour le peering dans les réseaux IPv6.

Configurer des sous-réseaux séparés

Configurez les sous-réseaux séparés pour spécifier des exceptions plus granulaires pour le peering du Tanium Client que les limites de sous-réseau /24 par défaut que les paramètres de masque d’adresse ou de préfixe définissent (reportez-vous à la section voir Paramètres du masque d’adresse et du préfixe.). Les clients utilisent la configuration des sous-réseaux séparés pour s’apparier (peer) en fonction de leur connexion au serveur Tanium ou au serveur de zone. Chaque serveur utilise cette configuration pour gérer les peer lists pour les clients qui s’y inscrivent.

Après avoir configuré les sous-réseaux séparés, vous n’êtes pas tenu(e) de redémarrer le serveur Tanium ou le zone Server. Les Tanium Clients prennent deux à six heures (l’intervalle de réinitialisation du client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration.

Dans la plupart des environnements, la configuration des sous-réseaux séparés est identique pour tous les zone Servers et serveurs Tanium, et une meilleure pratique consiste à maintenir la configuration synchronisée entre les serveurs afin d’éviter toute confusion. Dans les environnements complexes avec des sous-réseaux se chevauchant, il se peut que vous deviez séparer les sous-réseaux différemment pour les serveurs de zone. Dans ce cas, vous pouvez modifier le fichier SeparatedSubnets.txt sur chaque zone Server exigeant une configuration unique.

Un rôle d’utilisateur avec la permission Read Separated Subnets (Lire les sous-réseaux séparés) est requis pour afficher la configuration des sous-réseaux séparés. La permission Write Separated Subnets (Écrire des sous-réseaux séparés) est requise pour créer, modifier ou supprimer la configuration des sous-réseaux séparés. Le rôle réservé AdminAdministrateur comporte toutes ces permissions.

F : Figure 1 montre un exemple de déploiement avec des sous-réseaux séparés.

Configurer les sous-réseaux séparés sur le serveur Tanium

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Dans la section Separated Subnets (Sous-réseaux séparés), cliquez sur New Subnets (Nouveaux sous-réseaux).
  3. Entrez chaque sous-réseau séparé au format CIDR (tel que 192.168.2.0/26), avec une ligne par entrée. Utilisez le caractère ; ou # avant tout commentaire facultatif.

    Tanium Core Platform 7.3 ou une version ultérieure prend en charge les sous-réseaux IPv6 (pour plus de détails, contactez l’assistance Tanium en envoyant un e-mail à [email protected]). Vous devez entrer les sous-réseaux IPv6 entre crochets suivis du préfixe (par ex. : [2001:db8::]/32).

    Voir l’exemple suivant :

    192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
    192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
    [2001:db8::]/32

    Si un déploiement inclut des Zone Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux séparés sur un Zone Server.

  4. Cliquez sur Save (Enregistrer).

Configurer les sous-réseaux séparés sur un Zone Server

Si un déploiement inclut des Zone Servers, effectuez les étapes suivantes en fonction de votre infrastructure Tanium pour ajouter une configuration de sous-réseaux séparés à chaque serveur.

Infrastructure Windows

  1. Créez un fichier texte brut nommé SeparatedSubnets.txt.
  2. Copiez et collez les informations des sous-réseaux séparés que vous avez saisies pour le serveur Tanium dans SeparatedSubnets.txt.

    Si vous n’avez pas déjà copié les informations dans le presse-papiers, accédez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux), sélectionnez la configuration des sous-réseaux séparés, cliquez sur Edit (Modifier) et copiez les entrées du champ de texte.

  3. Déplacez SeparatedSubnets.txt vers le répertoire d’installation de chaque Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Infrastructure de Tanium Appliance

  1. Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.
  2. Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium). FerméAfficher l’écran
  3. Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration). FerméAfficher l’écran
  4. Entrez 12 pour modifier le fichier SeparatedSubnets.txt. FerméAfficher l’écran
  5. Utilisez le menu pour spécifier les sous-réseaux au format CIDR.

Configurer des sous-réseaux isolés

Configurez des sous-réseaux isolés pour désactiver le peering client pour une liste spécifiée d’adresses IP de sous-réseau et de endpoint. Si l’adresseI P d’un Tanium Client se trouve dans un sous-réseau isolé, TaaS le serveur Tanium ou le zone Server envoie à ce client une peer list vide pour empêcher le client de participer au peering. Chaque serveur utilise cette configuration pour gérer la peer list pour les Tanium Clients qui s’y inscrivent.

Après avoir configuré les sous-réseaux isolés, vous n’êtes pas tenu(e) de redémarrer les serveurs Tanium ou les zone Servers. Les Tanium Clients prennent deux à six heures (l’intervalle de réinitialisation du client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration.

Configurez des sous-réseaux isolés pour les Tanium Clients qui sont dans des VPN. Les clients VPN ont des adresses IP locales dans un bloc d’adresses VPN spécial, mais leurs endpoints d’hôte ne sont en fait pas proches les uns des autres. Les clients VPN utiliseraient des liaisons WAN pour le peering et la latence seraient significativement plus importante que pour les connexions client-serveur.

Dans d’autres cas, vous pouvez trouver pratique d’utiliser des sous-réseaux isolés pour désactiver le peering, par exemple pour tester ou déboguer le peering lorsque vous devez résoudre des problèmes de réseau. Notez que la désactivation du peering fait que les Tanium Clients consomment plus de ressources réseau en termes de bande passante et de connexions client-serveur sur le WAN. Pour le dépannage des cas, après avoir résolu les problèmes réseau, la meilleure pratique consiste à supprimer les clients de la configuration des sous-réseaux isolés afin qu’ils reprennent le peering.

Dans la plupart des environnements, la configuration des sous-réseaux isolés est identique pour tous les zone Servers et serveurs Tanium, et une meilleure pratique consiste à maintenir la configuration synchronisée entre les serveurs afin d’éviter toute confusion. Dans les environnements complexes avec des sous-réseaux se chevauchant, il se peut que vous deviez séparer les sous-réseaux différemment pour les serveurs de zone. Dans ce cas, vous pouvez modifier la configuration des sous-réseaux sur chaque zone Server exigeant une configuration unique.

Un rôle d’utilisateur avec la permission Read Isolated Subnets (Lire les sous-réseaux isolés) est requis pour afficher la configuration des sous-réseaux isolés. La permission Write Isolated Subnets (Écrire des sous-réseaux isolés) est requise pour créer, modifier ou supprimer la configuration des sous-réseaux isolés. Le rôle réservé Administrateur comporte toutes ces permissions.

F : Figure 1 montre un exemple de déploiement avec des sous-réseaux isolés.

Configurer les sous-réseaux isolés sur le serveur Tanium

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Dans la section Isolated Subnets (Sous-réseaux isolés), cliquez sur New Subnets (Nouveaux sous-réseaux).
  3. Entrez chaque sous-réseau isolé au format CIDR (tel que 192.168.2.0/26), avec une ligne par entrée. Utilisez le caractère ; ou # avant tout commentaire facultatif.

    Tanium Core Platform 7.3 ou une version ultérieure prend en charge les sous-réseaux IPv6 (contactez l’assistance Tanium en envoyant un e-mail à [email protected]). Vous devez entrer les sous-réseaux IPv6 entre crochets suivis du préfixe (par ex. [2001:db8::]/32).

    Voir l’exemple suivant :

    192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
    192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
    [2001:db8::]/32

    Si le déploiement inclut des Zone Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux isolés sur un Zone Server.

  4. Cliquez sur Save (Enregistrer).

Configurer les sous-réseaux isolés sur un Zone Server

Si le déploiement inclut des Zone Servers, exécutez l’une des procédures suivantes, selon que vous souhaitez isoler tous les clients ou les clients sur des sous-réseaux spécifiques, et votre infrastructure Tanium.

Le Zone Server applique la règle la plus restrictive pour déterminer le sous-réseau d’un client. Si vous configurez le paramètre zs_address_mask ou AddressMask pour isoler les clients, ce paramètre remplace toute isolation basée sur un sous-réseau qui est configurée dans un fichier IsolatedSubnets.txt.

Isoler tous les clients connectés à n’importe quel Zone Server

Définissez le paramètre global zs_address_mask sur le serveur Tanium (Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux)) 4294967295, qui spécifie /32 limites de sous-réseau (hôtes uniques) pour tous les Zone Servers.

Pour plus d’informations, voir Paramètres du masque d’adresse et du préfixe..

Isoler tous les clients connectés à un Zone Server particulier

  1. Connectez-vous à l’hôte du Zone server en tant qu’utilisateur administrateur.
  2. Accéder à la CLI (voir Guide de référence du déploiement de Tanium Core Platform : CLI].
  3. Accédez au dossier d’installation de Zone Server :

    > cd <Zone Server>

  4. Configurez le paramètre local AddressMask pour spécifier /32 limites de sous-réseau (hôtes uniques) :

    > TaniumZoneServer config set AddressMask 4294967295

Pour plus d’informations, voir Paramètres du masque d’adresse et du préfixe..

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Windows

  1. Créez un fichier texte brut nommé IsolatedSubnets.txt.
  2. Copiez et collez les informations des sous-réseaux isolés que vous avez saisies pour le serveur Tanium dans IsolatedSubnets.txt.

    Si vous n’avez pas déjà copié les informations dans le presse-papiers, accédez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux), sélectionnez la configuration des sous-réseaux isolés, cliquez sur Edit (Modifier) et copiez les entrées du champ de texte.

  3. Déplacez IsolatedSubnets.txt vers le répertoire d’installation de chaque serveur Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Tanium Appliance

  1. Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.
  2. Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium). FerméAfficher l’écran
  3. Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration). FerméAfficher l’écran
  4. Entrez 11 pour modifier le fichier IsolatedSubnets.txt. FerméAfficher l’écran
  5. Utilisez le menu pour spécifier les sous-réseaux au format CIDR.

Vérifier les connexions de leader et peering Tanium Client

La page Client Status (Statut du client) affiche des informations sur l’état de l’inscription et de la connectivité de Tanium client, et vous permet de déployer des actions pour résoudre les problèmes.

Pour voir la page Client Status (Statut du client) et filtrer sa grille, vous avez besoin d’un rôle avec la permission Read Client Status (Lire le statut du client)Read System Status (Lire le statut du système). Les utilisateurs dotés du rôle réservé AdminAdministrateur disposent de cette permission.

Afficher le statut de l’inscription et de la communication de Tanium client

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. (Facultatif) Pour afficher les détails de statut uniquement pour des Tanium clients spécifiques, modifiez les paramètres de filtre par défaut, tels que les intervalles d’inscription et le statut de connexion.


Le tableau suivant répertorie les informations que la page Client Status (Statut du client) affiche pour chaque Tanium client :

T :  Tableau 2 : Colonnes Statut du client
Colonne Description
Nom d’hôte Nom d’hôte du endpoint.
Emplacement du réseau (depuis le client) Adresse IP du client renvoyée d’un sensor sur le client.
Emplacement du réseau (depuis le serveur) Adresse IP du client enregistrée sur le serveur Tanium ou le zone Server lors de la dernière inscription.
Direction Un cercle représente le client et les flèches représentent ses connexions. Pour une liste des états de connexion possibles, voir le T :  Tableau 3.
Clé valide No (Non) indique un problème avec la clé publique que le Tanium client utilise pour sécuriser la communication avec d’autres composants de la Tanium Core Platform. Pour résoudre le problème, réinstallez le Tanium client (voir le Déploiement du Tanium client) ou redéployez la clé (voir Télécharger les fichiers de configuration de l’infrastructure (clés).
État d'envoi
  • Normal (Normal) : le client envoie des données à ses peers en amont et en aval.
  • None (Aucune) : le client n’envoie aucune donnée à ses peers en aval ou en amont.
  • Forward Only (Envoi en aval uniquement) : le client envoie des données à son peer en aval et non à son peer en amont.
  • Backward Only (Envoi en amont uniquement) : le client envoie des données à son peer en amont et non à son peer en aval.
État de réception
  • Normal (Normal) : le client reçoit des données de ses peers en amont et en aval.
  • None (Aucune) : le client ne reçoit aucune donnée de ses peers en aval ou en amont.
  • Next Only (Suivant uniquement) : le client reçoit des données de son peer en aval et non de son peer en amont.
  • Previous Only (Précédent uniquement) : le client reçoit des données de son peer en amont et non de son peer en aval.
Statut
  • Normal (Normal) : le client communique normalement.
  • Slow Link (Liaison lente) : le client a des connexions avec un débit anormalement lent.
  • Leader (Leader) : le client communique avec le serveur Tanium ou le zone Server parce qu’il s’agit d’un leader amont, d’un leader aval, d’un leader de voisinage ou d’un client sans peer connections (comme un client dans un sous-réseau isolé).
  • Blocked (Bloqué) : le client ne communique pas de manière fiable.
Dernière inscription Date et heure de la dernière inscription du Tanium client que le serveur Tanium ou la zone Server.
Version du protocole (masquée par défaut) Version du protocole Tanium. Pour plus d’informations sur le protocole, voir Communication TLS.
Version Version du client Tanium.

La colonne Direction (Direction) affiche des icônes qui utilisent les conventions suivantes pour représenter les états de connexion du Tanium client :

  • Une flèche vers le haut indique une connexion avec TaaS le serveur Tanium ou le zone Server.
  • Les flèches latérales pointant à l’opposé du client indiquent des connexions sortantes vers des peers.
  • Les flèches latérales pointant vers le client indiquent des connexions entrantes des peers.
  • Les flèches latérales sur le côté droit des clients indiquent l’état des connexions avec les peers en aval.
  • Les flèches latérales sur le côté gauche des clients indiquent l’état des connexions avec les peers en amont.
  • Les flèches latérales avec des lignes pointillées indiquent des connexions lentes.

Vous pouvez utiliser la colonne Direction pour comprendre pourquoi un Tanium client est un leader et pour identifier les problèmes de connexion. Le tableau suivant répertorie les états de connexion possibles :

T :  Tableau 3 : États de peer connection du Tanium client
Attribut Valeur Description
Organisateur En amont

Leader amont

Le client est un leader amont qui termine une extrémité d’une chaîne linéaire. Il a généralement l’adresse IP la plus basse dans sa chaîne linéaire.
En aval

Leader aval

Le client est un leader aval qui termine une extrémité d’une chaîne linéaire. Il a généralement l’adresse IP la plus haute dans sa chaîne linéaire.
Voisinage

Organisateur

Un client est désigné comme leader de voisinage car sa chaîne linéaire a atteint le nombre maximum de clients.
Isolé

Aucun peering

Le client est un leader isolé qui se connecte uniquement au TaaS, au serveur Tanium ou à la zone Server, et n’a aucune connexion avec d’autres clients. Le client peut être isolé parce que son adresse IP se trouve dans la plage d’un sous-réseau isolé ou parce qu’il n’a aucun peer dans son sous-réseau local auquel se connecter.
Voisin Aucune flèche latérale

Aucun peering

Ceci est la même chose qu’un leader isolé.
Flèche à un seul côté

entrant uniquement ou sortant uniquement

Le client dispose d’une liste de voisinage de peers mais n’a pas établi de peer connection. Cet état résulte généralement d’une configuration incorrecte, par exemple lorsqu’un pare-feu basé sur l’hôte sur le endpoint n’autorise pas les connexions entrantes au client.
Flèches à double côté

connexions entrantes et sortantes

Le client dispose d’une liste de voisinage des peers et s’est connecté avec des peers dans la direction indiquée.
État du client Normal

connexions entrantes et sortantes

le client communique normalement.
Bloqué

bloqué

Le client ne communique pas de manière fiable. Cela peut résulter d’un problème de réseau ou de ressource hôte, tel qu’un programme antivirus qui ralentit le client.

Exporter les détails du statut de Tanium client

Exportez les informations de la page Client Status (Statut du client) sous forme de fichier CSV ou, si vous avez le rôle réservé AdminAdministrateur, sous forme de fichier JSON.

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. Sélectionnez des lignes dans la grille pour exporter des informations pour des Tanium clients spécifiques. Si vous souhaitez exporter des informations pour tous les clients, ignorez cette étape.
  3. Cliquez sur Export (Exporter) Export.
  4. (Facultatif) Modifiez le nom de fichier d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option Export Data (Exporter les données) : informations pour All (Tous) les clients dans la grille ou uniquement pour les clients Selected (Sélectionnés).
  6. Sélectionnez le format du fichier : JSON (rôle réservé AdminAdministrateur uniquement) ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à la Tanium Console.

Copier les détails du statut de Tanium client

Copiez les informations de la page Client Status (Statut du client) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Déployer des actions pour remédier aux problèmes d’inscription ou de connectivité du client

Vous pouvez déployer des actions sur les Tanium clients pour résoudre les problèmes que vous observez sur la page Client Status (Statut du client). Par exemple, si vous souhaitez que certains clients s’inscrivent auprès d’un Tanium Zone Server au lieu du serveur Tanium, vous pouvez déployer le package Set Tanium Server Name List (Définir la liste des noms de serveurs Tanium) pour modifier le paramètre ServerNameList sur ces clients.

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client).
  2. Sélectionnez les Tanium clients sur lesquels vous souhaitez déployer des actions et cliquez sur Deploy Action (Déployer une action).
  3. Déployez l’action.
  4. Examinez la grille Client Status (Statut du client) pour vérifier que l’action a produit le résultat attendu.

Utilisez des questions pour examiner les paramètres de peering

Le Content Pack Tanium™ par défaut inclut des sensors que vous pouvez utiliser dans les questions pour examiner les paramètres de communication peer de Tanium client :

  • Adresse IP du Tanium Client
  • Adresse de peer Tanium
  • Adresse de peer en amont Tanium
  • Voisinage du Tanium client

L’exemple suivant est une question dynamique qui utilise ces sensors. Notez que les résultats pour le sensor de voisinage de Tanium client s’affichent dans les colonnes Backwards (En amont) et Forwards (En aval) :

F : Figure 4 :  Sensors pour informations de peering

Examiner la configuration de Tanium client

Vous pouvez vérifier les listes d’adresses de peers dans les paramètres de Tanium client sur un Tanium client individuel.

L’exemple suivant est celui d’un registre Windows pour un Tanium client dont le peering est désactivé via la configuration des sous-réseaux isolés. Le paramètre NeighorhoodList répertorie toujours les peers, mais leurs ports sont définis sur 0 pour empêcher le client de se connecter à ces peers.

F : Figure 5 :  Informations de peering dans le registre Windows

L’exemple suivant montre la sortie CLI pour le voisinage et les informations de peering dans la base de données du Tanium client :

$ sudo ./TaniumClient config list
Clés :
  - ComputerID : 3235161864
  - DatabaseEpoch : 2017-11-01 17:54:19.073914
  - HostDomainName : cloud.tanium.comtam.local
  - LastGoodServerName : taas-example1-zs.cloud.tanium.comzs1.tam.local
  - LogVerbosityLevel: 1 
  - RegistrationCount : 3333
  - Resolver : nslookup
  - ServerName : taas-example1-zs.cloud.tanium.comzs1.tam.local
  - ServerNameList : taas-example1-zs.cloud.tanium.com,taas-example2-zs.cloud.tanium.comts1.tam.local,zs1.tam.local
  - ServerPort: 17472
  - Status :
    - Status.BackPeerAddress : 512:17472:10.10.10.40_512:0:10.10.10.40
    - Status.BackPreviousPeerAddress : NoAddress_NoAddress
    - Status.BufferCount : 2
    - Status.ClientAddress : 512:17472:10.10.10.51_512:0:10.10.10.51
    - Status.NeighborhoodList : 512:17472:10.10.10.13_512:0:10.10.10.13, 512:17472:10.10.10.40_512:0:10.10.10.40, 512:17472:10.10.10.51_512:0:10.10.10.51
    - Status.PeerAddress : NoAddress_NoAddress
    - Status.PreviousPeerAddress : 512:17473:10.10.10.11_512:0:10.10.10.11
    - Status.StaleCount : 34
    - Status.StaleList : Système d’exploitation, Adresse IP NAT, En ligne, Plateforme de système d’exploitation, Correctifs disponibles, Exécution des processus Utilisation de la mémoire, Version de Tanium client, Pourcentage de disque utilisé, Redémarrage requis, Intégrité de Tanium Client Core, Est virtuel, Espace disque libre, tempsensor_33, Applications installées, Conformité - Agrégats de conformité, A des utilitaires standard Tanium, A des outils de réponse aux incidents, A des outils correctifs, Correctifs installés, Fabricant, A des outils matériels, Est Windows, Type de châssis, Est Mac, Version des outils de détection IOC, Conformité - Agrégats de vulnérabilités, Possède d’anciens fichiers ID de réponse aux incidents, CAB de correctif obsolète, Adresse IP, Temps de disponibilité, Cartes réseau, Est Linux, Ports ouverts, Exécution des processus
  - ValueSystem :
    - ValueSystem.0 0 : 1 
    - ValueSystem.CorrelationDecisionHaste : 1 
    - ValueSystem.CorrelationRequiredConfidence : 0.69999999999999996
    - ValueSystem.CorrelationThresholdMultiplier : 1 
    - ValueSystem.CorrelationVolumeMultiplier : 0.01
    - ValueSystem.PrevalenceDecisionHaste : 1 
    - ValueSystem.PrevalenceRequiredConfidence : 0.69999999999999996
    - ValueSystem.PrevalenceVolumeMultiplier : 1 
    - ValueSystem.ValueThreshold : 0.10000000000000001
  - Version: 7.4.2.2073

Randomiser les ports d’écoute

Si vous souhaitez rendre plus difficile la capture de paquets à partir du trafic chiffré entre les Tanium Clients, configurez le Tanium Client pour sélectionner aléatoirement un nouveau port d’écoute à intervalles. Le client utilise le port d’écoute pour recevoir les communications des clients peers qui se trouvent dans la même chaîne linéaire. Par défaut, la randomisation est désactivée et le client utilise 17472 comme port d’écoute fixe.

Par défaut, le numéro de port pour l’API du Tanium Client est un numéro supérieur au port d’écoute du client. Toutefois, si vous activez la randomisation pour le port d’écoute, le port API reste fixé à 17473.

Une exception, avec les conditions suivantes, entraîne un port d’API différent :

  • Installation du client sur le même hôte que le serveur Tanium ou le zone Server.

  • Utilisation d’un port d’écoute randomisé

  • Utilisation d’un port autre que le port 17472 par défaut pour le trafic Tanium sur le serveur.

Dans ce scénario, le port d’API client sur l’hôte serveur est un numéro supérieur au port du serveur. Par exemple, si vous remplacez le paramètre du serveur Tanium ServerPort (PortServeur) de 17472 par défaut à 17473, le port d’API client sur l’hôte du serveur passe à 17474. L’installation du client sur le même hôte qu’un serveur de la Tanium Core Platform n’est pas une bonne pratique (reportez-vous à la section Compatibilité entre les serveurs de la Tanium Core Platform et les Tanium Clients).

Vous pouvez configurer la randomisation de port pendant le déploiement initial du Tanium Client ou ultérieurement. Les paramètres suivants sur le client contrôlent le comportement du port d’écoute :

T :  Tableau 6 : Paramètres du port d’écoute du Tanium Client
Configuration Description
EnableRandomListeningPort Spécifie si la randomisation de port est activée. Définissez la valeur sur 1 pour activer ou sur 0 (par défaut) pour désactiver. Si une autre application utilise déjà le port sélectionné, le client sélectionne immédiatement un autre port plutôt que d’attendre l’intervalle RandomListeningPortTTLInHours (PortÉcouteAléatoireTTLEnHeures).

Si vous changez EnableRandomListeningPort (ActiverPortÉcouteAléatoire) de activé à désactivé, vous devez également supprimer le paramètre ListenPort (PortÉcoute) ou le définir sur le port souhaité. Sinon, le port que le client a sélectionné au hasard avant que vous ayez désactivé EnableRandomListeningPort (ActiverPortÉcouteAléatoire) devient le port d’écoute permanent.

RandomListeningPortMin Spécifie l’extrémité inférieure de la plage de ports à partir de laquelle le client sélectionne de manière aléatoire un port d’écoute. La valeur par défaut est le port 32000.
RandomListeningPortMax Spécifie l’extrémité supérieure de la plage de ports à partir de laquelle le client sélectionne de manière aléatoire un port d’écoute. La valeur par défaut est le port 64000.
RandomListeningPortTTLInHours Spécifie l’intervalle en heures selon lequel le client sélectionne un nouveau port d’écoute. La valeur par défaut est définie sur 24 heures. Ne définissez pas une valeur inférieure à l’intervalle de réinitialisation du client, qui est par défaut un intervalle aléatoire compris dans une plage de 2 à 6 heures.
RandomListeningPortExclusions Spécifie les ports que le client ne sélectionnera pas comme port d’écoute. Par exemple, pour éviter les conflits de concurrence de ports, vous pouvez spécifier les ports que d’autres applications utilisent. Pour plusieurs exclusions, utilisez une virgule pour séparer chaque port. Par défaut, le client n’exclut pas les ports qui se trouvent dans la plage définie par les paramètres RandomListeningPortMin (PortÉcouteAléatoireMin) et RandomListeningPortMax (PortÉcouteAléatoireMax).
ListenPort Indique le port d’écoute actuel. Si vous activez la randomisation de port, ne configurez pas ListenPort (PortÉcoute) car le client écrase la valeur lorsqu’il sélectionne un nouveau port. Pour plus de détails, reportez-vous à la section ListenPort.
ServerPort Indique le port que le client utilise pour les communications avec le serveur Tanium ou le zone Server et avec les clients peers. ListenPort (PortÉcoute) et EnableRandomListeningPort (ActiverPortÉcouteAléatoire) remplacent tous deux le ServerPort (PortServeur) pour la communication client-à-client. Pour plus d’informations, consultez la section ServerPort.

Avant de commencer

Travaillez avec votre administrateur réseau pour configurer les pare-feux de vos endpoints afin d’autoriser les connexions entrantes sur n’importe quel port que le processus Tanium Client demande. Le processus est TaniumClient.exe sur les endpoints Windows et TaniumClient ou taniumclient sur les autres endpoints.

Randomiser les ports d’écoute pendant le déploiement du client

Configurez les Tanium Clients pour randomiser le port d’écoute en définissant EnableRandomListeningPort (ActiverPortÉcouteAléatoire) pendant l’installation. Pour les procédures d’installation, reportez-vous à la section Déploiement du Tanium Client.

T :  Tableau 7 : Méthodes pour activer la randomisation du port pendant le déploiement
Méthode d’installation Système d’exploitation Méthode pour définir EnableRandomListeningPort (ActiverPortÉcouteAléatoire)
Gestion des clients Tout

Incluez le paramètre EnableRandomListeningPort (ActiverPortÉcouteAléatoire) et définissez-le sur 1. Pour utiliser des valeurs autres que celles par défaut pour les autres paramètres de randomisation de port dans le T :  Tableau 6, ajoutez également ces paramètres. Pour plus d’informations, reportez-vous à la section Configurer les paramètres du client.

Command-line interface (CLI, interface de ligne de commande) Windows

Spécifiez le paramètre comme l’un des paramètres d’une installation silencieuse :

SetupClient.exe /EnableRandomListeningPort=1 /S

Pour utiliser des valeurs autres que celles par défaut pour les autres paramètres dans le T :  Tableau 6, ajoutez également ces paramètres.

Non-Windows

Exécutez la commande CLI suivante pour configurer les ProxyServers (ServeursProxy) pendant l’étape pour configurer les paramètres de Tanium Client :

./TaniumClient config set EnableRandomListeningPort 1

Pour utiliser des valeurs autres que celles par défaut pour les autres paramètres dans le T :  Tableau 6, ajoutez également ces paramètres.

Assistant d’installation Windows

Exécutez la commande CLI suivante pour configurer les ProxyServers (ServeursProxy) après avoir terminé l’assistant :

TaniumClient config set EnableRandomListeningPort 1

Pour utiliser des valeurs autres que celles par défaut pour les autres paramètres dans le T :  Tableau 6, ajoutez également ces paramètres.

macOS

Ajoutez le paramètre EnableRandomListeningPort au fichier /Library/Tanium/TaniumClient/TaniumClient.ini. Pour plus d’informations, reportez-vous à la section TaniumClient.ini.

Pour utiliser des valeurs autres que celles par défaut pour les autres paramètres dans le T :  Tableau 6, ajoutez également ces paramètres.

Randomiser les ports d’écoute après le déploiement du client

Effectuez les étapes suivantes pour activer le paramètre EnableRandomListeningPort (ActiverPortÉcouteAléatoire) sur tous les Tanium Clients qui doivent randomiser leur port d’écoute. Répétez les étapes pour chaque paramètre du T :  Tableau 6 qui nécessite une valeur autre que celle par défaut (excluez ListenPort (PortÉcoute)). Étant donné que les endpoints Windows et non-Windows nécessitent des packages distincts pour mettre à jour les paramètres, répétez les étapes pour les deux types de endpoints.

  1. Accédez à la page Home (Accueil) de Tanium et posez une question qui identifie les endpoints qui nécessitent des paramètres de randomisation de port mis à jour.

    La question suivante identifie les endpoints où le paramètre EnableRandomListeningPort (ActiverPortÉcouteAléatoire) est désactivé (1) ou non configuré (clé/valeur introuvable) :

    Obtenir le paramètre explicite de Tanium Client[EnableRandomListeningPort] et Est Windows à partir de toutes les machines

  2. Dans la grille Question Results (Résultats de la question), sélectionnez les endpoints Windows ou non Windows qui nécessitent des paramètres mis à jour et cliquez sur Deploy Action (Déployer une action).

    Les endpoints Windows et les endpoints non-Windows nécessitent des packages différents. Si vous mettez à jour des endpoints Windows et non-Windows, effectuez cette procédure séparément pour chaque groupe.

  3. Configurer les paramètres du package :

    • Deployment Package (Package de déploiement) : Sélectionnez Modify Tanium Client Setting (Modifier le paramètre de Tanium Client) pour les endpoints Windows ou Modify Tanium Client Setting [Non-Windows] (Modifier le paramètre de Tanium Client ) pour les autres endpoints.
    • RegType (TypeReg) (Windows uniquement) : sélectionnez REG_DWORD.
    • Type (Type) (non-Windows uniquement) : sélectionnez NUMBER (NUMÉRO).
    • ValueName (NomValeur) : saisissez le nom du paramètre (par exemple, EnableRandomListeningPort (ActiverPortÉcouteAléatoire)).
    • ValueData (DonnéesValeur) : spécifiez la valeur du paramètre comme décrit dans le T :  Tableau 6 (par exemple, 1 pour activer le paramètre EnableRandomListeningPort (ActiverPortÉcouteAléatoire)).
  4. (Facultatif) Dans la section Schedule Deployment (Planifier le déploiement), définissez une planification pour l’action.

    Définissez un intervalle de réémission si endpoints cibles peuvent être hors ligne lorsque vous déployez initialement l’action.

  5. Dans la section Targeting Criteria (Critères de ciblage), assurez-vous que les paramètres ciblent uniquement les endpoints qui :

    • Exigent le paramètre mis à jour
    • Exécutent le système d’exploitation correspondant au package sélectionné (Windows ou non-Windows)
  6. Cliquez sur Show preview to continue (Afficher l’aperçu pour continuer) et vérifiez que le ciblage est correct.
  7. Cliquez sur Deploy Action (Déployer une action) et vérifiez le statut de l’action pour vous assurer que l’action se termine sans erreurs.
  8. Posez une question pour vérifier que les clients ont la valeur de réglage correcte.

    La question suivante affiche la valeur EnableRandomListeningPort (ActiverPortÉcouteAléatoire) pour les clients :

    Obtenir le paramètre explicite de Tanium Client[EnableRandomListeningPort] à partir de toutes les machines

    Les clients n’appliquent pas le paramètre mis à jour jusqu’à ce que vous les redémarriez manuellement ou attendiez la réinitialisation automatique du client, qui est par défaut un intervalle aléatoire dans une plage de 2 à 6 heures.

  9. (Facultatif) Redémarrez le service Tanium Client sur chaque endpoint pour appliquer immédiatement le paramètre mis à jour :