Présentation d’Interact

Utilisez Tanium Interact pour poser des questions aux endpoints gérés, analyser leurs réponses et déployer des actions sur les endpoints en fonction des réponses. Bien que concédé sous licence comme composant de Tanium Core Platform, Interact est un module Tanium, aussi il peut être mis à jour séparément de la Tanium Console et du serveur Tanium.

Qu’est-ce qu’une question ?

Une question Tanium est une requête que vous émettez du TaaSserveur Tanium aux endpoints gérés. Une question dynamique est une question que vous créez et émettez via les fonctionnalités Explore Data (Explorer les données) ou Question Builder dans Interact. Une question enregistrée est un objet de configuration qui vous permet de réémettre une question sans la reconstruire via ces fonctionnalités.

La fonctionnalité Explore Data (Explorer les données) est conçue sur un Parser de langage naturel qui vous permet de démarrer avec des questions en langage naturel plutôt qu’avec un langage de requête spécialisé. Vous n’avez pas besoin de saisir des questions sous forme de phrases complètes ou des questions particulièrement bien formulées. Les formulaires Word ne sont pas sensibles à la casse et peuvent même inclure des fautes d’orthographe. L’analyseur interprète votre entrée et suggère un certain nombre de requêtes valides que vous pouvez utiliser pour formaliser la question envoyée aux clients Tanium. Interact fournit la fonctionnalité Explore Data (Explorer les données) en tant que champ d’entrée de texte en haut de la page Overview (Vue d’ensemble) d’Interact et de la page d’accueil Tanium.

La figure suivante montre un exemple de la manière dont Interact utilise un Parser de langage naturel pour proposer des requêtes valides basées sur l’entrée utilisateur. Tout d’abord, l’utilisateur renseigne le fragment Last logged in user (Dernier utilisateur connecté) et clique sur Search (Rechercher). En réponse, Interact renvoie une liste de requêtes dans une syntaxe valide.

F : Figure 1 :  Analyseur de langage naturel

Les questions ont une clause Get (Récupérer) qui spécifie les informations à récupérer et une clause From (De) spécifiant les critères d’évaluation cibles. Les questions de base sont les suivantes :

  • Un ou plusieurs noms de sensors (comme Last Logged In User (Dernier utilisateur connecté)) dans la clause GET
  • From all machines (Depuis toutes les machines) Tous les endpoints qui hébergent le client Tanium) dans la clause « from »

Les questions avancées comprennent des clauses de filtrage et des capteurs paramétrés.

Pour savoir comment émettre des questions et afficher l’historique des questions, reportez-vous à la section Poser des questions. Pour plus d’informations sur la syntaxe, reportez-vous à la section Référence : Exemples de questions et Référence : Syntaxe des questions avancées.

Qu’est-ce qu’un sensor ?

Un sensor est un script exécuté sur un endpoint pour calculer une réponse à une question de Tanium. Tanium as a Service (TaaS) Le serveur Tanium distribue les sensors aux endpoints pendant l’inscription de Tanium Client. Les sensors vous permettent de poser des questions qui recueillent des informations telles que :

  • Inventaire et configuration matérielle et logicielle
  • Applications et processus en cours d’exécution
  • Fichiers et répertoires
  • Connexions réseau

TaaS fournit Le processus d’installation du serveur Tanium importe automatiquement le contenu Tanium™ par défaut et les Content Packs Tanium™ Interact qui incluent des sensors pour un large éventail de questions courantes. D’autres solutions Tanium que vous importez peuvent fournir d’autres sensors, selon les Content Packs Tanium ou les modules de solution Tanium que vous importez. Si vous ne trouvez pas le sensor dont vous avez besoin dans le contenu fourni par Tanium, vous pouvez créer des sensors personnalisés.

Pour plus d’informations, reportez-vous à la section Guide d’utilisation de Tanium Console : Gestion des sensors.

Questions de comptage et de non-comptage

Une question de comptage renvoie des résultats dans lesquels il est possible d’utiliser la même chaîne de réponse particulière pour plusieurs endpoints. La grille Question Results (Résultats de la question) affiche une colonne Count (Nombre) qui indique le nombre d’endpoints fournis à chaque réponse commune. Une question de comptage ne peut avoir qu’un seul capteur. Get Operating System from all machines (Obtenir le système d’exploitation de toutes les machines) est un exemple de question de comptage, avec un sensor qui renvoie le système d’exploitation des endpoints gérés. Lorsqu’un endpoint ajoute sa réponse au message de réponse, il incrémente le décompte de la réponse à laquelle sa valeur correspond. TaaSLe serveur Tanium maintient un tableau de chaînes de réponse. Dans de nombreux cas, comme le système d’exploitation, beaucoup d’endpoints fournissent quelques réponses courantes, donc la question a une empreinte relativement faible sur TaaSle serveur Tanium.

F : Figure 2 :  Question de comptage

Une question non-counting (non-comptage) a des sensors renvoyant une chaîne de réponse unique à partir de chaque point de terminaison. Par exemple, Get IP Address from all machines (Obtenir l’adresse IP de toutes les machines) renvoie les adresses IP uniques. Pour une question de non-comptage, Tanium Client ajoute une nouvelle chaîne au message de réponse au lieu d’incrémenter le décompte d’une chaîne existante. Ainsi, l’empreinte des données pour une question de non-comptage peut être importante sur TaaSle serveur Tanium.

F : Figure 3 :  Question de non-comptage

Lors de l’utilisation de Question Builder pour créer une question à sensor unique, vous avez la possibilité de convertir une question de comptage en une question de non-comptage pour les cas où une question de comptage renvoie la réponse too many results (trop de résultats).

Questions avec plusieurs sensors

Lorsque vous créez une question, utilisez l’opérateur AND dans la clause get pour spécifier plusieurs sensors. La page Question Results (Résultats de la question) des groupes de pages sont obtenus par le premier sensor, puis par le sensor suivant, etc., comme illustré ci-après.

F : Figure 4 :  Question avec plusieurs capteurs

Questions avec des sensors paramétrés

Un parameterized sensor (sensor paramétré) utilise une valeur que vous spécifiez lorsque vous saisissez la question dans le champ Explore Data (Explorer les données) ou Question Builder. L’exemple suivant montre le sensor Registry Value Data (Données de valeur du registre). Tanium Console vous invite à spécifier un chemin et une valeur de registre.

F : Figure 5 :  Sensor paramétré

Un autre exemple est le sensor High CPU Processes (Processus avec utilisation de ressources CPU élevée). Vous pouvez spécifier un paramètre correspondant au nombre de processus de CPU à retourner depuis chaque machine. Par exemple vous souhaiterez peut-être obtenir les 5 processus utilisant le plus de ressources CPU. La question a la syntaxe suivante :

Get High CPU Process[5] from all machines (Obtenir les processus avec utilisation de ressources CPU élevée de toutes les machines)

Pour les sensors comportant plusieurs paramètres, vous pouvez spécifiez une liste ordonnée, séparée par une virgule. Par exemple, pour voir les 10 premières lignes du journal d’action pour l’action avec ID 1, spécifiez une liste de paramètres comme suit :

Get Tanium Action Log[1,10] from all machines (Obtenir le journal des actions Tanium de toutes les machines)

Pour plus de détails, voir l’Exemple : Sensors paramétrés.

Questions avec des filtres

Vous pouvez utiliser des filtres pour créer des questions qui ciblent moins de endpoints all machines (toutes les machines) par défaut. Par exemple, la question avancée suivante cible uniquement les endpoints ayant un nom ou une valeur spécifique du processus.

F : Figure 6 :  filtre de question

Le côté gauche (clause get) est une requête complète et valide ; le côté droit contient un filtre : l’expression from all machines with (de toutes les machines avec). Les filtres de la clause from constituent la première partie d’une question ayant un processus endpoint. Si les données du endpoint ne correspondent pas au filtre, le endpoint ne traitera pas plus avant la question. Si la question comporte plusieurs filtres, le endpoint évalue chaque filtre. L’expression du filtre sur le côté droit doit effectuer une évaluation par rapport à un opérateur booléen « true » (vrai) ou « false » (faux). Par exemple, l’expression from all machines with Running Processes contains explore (de toutes les machines avec processus en cours d’exécution contient explorer) évalue à vrai si la chaîne spécifiée correspond à la chaîne de résultats, ou à faux dans le cas contraire. Si un filtre évalue à vrai, le endpoint exécute les sensors à gauche de la question et renvoie les résultats.

Un sensor paramétré comme File exists (Fichier existant) [] renvoie le résultat File Exists (Fichier existe) : Filename (Nom du fichier) ou File does not exist (Fichier non existant), vous devez donc faire attention à la manière dont vous entrez le sensor dans une expression de filtre.

F : Figure 7 :  Exemple : questions avec capteur paramétré

L’expression du filtre from all machines with File Exists (de toutes les machines avec fichier existant)["C:\Program Files\PuTTY\putty.exe"] contenant « Exists » (Existe) évalue à vrai lorsque le résultat est File Exists (Fichier existant) : C:\Program Files\PuTTY\putty.exe et faux lorsque le résultat est File does not exist (Le fichier n’existe pas), afin de pouvoir l’utiliser pour filtrer l’ensemble des réponses.

F : Figure 8 :  Exemple : filtre avec capteur paramétré

Les expressions de filtre peuvent correspondre à des chaînes ou des expressions régulières. Le tableau suivant décrit les opérateurs de filtre pris en charge tels qu’ils apparaissent lorsque vous utilisez Question Builder. Le tableau décrit également comment certains opérateurs sont normalisés après les avoir chargés depuis Question Builder ou avoir saisi les expressions dans Explore Data (Explorer les données).

T :  Tableau 9 : opérateurs de filtre
Opérateur de filtre Utilisation
contains (contient) La valeur du capteur contient la chaîne spécifiée.

Exemple : running processes contains "explore" (processus en cours d’exécution contient « explorer »)
does not contain (ne contient pas) La valeur du capteur ne contient pas la chaîne spécifiée.
starts with (commence par) La valeur du capteur commence par la chaîne spécifiée.

Exemple : starts with "explore" (commence par « explorer »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not start with (ne commence pas par) La valeur du capteur ne commence pas par la chaîne spécifiée.
ends with (se termine par) La valeur du capteur se termine par la chaîne spécifiée.

Exemple : ends with "explore.exe" (se termine par « explore.exe »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not end with (ne se termine pas par) La valeur du capteur ne se termine pas par la chaîne spécifiée.
matches (correspond à) La valeur du capteur correspond à l’expression régulière spécifiée (dans Boost syntax (Booster la syntaxe)).
does not match (ne correspond pas à) La valeur du capteur ne correspond pas à l’expression régulière spécifiée.
in (dans) La valeur du capteur correspond à l’une des chaînes spécifiées. Utilisez des virgules sans espace pour séparer les chaînes. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise les opérateurs equals et or à la place de in.

Exemple : le filtre in "10.10.10.10,10.10.10.11" dans Question Builder devient IP Address equals 10.10.10.10 or IP Address equals 10.10.10.11 (Adresse IP égale à 10.10.10.10 ou adresse IP égale à 10.10.10.11) lorsque vous chargez la question.
is equal to (est égal à) La valeur du capteur est égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur equals à la place de is equal to.
is not equal to (nest pas égal à) La valeur du capteur n’est pas égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur not equals à la place de is not equal to.
is less than (est inférieur à) La valeur du capteur est inférieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (<) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] < 12 (version de l’application installée < 12)
is less or equal to (inférieur ou égal à) La valeur du capteur est inférieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (<=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] <= 12 (version de l’application installée = 12)
is greater than (est supérieur à) La valeur du capteur est supérieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (>) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] > 12 (version de l’application installée < 12)
is greater than or equal to (supérieur ou égal à) La valeur du capteur est supérieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (>=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] >= 12 (version de l’application installée = 12)

Voir Référence : Syntaxe des questions avancées pour des exemples d’expressions de filtrage complexes, incluant des questions pour des sensors sur plusieurs colonnes.

Expiration des questions

Lors de l’émission d’une question dynamique ou enregistrée, TaaSle serveur Tanium attribue un ID de question à la question. L’ID de question apparaît dans le champ URL de votre navigateur Web. Par exemple, dans l’URL https://10.20.30.40/#/interact/q/376, l’ID de la question est 376.

L’ID de question expire au bout de 10 minutes, et l’URL correspondante n’est plus valide. Cela signifie que vous pouvez actualiser la page ou partager le lien uniquement pendant cette période de 10 minutes.

Après 10 minutes, si vous naviguez vers l’URL, Interact affiche un message Question Expired (Question expirée) et vous donne la possibilité de copier le texte de la question dans le champ de la question afin que vous puissiez la réémettre.

Questions enregistrées

Les Saved questions (Questions enregistrées) sont des questions que vous pouvez réémettre sans les créer à nouveau dans le champ Explore Data (Explorer les données) d’Interact. Il s’agit d’objets de configuration pour lesquels vous pouvez définir des intervalles de réémission, des permissions d’accès, des packagesactions associés et d’autres paramètres. Vous pouvez émettre des questions enregistrées manuellement ou sur la base d’un calendrier. Vous pouvez également émettre des questions enregistrées via des modules Tanium ou via des applications personnalisées qui utilisent l’API Tanium XML. Par exemple, vous pouvez utiliser Tanium™ Connect pour émettre périodiquement une question enregistrée et envoyer les résultats à un serveur externe. Vous créez des questions enregistrées en émettant une question dynamique via le champ Explore Data (Explorer les données) et en l’enregistrant. Les modules Tanium et les Content Packs que vous importez fournissent également des questions enregistrées prédéfinies. Le module Interact organise les questions enregistrées sous des tableaux de bord et organise les tableaux de bord sous les catégories. Chaque catégorie, tableau de bord et question enregistrée est affecté(e) à un content set (jeu de contenus).

Tableau de bord

Un Dashboard (Tableau de bord) est un groupe de questions enregistrées qui sont liées à l’information qu’ils récupèrent à partir des critères d’évaluation. Par exemple, le tableau de bord Hardware Inventory (Inventaire matériel) contient des questions qui récupèrent les informations CPU, disque, mémoire et BIOS. Vous pouvez émettre simultanément toutes les questions dans un tableau de bord.

Catégorie

Une Category (Catégorie) est un groupe de tableaux de bord. Il s’agit d’un terme générique pour les questions que vous utilisez à des fins particulières. Par exemple, la catégorie Security (Sécurité) comprend plusieurs tableaux de bord qui contiennent des questions liées à la sécurité.

Content Set

Un Content set (Jeu de contenu) est un groupe de questions, de tableaux de bord, de catégories et d’autres contenus enregistrés auxquels vous appliquez des permissions de rôle utilisateur pour en contrôler l’accès. Tanium fournit plusieurs ensembles de contenu prédéfinis via le pack Contenu par défaut et par les modules Tanium. Vous pouvez également créer des jeux de contenus personnalisés. Pour plus de détails et des tâches connexes, reportez-vous à la section Gestion des jeux de contenus.

Résultats des questions

Après avoir émis une question dynamique, la page Question Results (Résultats de la question) s’ouvre et affiche une grille avec les réponses (résultats) provenant des endpoints. Cette page facilite l’analyse des résultats en fournissant des options d’affichage telles que des mises à jour en direct, des filtres et des graphiques. Pour obtenir plus de détails et consulter des procédures connexes, reportez-vous à la section Gestion des résultats de la question.

Actions

Après avoir utilisé Tanium Interact pour émettre une question, analysez les résultats de la question et déterminez quels sont les points de terminaison nécessitant une action administrative. Vous pouvez déployer un package vers ces points de terminaison afin que le client Tanium puisse exécuter l’action correspondante. Pour consulter la procédure, reportez-vous à la section Déployer des actions.