Vue d’ensemble des actions

Après avoir utilisé Tanium Interact pour émettre une question, analysez les résultats de la question et déterminez quels sont les endpoints nécessitant une action administrative. Vous pouvez déployer une action vers ces endpoints afin que le Tanium Client puisse exécuter le package associé. Dans un déploiement Tanium, un package comprend une commande, un script et tous les fichiers associés requis pour exécuter une action sur un point de terminaison géré. Par exemple, le package nommé Clean Stale Tanium Client Data (Nettoyer les données obsolètes du Tanium Client) inclut une commande de ligne de commande Windows, qui exécute un script Visual Basic qui supprime les données obsolètes du répertoire Tanium Client et élimine en toute sécurité tout sensor ou processus d’action obsolète. Le serveur TaniumTaaS distribue les fichiers de package aux endpoints en fonction de leurs chaînes linéaires du Tanium Client (pour obtenir plus de détails, reportez-vous à la section Guide d’utilisation pour la gestion du Tanium Client : distribution des fichiers). Les endpoints stockent tous les fichiers de package pour une action dans le dossier <Tanium_Client>/Downloads/Action_<ID>, où <ID> est l’identificateur de l’action. Lorsque l’action s’exécute, elle génère des indicateurs de statut que vous pouvez surveiller dans la console Tanium et des journaux côté client que vous pouvez utiliser pour résoudre les défaillances. Pour plus de détails sur les colis, reportez-vous à la section Gestion des packages.

Pour les permissions de rôle d’utilisateur requises pour gérer les actions, reportez-vous à la section Permissions de gestion des actions.

Voici les termes et concepts clés relatifs aux actions :

Groupe d’actions

Les groupes d’actions sont conçus pour cibler les actions de sorte que le serveur TaniumTaaS les émette uniquement à des groupes de gestion d’ordinateurs appropriés. Par exemple, vous pouvez créer un groupe d’ordinateurs pour les ordinateurs Windows, puis un groupe d’actions qui cible ce groupe d’ordinateurs. Lorsque vous configurez des actions planifiées pour déployer des packages qui utilisent des commandes Windows, vous pouvez spécifier que le serveurTaaS émet l’action uniquement au groupe d’actions pour les commandes Windows. Pour obtenir plus de détails et consulter des procédures connexes, reportez-vous à la section Gestion des groupes d’actions.

Verrouillage d’action

Les verrouillages d’actions empêchent l’exécution d’actions sur un endpoint. Vous souhaiterez peut-être déployer des verrouillages d’actions par exemple si vous rencontrez un comportement inattendu sur des endpoints et souhaitez suspendre des actions pendant le débogage. Pour obtenir plus de détails et consulter des procédures connexes, reportez-vous à la section Gestion des verrouillages d’action.

Action planifiée

Les actions planifiées sont des actions que le serveur TaniumTaaS émet selon une planification configurable. Les actions planifiées ont une heure de début qui spécifie le moment où le serveurTaaS émet pour la première fois l’action, ainsi qu’un intervalle de réémission facultatif qui spécifie la fréquence à laquelle le serveurTaaS réémet l’action. Les actions planifiées ont également une heure de fin facultative, après laquelle le serveurTaaS cesse de réémettre l’action indépendamment de l’intervalle de réémission. Les actions planifiées sont le plus souvent utilisées pour appliquer une politique ou garantir une hygiène cyber appropriée dans un environnement. Par exemple, le Content Pack par défaut Tanium™ contient plusieurs actions planifiées qui mettent périodiquement à jour l’outillage sur les endpoints, vérifient que les paramètres de configuration sont en place et maintiennent l’intégrité globale des Tanium Clients dans le cadre de votre déploiement. Pour obtenir plus de détails et consulter des procédures connexes, reportez-vous à la section Gérer des actions planifiées.

Si vous supprimez la question enregistrée qu’une action planifiée utilise pour cibler les endpoints, l’action continue d’utiliser cette question pour le ciblage et le serveur TaniumTaaS continue d’enregistrer la question dans le journal de l’historique des questions.

Approbation d’action

Certaines organisations ont des politiques qui nécessitent un processus d’approbation pour déployer des actions. Lorsque l’approbation d’action est activée, l’utilisateur connecté qui déploie l’action planifiée ne peut pas également l’approuver. L’action est mise en attente jusqu’à ce qu’un autre utilisateur l’approuve. L’utilisateur chargé de l’approbation doit disposer d’un rôle ayant la permission Approve Action (Approuver l’action). Pour les actions planifiées, l’approbation reste en vigueur jusqu’à la date de fin planifiée de l’action ou jusqu’à ce qu’un utilisateur modifie la configuration de l’action. Pour obtenir plus de détails et consulter des procédures connexes, reportez-vous à la section Gestion de l’approbation d’action.