Poser des questions

Lorsque vous utilisez Tanium Interact, vous pouvez poser des questions afin d’extraire des informations depuis les endpoints. Par exemple, vous pouvez poser une question qui détermine si les endpoints sont dépourvus de correctifs de sécurité critiques. En fonction des résultats de la question renvoyés par les endpoints, vous pouvez déployer des actions telles que l’installation de correctifs de sécurité. Pour un aperçu des questions et des concepts connexes, reportez-vous à la section Présentation d’Interact. Pour les rôles d’utilisateur et les autorisations nécessaires pour poser des questions, reportez-vous à la section Exigences du rôle utilisateur.

Émettre une question à travers le champ Explore Data (Explorer les données)

La fonctionnalité Explore Data (Explorer les données) d’Interact est un champ de saisie de texte que vous pouvez utiliser pour élaborer rapidement des questions dynamiques. Le champ est particulièrement utile lorsque vous souhaitez émettre des questions simples, ou lorsque vous comprenez suffisamment la syntaxe de questions Tanium pour saisir manuellement des questions avancées impliquant des filtres, des expressions régulières ou des opérateurs.

si vous souhaitez obtenir des conseils en créant des questions, reportez-vous à la section Émettre une question via Question Builder. Pour plus de détails sur la syntaxe des questions, reportez-vous à la section Référence : Exemples de questions et Référence : Syntaxe des questions avancées.

  1. Accédez à la page d’accueil Tanium ou à la page Overview (Vue d’ensemble) d’Interact.
  2. Saisissez votre question dans le champ Explore Data (Explorer les données) en haut de la page.

    Interact utilise un analyseur de langage naturel pour interpréter votre saisie. Le texte de la question peut être en anglais naturel et ne nécessite pas de phrases complètes, de sensibilité à la casse ou d’orthographe strictement correcte.

    Sauf si vous spécifiez une clause from (de) dans la question, Interact utilise la valeur par défaut de toutes les machines. Cette valeur par défaut spécifie que tous les endpoints gérés pour lesquels vous avez des droits de gestion des groupes d’ordinateurs répondront à la question.

  3. Cliquez sur Search (Recherche).

    Interact affiche un ensemble de questions proposées dans une syntaxe valide, répertoriées de haut en bas dans la mesure où elles se rapprochent du texte de votre question. Par exemple, si vous avez saisi last logged in user (Dernier utilisateur connecté), la question la plus importante peut être Get Last Logged In User from all machines (Obtenir le dernier utilisateur connecté à partir de toutes les machines).



    Si le texte de votre question comprend un sensor paramétré, Interact indique le nombre de paramètres pour chaque question proposée.

  4. Cliquez sur une question proposée pour la résoudre. Si la question a un sensor paramétré, cliquez sur Expand (Développer) Développer, entrez la valeur de paramètre, puis cliquez sur Ask question (Poser une question) pour poser la question.

    La page des résultats de la question, Question Results s’ouvre pour afficher les réponses des critères d’évaluation.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la section Gestion des résultats de la question.

Émettre une question via Question Builder

Le générateur de questions, Question Builder fournit une méthode guidée pour créer une question dynamique. Il contient des champs de formulaire pour vous aider à formuler l’énoncé get et la clause from, ceci incluant les filtres.

F : Figure 1 :  Question Builder

  1. Ouvrez la page Question Builder :
    • Pour créer une nouvelle question, cliquez sur Build Question (Créer une question) à côté du champ Explore Data (Explorer les données) sur la page d’accueil Tanium.
    • Pour affiner une question que vous avez déjà publiée, cliquez sur Copy to Question Builder (Copier vers Question Builder) à côté du champ de question sur la page Question Results (Résultats de la question).
    • Vous pouvez également accéder à la page Question Builder à partir du menu Interact.
  2. Cliquez sur + Add (+ Ajouter) à côté de Get the following data (Obtenir les données suivantes) pour créer la déclaration. Une ligne apparaît avec un champ de texte pour saisir un nom de sensor.
  3. Commencez à taper dans le champ du nom de sensor, utilisez les caractères pour sélectionner un sensor, puis cliquez sur Apply (Appliquer).


    Vous pouvez également cliquer sur Browse all Sensors (Parcourir tous les sensors) sous le champ du nom de sensor pour ouvrir la boîte de dialogue Browse Sensors (Parcourir les sensors) et sélectionnez un sensor. La partie inférieure de la boîte de dialogue affiche la description du sensor.

  4. Pour un capteur qui produit des données sur plusieurs colonnes Question Results (Résultats de la question) vous pouvez ajouter des filtres en fonction des correspondances de données dans les colonnes. Dans Question Builder, cliquez sur Add filter (Ajouter un filtre) sous le champ du sensor pour configurer un filtre. Par défaut, la correspondance de filtre s’applique à une seule colonne, que vous sélectionnez dans la première liste déroulante sous le nom du capteur. Notez que le filtrage à une seule colonne fonctionne uniquement si la définition du capteur spécifie les délimiteurs de colonne avec un caractère unique (par exemple : "|"), et non pas des caractères multiples (comme "|:"). Pour appliquer la correspondance à toutes les colonnes d’un sensor, activez Row Filter (Filtre de ligne).



    Vous pouvez sélectionner des opérateurs correspondants et spécifier des expressions régulières pour correspondre aux chaînes. Pour faire correspondre les sous-chaînes, sélectionnez le champ Substring (Sous-chaîne) et spécifiez une position Start (Départ) (où 0 est la première position) et le nombre de caractères (Length (Longueur)).

  5. (Facultatif) Si vous ajoutez un filtre dans les sections Get the following data (Obtenir les données suivantes) ou des ordinateurs avec, vous pouvez cliquer sur Advanced Sensor Options (Options de sensor avancées) sous le filtre pour configurer les paramètres suivants :
    T :  Tableau 2 : Paramètres de sensor avancé
    ParamètresRecommandations
    Sensibilité à la casseChaînes de groupe :
    • Ignore case (Ignorer la casse) : valeurs de résultats de groupe et de comptage, indépendamment des différences dans les caractères majuscules et minuscules.
    • Match case (Tenir compte de la casse) : Valeurs de résultats de groupe et de comptage, avec une attention stricte portée à la casse.
    CorrespondanceCette option est uniquement disponible dans la  section from computers with (des ordinateurs avec).

    Pour certains capteurs, un client Tanium peut calculer plusieurs résultats. Lorsque le capteur est utilisé comme filtre dans la clause from, spécifiez si l’un ou l’ensemble des résultats doit correspondre au filtre :

    • Match Any Value (Faire correspondre n’importe quelle valeur) : toute valeur de la réponse doit correspondre à la valeur spécifiée dans la question.
    • Match All Values (Faire correspondre toutes les valeurs) : toutes les valeurs de la réponse doivent correspondre à la valeur spécifiée dans la question.

    Par exemple, en réponse au capteur IP Address (Adresse IP), il est possible qu’un client Tanium retourne à la fois une adresse IPv6 et une adresse IPv6. Une question basée sur le capteur IP Address contenant 192.168, par exemple, peut correspondre à l’adresse IPv4 mais pas à l’adresse IPv6. Dans ce cas, vous voulez probablement faire correspondre l’option Match Any Value (Faire correspondre n’importe quelle valeur).

    Traiter les données en tant queInteract traité les valeurs de sensor comme le type de données que vous spécifiez :
    TypeExemples
    Date/Heure (BES)Vendredi, 29 janvier 2021 13:14:39 -0500
    Date/Heure (WMI)20210129131439.999999-500
    Taille de fichier8 192 Ko
    1-100 Mo
    125 Mo
    34 Go
    Entier-100

    64428
    100000000
    Adresse IP10.70.144.52
    fe80::8c22:fed6:7720:3c96
    Numérique-100.77
    0,25

    3.1415926534
    10.20.30.40
    512:17472:192.168.2.187_512:0:98.30.236.25
    1.0e-10
    Texte(peut être toute chaîne valide)
    Durée42 minutes
    8 heures
    Moins de 1 jour
    2 semaines
    36 jours
    2 ans, 3 mois, 18 jours, 4 heures, 22 minutes et 3,67 secondes
    Version7.4.4.1250
    Âge maximum des données Durée maximale pendant laquelle le client Tanium peut utiliser un résultat mis en cache pour répondre à une question. Par exemple, l’âge maximum des données pour le capteur File Size (Taille de fichier) est de 15 minutes par défaut. Lorsqu’une question posée à un client Tanium exécute le capteur File Size (Taille de fichier), le client met en cache le résultat. Au cours des 15 prochaines minutes, si une question posée au client Tanium inclut le capteur File Size, le client répond avec la réponse mise en cache. Après 15 minutes, si une question posée au client Tanium inclut le capteur File Size, le client exécute de nouveau le script du capteur pour calculer une nouvelle réponse.

    Utilisez des âges plus courts pour les capteurs qui restituent des valeurs changeant fréquemment, comme les capteurs de statut et d’utilisation. Utilisez des âges plus longs pour des valeurs qui changent généralement rarement, comme le type de châssis ou l’appartenance au domaine Active Directory.

  6. Pour créer la clause from, cliquez sur l’un des boutons suivants sous from computers with (des ordinateurs avec), puis cliquez sur Apply (Appliquer) :
    • + Add (+ Ajouter) : ajoutez une ou plusieurs conditions auxquelles les critères d’évaluation doivent correspondre. Vous pouvez baser la correspondance (Select Attribute (Sélectionner un attribut)) sur Sensor ou Computer Group (Groupe d’ordinateurs) (management groupe de gestion ou groupe de filtrage).
    • + Grouping (+ Groupement) : Sélectionnez cette option pour lier un opérateur booléen, puis utilisez + Add (+ Ajouter) pour construire l’expression imbriquée.

    Vous pouvez configurer plusieurs filtres, y compris des filtres imbriqués. Par exemple, pour enquêter sur les navigateurs Web installés sur les ordinateurs, vous pouvez sélectionner des opérateurs booléens AND ou OR dans la clause from pour cibler les navigateurs modernes.

  7. Cliquez sur Advanced Question Options (Options de question avancée) et activez Force Computer ID (Forcer l’ID d’ordinateur) si vous voulez convertir une question de comptage à un seul sensor en une question de non-comptage en forçant les Tanium Clients à inclure l’ID d’ordinateur dans leurs réponses. Notez que la page Question Results (Résultats de la question) n’inclut pas les résultats d’ID d’ordinateur lorsque vous sélectionnez cette option. La conversion en une question sans comptage est une solution de contournement qui résout les cas où une question de comptage renvoie la réponse too many results (trop de résultats). Pour plus de détails, voir l’article de la base de connaissances Troubleshooting Errors/Informational Messages (too many results message) (Erreurs de dépannage/Messages d’information (message trop de résultats)).
  8. Cliquez sur Ask question (Poser une question) pour poser une question.

    La page des résultats de la question, Question Results s’ouvre pour afficher les réponses des critères d’évaluation.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la section Gestion des résultats de la question.

Afficher l’historique des questions

Utilisez la page Question History (Historique des questions) pour réémettre manuellement des questions ou afficher une chronologie des questions émises, ainsi que leur syntaxe et d’autres détails (tels que l’émetteur et l’horodatage d’expiration). Par défaut, la page Question History (Historique des questions) affiche les questions qui ont été émises au cours des dernières 24 heures. Vous pouvez modifier la plage de dates pour afficher plus d’entrées, ou appliquer des filtres pour limiter les entrées qui apparaissent. Par défaut, le serveur Tanium conserve une entrée pour une question dans la chronologie pendant sept jours.

Par défaut, les dates et heures d’expiration (Expiration) des questions sont basées sur Local Time (Heure locale) du système que vous utilisez pour accéder à Tanium Console, mais vous pouvez passer à l’heure UTC.

Les utilisateurs doivent disposer d’un rôle avec la permission Read Question History (Lire l’historique des questions) pour afficher la page Question History (Historique des questions). Cependant, cette permission ne permet pas de charger une question de la page Question History (Historique des questions). Les utilisateurs disposant du rôle réservé Administrateur peuvent voir la page Question History (Historique des questions) et charger une question depuis la page.

Réémettre une question

Pour réémettre une question, sélectionnez la question dans la grille et cliquez sur Load (Charger). Tanium Console affiche les résultats sur la page Question Results (Résultats de la question).

Exporter l’historique des questions

Exportez les informations de la grille Question History (Historique des questions) sous forme de fichier CSV pour afficher les informations dans une application prenant en charge ce format. Si vous disposez du rôle réservé Administrateur, vous pouvez également exporter les informations en tant que fichier JSON.

  1. Dans le menu principal, allez dans Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions).
  2. Sélectionnez des lignes dans la grille pour exporter des informations pour des spécifiques. Si vous souhaitez exporter des informations pour toutes les questions, ignorez cette étape.
  3. Cliquez sur Export (Exporter) Export.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option Export Data (Exporter les données) : exporter les informations pour All (Toutes) les questions de la grille ou uniquement pour les questions Selected (Sélectionnées).
  6. Sélectionnez le format du fichier : CSV (par défaut) ou JSON (rôle Administrateur réservé uniquement).
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à la Tanium Console.

Copier les détails de l’historique des questions

Copiez les détails de l’historique des questions dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, allez dans Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.