Gestion des capteurs

Aperçu des sensors

Un sensor est un script exécuté sur un endpoint pour calculer une réponse à une question de Tanium. Tanium as a Service (TaaS) Le serveur Tanium distribue les sensors aux endpoints pendant l’inscription de Tanium Client. Les sensors vous permettent de poser des questions qui recueillent des informations telles que :

  • Inventaire et configuration matérielle et logicielle
  • Applications et processus en cours d’exécution
  • Fichiers et répertoires
  • Connexions réseau

TaaS fournit Le processus d’installation du serveur Tanium importe automatiquement le contenu Tanium™ par défaut et les Content Packs Tanium™ Interact qui incluent des sensors pour un large éventail de questions courantes. D’autres solutions Tanium que vous importez peuvent fournir d’autres sensors, selon les Content Packs Tanium ou les modules de solution Tanium que vous importez. Si vous ne trouvez pas le sensor dont vous avez besoin dans le contenu fourni par Tanium, vous pouvez créer des sensors personnalisés.

Une configuration de sensor inclut les paramètres, le contenu du script et les paramètres de script. Les sensors utilisent des langages de script conformes à l’industrie, plutôt qu’une syntaxe de codage propriétaire. Une meilleure pratique consiste à utiliser pour les sensors le moteur de script disponible sur le plus grand nombre de endpoints gérés. Sur les endpoints Windows, VBScript offre généralement la couverture prête à l’emploi la plus complète, car il est installé par défaut sur chaque version de bureau de Microsoft Windows depuis Windows 98, et dans chaque version Windows Server depuis Windows NT 4.0 Option Pack. Sur les endpoints MacOS et Linux, le script shell offre généralement la couverture prête à l’emploi la plus complète. Bien entendu, vous pouvez développer des sensors en utilisant tout autre langage de script que le système d’exploitation prend en charge (par ex. : PowerShell sous Windows), tant que le moteur de script associé existe déjà sur le endpoint, ou vous pouvez déployer et configurer le moteur sur les endpoint où il n’est pas installé. Vous ne pouvez pas modifier les configurations des sensors réservés Tanium, qui sont des sensors de système principaux incluant : Computer Name, Action Statuses, Computer ID, et Download Statuses (Nom de l’ordinateur, Statuts des actions, ID ordinateur et Statuts des téléchargements).

Pour les permissions de rôle requises pour gérer les sensors, reportez-vous à la section Permissions de gestion du contenu.

Afficher les détails du sensor

Pour afficher les attributs de configuration du sensor et les mesures de durée d’exécution :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).

    La grille Sensors (Sensors) affiche la plupart des attributs du sensor qui sont décrits dans le T :  Tableau 1.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Pour l’option Runtime (Durée d’exécution), cliquez sur Show (Afficher) pour afficher les mesures de durée d’exécution du sensor ou sur Hide (Masquer) (par défaut) pour les masquer.

    Pour chaque sensor, la colonne Runtime (Durée d’exécution) affiche une icône qui indique si le sensor a dépassé ou non un seuil de durée d’exécution. Vous pouvez passer le curseur de la souris sur l’icône pour afficher une infobulle indiquant la durée moyenne d’exécution en millisecondes. Pour en savoir plus sur les icônes et les étapes de configuration des seuils de durée d’exécution, reportez-vous à la section Gestion des seuils de durée d’exécution du sensor.

    Réglez l’option Show Hidden (Afficher les sensors masqués) sur Yes (Oui) pour afficher les sensors masqués. Il y aura une colonne Hidden State (État masqué) qui indique les sensors qui sont configurés comme Visible (Visibles) ou comme Hidden (Masqués).

  4. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom), Category (Catégorie) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  5. (Facultatif) Pour afficher tous les attributs décrits dans le T :  Tableau 1, cliquez sur la valeur Name (Nom) d’un sensor.
  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).

    La grille Sensors (Sensors) affiche la plupart des attributs du sensor qui sont décrits dans le T :  Tableau 1.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Pour l’option Runtime (Durée d’exécution), cliquez sur Show (Afficher) pour afficher les mesures de durée d’exécution du sensor ou sur Hide (Masquer) (par défaut) pour les masquer.

    Pour chaque sensor, la colonne Runtime (Durée d’exécution) affiche une icône qui indique si le sensor a dépassé ou non un seuil de durée d’exécution et affiche la durée moyenne d’exécution en millisecondes. Pour en savoir plus sur les icônes et les étapes de configuration des seuils de durée d’exécution, reportez-vous à la section Gestion des seuils de durée d’exécution du sensor.

  4. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom), Category (Catégorie) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  5. (Facultatif) Pour voir tous les attributs décrits dans le T :  Tableau 1, sélectionnez un sensor et cliquez sur Edit (Modifier) Modifier.

Modifier un sensor

La meilleure pratique consiste à ne pas modifier les sensors prédéfinis fournis par les packs de contenus importés depuis Tanium. Pour plus de détails, reportez-vous à la section Conseil 4 : limiter les personnalisations du contenu Tanium. Contacter l’assistance Tanium si la modification des sensors fournis par Tanium est nécessaire. Sinon, vous pouvez également cloner les sensors fournis par Tanium (reportez-vous à la section Cloner un sensor) et modifier les copies. Vous pouvez également modifier les sensors personnalisés que vous avez créés à partir de zéro.

Pour modifier l’attribution du Content Set pour plusieurs sensors qui doivent appartenir au même Set, reportez-vous à la section Déplacer les sensors entre les Content Sets.

Pour modifier un sensor :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Utilisez les fonctions de tri de colonne et de recherche pour trouver le sensor que vous souhaitez modifier.
  3. Sélectionnez le sensor et cliquez sur Edit (Modifier).
  4. Configurez les paramètres décrits dans le T :  Tableau 1 et cliquez sur Save (Enregistrer).

Déplacer les sensors entre les Content Sets

Vous pouvez déplacer les sensors entre les Content Sets, si nécessaire, afin d’adapter les modifications apportées à la configuration de contrôle d’accès basé sur les rôles (RBAC) de votre déploiement Tanium. Par exemple, vous pouvez déplacer certains sensors vers un Content Set auxquels seuls les utilisateurs hautement privilégiés peuvent accéder.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Sélectionnez le sensor et l’option Move to Content Set (Passer au Content Set) > <content_set_name>.

Cloner un sensor

Le clonage est utile lorsque vous devez :

  • Créez une version modifiée d’un sensor prédéfini à partir d’un content pack Tanium.

    Ne modifiez pas le sensor Tanium original.

  • Créez un nouveau sensor avec des paramètres qui diffèrent légèrement de ceux d’un sensor existant. Cela est souvent plus facile que de créer un nouveau sensor à partir de zéro.

Procédez comme suit pour cloner un sensor :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Utilisez les fonctions de tri de colonne et de recherche pour trouver le sensor que vous souhaitez cloner.
  3. Sélectionnez le sensor et cliquez sur Clone (Cloner).
  4. Configurez les paramètres décrits dans le T :  Tableau 1 et cliquez sur Save (Enregistrer).

Créer un sensor

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Cliquez sur New Sensor (Nouveau sensor), configurez les paramètres suivants, puis cliquez sur Save (Enregistrer).
T :  Tableau 1 : Recommandations de configuration de sensor
Paramètres Recommandations
Nom Spécifiez un nom pour identifier le sensor. Le nom apparaît dans les listes de sensors sur la console Tanium. Observez le système de dénomination existant afin que vous et d’autres administrateurs puissiez facilement le trouver. N’utilisez pas de tiret bas (_), qui est un délimiteur pour les sous-colonnes du sensor. Si le nom du sensor contient un tiret bas, les packages alimentés par le sensor ne peuvent pas utiliser le sensor comme variable de sensor.

Important : Si vous modifiez le nom du sensor, assurez-vous de reconfigurer le contenu qui le référence. Par exemple, vous devez mettre à jour le nom du sensor dans toutes les questions enregistrées qui sont configurées avec le nom précédent.

Description Entrez une description. Incluez des exemples de résultats formatés. La description apparaît dans la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) de Question Builder (Question Builder).
Content set (Content Set) Affectez à un content set. La liste est renseignée avec tous les Content Sets pour lesquels vous disposez de la permission Write Sensor (Écrire le sensor).
Catégorie Spécifiez l’une des catégories qui apparaît dans la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) de Question Builder (Question Builder).
Type de résultat La grille Question Results (Résultats de la question) traite les valeurs que le sensor renvoie comme le type de données que vous spécifiez :
  • Date/Heure (RFC822)
  • Date/Heure (WMI)
  • Taille de fichier
  • Entier
  • Adresse IP
  • Numérique
  • Texte
  • Durée
  • Version
Âge maxi. du capteur  Saisissez le temps maximum au cours duquel le client Tanium peut utiliser un résultat mis en cache pour ce sensor lors de la réponse aux questions qui utilisent le sensor. Par exemple, l’âge maximum des données pour le capteur File Size (Taille de fichier) est de 15 minutes par défaut. Lorsqu’un client Tanium reçoit une question qui exécute le sensor File Size (Taille de fichier), le résultat est mis en cache. Au cours des 15 prochaines minutes, si le client Tanium reçoit une question qui inclut le sensor File Size (Taille du fichier), la réponse est mise en cache. Au bout de 15 minutes, si le client Tanium reçoit une question qui inclut le sensor File Size (Taille du fichier), le script du sensor est relancé pour calculer une nouvelle réponse.

Utilisez des âges plus courts pour les sensors qui restituent des valeurs qui changent fréquemment, comme les sensors de statut et d’utilisation. Utilisez des âges plus longs pour des valeurs qui changent généralement rarement, comme le type de châssis ou l’appartenance au domaine Active Directory.

Le champ Max Sensor Age (Âge max. du sensor) affecte uniquement le cache des résultats sur le Tanium Client, et non le cache des résultats que le service de données Tanium™ stocke sur le serveur Tanium (reportez-vous à la section Gérer la collecte des résultats de sensors).

Max String Age (Âge maximum de la chaîne) Si vous souhaitez réduire l’impact des résultats de la question sur l’espace disque du serveur Tanium, sélectionnez Enable (Activer) et précisez l’âge maximum que les chaînes de réponses peuvent atteindre avant leur suppression par le serveur. La valeur par défaut est une semaine. L’âge de la chaîne dépend du nombre de minutes écoulées depuis la dernière utilisation de la chaîne par le serveur Tanium ou de sa date de réception de la part des clients Tanium. Pour plus de détails, reportez-vous à la section Gérer la croissance de la chaîne du capteur.

Le champ Max String Age (Âge maximum de la chaîne) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur le serveur Tanium (reportez-vous à la section Gérer la collecte des résultats de sensors).

Max Strings (Nombre maximum de chaînes) Si vous souhaitez réduire l’impact des résultats de la question sur l’espace disque du serveur Tanium, sélectionnez Enable (Activer) et saisissez le nombre maximum de chaînes de réponses que le serveur stocke pour ce sensor avant de supprimer les chaînes les plus anciennes. Le serveur inclut le nombre de chaînes pour les sensors temporaires lors du calcul du nombre de chaînes pour leurs sensors sources. La valeur par défaut est 0, qui ne spécifie aucune limite. L’âge de la chaîne dépend de la dernière utilisation de la chaîne par le serveur Tanium ou de sa date de réception de la part des clients Tanium.

Important : Lorsque vous limitez la croissance d’une chaîne, la meilleure pratique consiste à définir la valeur Max Strings Age (Âge maximum de chaînes) au lieu de Max Strings (Nombre maximum de chaînes) (reportez-vous à la section Gérer la croissance de la chaîne du capteur). Contacter l’assistance Tanium avant de régler le champ Max Strings (Nombre maximum de chaînes) dans les cas extrêmes nécessitant une limite du nombre de chaînes pour les sensors individuels.

Le champ Max Strings (Nombre maximum de chaînes) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur le serveur Tanium (reportez-vous à la section Gérer la collecte des résultats de sensors).

Ignorer le cas dans les valeurs de résultat Valeurs de résultats de groupe et de comptage, indépendamment des différences dans les caractères majuscules et minuscules.
Masquer ce sensor dans les listes de sensors et analyser les résultats Sélectionnez cette option si vous souhaitez que les listes de sensors soient affichées dans l’interface utilisateur afin d’exclure l’objet.
Diviser en plusieurs colonnes (Sensors multi-colonnes uniquement) Si le script du sensor renvoie plusieurs résultats, affichez-les dans plusieurs colonnes dans la grille Question Results (Résultats de la question). Spécifiez le caractère du délimiteur utilisé pour séparer les valeurs de résultat dans le script. Saisissez les noms des colonnes et les types de résultats correspondants, et ordonnez-les en fonction de l’ordre d’affichage dans la grille que vous souhaitez. Sélectionnez l’option Hide (Masquer) pour masquer la colonne de la vue par défaut de la grille de résultats. La figure suivante montre les paramètres du sensor Running Applications (Exécution d’applications).

Paramètres du sensor multi-colonnes

 : lors de la création de questions filtrant les sensors multi-colonnes, le filtrage à une seule colonne fonctionne uniquement si la définition du sensor spécifie des délimiteurs de colonne avec un caractère unique (par ex. |) et non pas avec plusieurs caractères (par ex. |:).

Scripts Effectuez les étapes suivantes pour chaque système d’exploitation (SE) cible :
  1. Cliquez sur + pour ajouter un SE cible.

  2. Définissez le Query Type (Type de requête) sur le moteur de script souhaité.

  3. Saisissez le texte du script.

Entrées de paramètres (Sensors paramétrés uniquement) Cliquez sur + puis sur Add Parameter (Ajouter un paramètre) pour configurer un paramètre.

Les paramètres sont :

  • Case à cocher — L’utilisateur active un paramètre en cochant une case. La valeur 0 ou 1 est saisie dans la variable. Retourne 1 si coché et 0 si non coché.
  • Date, Date et heure, Plage de dates — L’utilisateur sélectionne une date et une heure ou une plage. Le format de date-heure est Epoch en millisecondes. Pour une plage, l’utilisateur spécifie deux dates-heures séparées par un Pipe.
  • Liste déroulante — L’utilisateur sélectionne une seule option dans une liste.
  • Liste — L’utilisateur sélectionne une ou plusieurs valeurs. Plusieurs valeurs sont séparées par un Pipe.
  • Numérique — L’utilisateur saisit un nombre. L’entrée peut être contrôlée avec un minimum et des maximums. Vous pouvez spécifier une taille d’incrément pour exiger que l’entrée soit divisible par la valeur spécifiée. L’intervalle d’instantané correspond à la quantité par laquelle un nombre augmente ou diminue en appuyant sur le bouton haut ou bas respectivement. La valeur pour Step Size (Taille d’incrément) doit être un multiple de la valeur pour Snap Interval (intervalle d’instantané), sauf si l’intervalle d’instantané est égal à 0. Le nombre sélectionné par l’utilisateur est entré dans la variable.
  • Intervalle numérique — L’utilisateur sélectionne un nombre et un élément dans une liste. L’élément de la liste a une valeur numérique. La valeur saisie dans la variable est le résultat de la multiplication. Par exemple, si un utilisateur sélectionne 2 et sélectionne Haut (avec une valeur Haut de 3), la valeur est 6 dans la variable.
  • Plug-in — Non destiné à être utilisé par la plupart des utilisateurs. Contacter l’assistance Tanium pour en savoir plus sur son utilisation.
  • Séparateur — Un séparateur est une façon graphique de séparer les sections du formulaire des entrées utilisateur.
  • Zone de texte — L’utilisateur saisit une grande quantité de texte. Le texte est entré dans la variable.
  • Saisie texte — L’utilisateur saisit une entrée de texte. Les entrées autorisées peuvent être contrôlées avec des expressions régulières. L’entrée utilisateur est entrée dans la variable.
  • Heure — L’utilisateur sélectionne une heure dans une liste déroulante. L’entrée peut être soumise à des restrictions.
Aperçu du sensor L’aperçu des résultats du sensor sur un petit nombre de endpoints non critiques vous permet de tester le sensor avant de le rendre disponible pour la collecte de questions ou de sensors. L’aperçu est une précaution utile au cas où le script du sensor présenterait des défauts qui pourraient affecter négativement les endpoints.

Sélectionnez un groupe d’ordinateurs ou cliquez sur Add (Ajouter) pour en créer un, puis cliquez sur Preview (Aperçu) pour voir les résultats de test du sensor.

Exporter ou importer des configurations de sensor

Les procédures suivantes décrivent comment exporter et importer les configurations de sensors spécifiques ou de tous les sensors.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des sensors

Exportez des sensors sous forme de fichier CSV pour consulter leurs paramètres dans une application qui prend en charge ce format. Si votre compte d’utilisateur dispose d’un rôle avec la permission Export Content (Exporter le contenu), vous pouvez également exporter des actions sous forme de fichier JSON pour les importer dans un autre serveur Tanium. Le rôle réservé Administrateur comporte cette permission.

Si vous souhaitez exporter ou importer d’autres types de contenu en plus des sensors, reportez-vous à la section Gérer les services partagés et le contenu.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Sélectionnez des lignes dans la grille pour exporter uniquement des sensors spécifiques. Si vous souhaitez exporter tous les sensors, ignorez cette étape.
  3. Cliquez sur Export (Exporter) ExportExport.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option pour Export Data (Exporter les données) : L’option All (Tous) pour tous les sensors de la grille, ou Selected (Sélectionnés) pour les sensors sélectionnés uniquement.
  6. Sélectionnez le Format (Format) du fichier : JSON ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des sensors

Les utilisateurs doivent disposer des permissions Import Signed Content (Importer le contenu signé) et Read Sensor (Lire le sensor) pour pouvoir importer des sensors. Les utilisateurs disposant du rôle réservé Administrateur ou Administrateur de contenu peuvent importer tous les sensors.

Vous pouvez importer des fichiers de contenu au format JSON ou XML.

  1. Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.
  2. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
  3. Faites défiler jusqu’à la section Content (Contenu) et cliquez sur Import Import Content (Importer le contenu).
  4. Cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier de contenu et cliquez sur Open (Ouvrir).
  5. Cliquez sur Import (Importer).

    Si les noms d’objet dans le fichier sont les mêmes que pour les objets existants, la console Tanium détaille les conflits et fournit des options de résolution pour chacun d’eux.

  6. Sélectionnez les résolutions pour tout conflit. Pour obtenir des conseils, reportez-vous aux sections Conflits et Best practices.
  7. Cliquez sur Import (Importer) et cliquez sur Close (Fermer) lorsque l’importation est terminée.

Copier les détails de configuration du sensor

Copiez les informations de la page Sensors (Sensors) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Gérer les quarantaines de sensor

Aperçu des mises en quarantaine de sensors

L’application de quarantaines de sensor empêche un sensor de fonctionner sur un endpoint pour la question ou l’action en cours si ce sensor a dépassé le délai d’expiration de la durée d’exécution au cours d’une question ou d’une action précédente. L’application de quarantaine est utile pour limiter l’impact sur les ressources des endpoints, comme l’utilisation du CPU, lorsque les questions et les actions utilisent des sensors excessivement longs. La temporisation non configurable est réglée sur une minute.

Par défaut, les quarantaines ne sont pas appliquées : une fois qu’un sensor dépasse le délai d’expiration et cesse son exécution, le sensor aura un statut de quarantaine, mais continuera de fonctionner pour des questions ou des actions futures jusqu’à ce qu’il soit terminé ou expire. Dans ce cas, le client Tanium utilise le statut mis en quarantaine juste pour enregistrer que le sensor a expiré.

Que vous activiez l’application, le client Tanium arrête tout sensor au moment où il dépasse le délai d’attente. Chaque client met les sensors en quarantaine et applique les quarantaines de manière indépendante. Par conséquent, un sensor peut être mis en quarantaine sur certains endpoints et non sur d’autres.

Lorsqu’un client Tanium met en quarantaine un sensor, la console Tanium affiche le message suivant dans la grille Question Results (Résultats de la question) : Erreur TSE : L’évaluation du sensor a expiré. Lorsque vous émettez une question qui utilise un sensor déjà mis en quarantaine et que l’application est activée, la grille Question Results (Résultats de la question) affiche TSE-Error: Le sensor est mis en quarantaine. Le client Tanium ajoute des entrées aux journaux du client et aux journaux d’historique des sensors lorsqu’il met un sensor en quarantaine ou empêche un sensor déjà mis en quarantaine de fonctionner.

Si les sensors temporaires dépassent le délai d’une minute, le client Tanium met en quarantaine le sensor d’origine ainsi que tous les sensors temporaires actuels et futurs qui sont basés sur le sensor d’origine.

Lorsque l’application est activée, les sensors mis en quarantaine ne fonctionnent pas lorsqu’ils sont utilisés pour cibler les endpoints, bien que les sensors soient contenus dans des groupes d’ordinateurs. Cependant, les sensors mis en quarantaine risquent d’occulter le ciblage d’une question qui a une clause from, par exemple from all machines with Is Windows not equals true (pour toutes les machines pour lesquelles la valeur Windows n’est pas égale à zéro). Dans ce cas, les points de terminaison Windows sur lesquels le sensor Is Windows est mis en quarantaine correspondraient à la condition not equals true car leur réponse serait TSE-Error: Le sensor est mis en quarantaine plutôt que true. Pour éviter de tels résultats, rendez la clause cible aussi précise que possible et n’utilisez pas de conditions de correspondance négatives telles que not equals true.

Afficher les sensors mis en quarantaine

Pour afficher les attributs des sensors mis en quarantaine :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).

    La grille Quarantined Sensors (Sensors mis en quarantaine) affiche de nombreux attributs de sensor.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter by Text (Filtrer par texte).
    • Filter by attribute (Filtrer par attribut)Développer : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur AjouterRow (Ligne) ou sur AjouterGrouping (Groupement) (pour regrouper par opérateurs booléens), cliquez sur AjouterAdd (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).

    La grille Quarantined Sensors (Sensors mis en quarantaine) affiche bon nombre des attributs de sensors qui sont décrits dans le T :  Tableau 1.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter by Text (Filtrer par texte).
    • Filter by attribute (Filtrer par attribut)Développer : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Row (Ligne) ou sur Ajouter Grouping (Groupement) (pour regrouper par opérateurs booléens), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. (Facultatif) Pour afficher tous les attributs décrits dans le T :  Tableau 1, sélectionnez un sensor et cliquez sur Edit (Modifier).

Ajouter un sensor à mettre en quarantaine

Vous pouvez mettre en quarantaine manuellement un sensor sur un endpoint si vous anticipez que l’exécution du sensor affectera négativement le point de terminaison.

La mise en quarantaine d’un sensor n’active pas automatiquement l’application de la quarantaine.

  1. Dans le champ URL du navigateur que vous utilisez pour accéder à Tanium Console, saisissez https://<TaaS instanceTanium Server>/hash/<sensor>. Pour <l’instance TaaSle serveur Tanium>, entrez FQDN ou l’adresse IP de TaaS du serveur Tanium. Le <sensor> doit correspondre au nom du sensor que la console Tanium affiche en ce qui concerne la capitalisation et les espaces.

    Le navigateur affiche la valeur de hachage associée au sensor.

  2. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  3. Saisissez la commande suivante.

    • Windows : TaniumClient quarantine add <sensor_hash>
    • Non-Windows : ./TaniumClient quarantine add <sensor_hash>

Supprimer les sensors de la quarantaine

Vous pouvez utiliser Tanium Console pour annuler la mise en quarantaine d’un sensor sur certains ou tous les endpoints si vous avez importé du contenu par défaut (anciennement Contenu initial - Base), version 7.1.10.0000 ou ultérieure (reportez-vous à la section Gérer les services partagés et le contenu). Après avoir supprimé la mise en quarantaine d’un sensor, le client Tanium lui permet d’exécuter des questions et des actions ultérieures, mais il l’arrête et le met en quarantaine si le délai imparti est dépassé.

si vous modifiez un sensor, les clients Tanium qui reçoivent sa nouvelle définition annulent automatiquement la mise en quarantaine de ce sensor.

Le serveur Tanium TaaS ne peut pas annuler la mise en quarantaine des sensors sur des endpoints qui sont hors ligne. Si vous savez que certains endpoints ne sont disponibles en ligne qu’ultérieurement, envisagez de programmer une action qui utilise le package Un-Quarantine Sensor (Annuler la mise en quarantaine du sensor) ou Un-Quarantine Sensor (Non-Windows) (Annuler la mise en quarantaine du sensor [non Windows]) (reportez-vous à la section Déployer des actions).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. Sélectionnez les sensors et cliquez sur Unquarantine (Annuler la mise en quarantaine).
  3. Sélectionnez le Action Group (Groupe d’actions) qui inclut les endpoints où vous souhaitez annuler la quarantaine des sensors.
  4. Prévisualisez les endpoints concernés, puis cliquez sur Unquarantine (Annuler la mise en quarantaine).

Activer ou désactiver la politique de mise en œuvre des sensors en quarantaine

Après avoir activé la mise en quarantaine, les clients Tanium ne répondent pas aux questions qui utilisent des sensors mis en quarantaine et ces sensors ne fonctionnent pas pour des actions. Après avoir désactivé l’application, les clients mettent toujours en quarantaine les sensors et consignent les événements de quarantaine, mais n’empêchent pas ces sensors de fonctionner.

Votre compte utilisateur doit avoir un rôle avec la permission Write Global Settings (Écrire les paramètres globaux) pour activer ou désactiver l’application de la quarantaine. Les utilisateurs dotés du rôle réservé Administrateur disposent de cette permission.

La première fois que vous activez l’application, vous devez ajouter le paramètre EnabLesensorQuarantaine aux paramètres globaux sur le serveur Tanium comme suit. Par défaut, l’application est désactivée et le paramètre n’apparaît pas dans la console Tanium. Après avoir ajouté le paramètre, le serveur Tanium l’applique à tous les clients Tanium.

  1. Accès à Tanium Console.
  2. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux), puis cliquez sur New Setting (Nouveau paramètre).
  3. Saisissez les valeurs suivantes et cliquez sur Save (Enregistrer).
    • Setting Name = EnableSensorQuarantine
    • Setting Value = 1
    • Affects = Client
    • Value Type = Numeric

Effectuez les étapes suivantes si vous souhaitez modifier le paramètre d’application après l’avoir ajouté aux paramètres globaux :

  1. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez EnableSensorQuarantine, cliquez sur Edit (Modifier), définissez la valeur sur 1 pour activer l’application ou sur 0 pour désactiver l’application, puis cliquez sur Save (Enregistrer).

Si vous souhaitez modifier le paramètre de mise en œuvre dans des Tanium Clients spécifiques et non dans tous les clients, ajoutez ou modifiez le paramètre EnableSensorQuarantine (ActiverQuarantaineSensor) dans la configuration locale de ces clients (reportez-vous à la section Guide d’utilisation pour la gestion du Tanium Client : CLI Tanium Client et paramètres du client).

Exporter les détails de sensors mis en quarantaine

Exportez des informations sur les sensors mis en quarantaine sous forme de fichier CSV pour les afficher dans une application qui prend en charge ce format.

Les utilisateurs peuvent exporter les détails de sensors spécifiques mis en quarantaine s’ils disposent de la permission Write Sensor (Écrire le sensor) sur les Content Sets pour ces sensors. Les utilisateurs disposant du rôle réservé Administrateur ou Administrateur de contenu peuvent exporter les détails de tous les sensors mis en quarantaine.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. Sélectionnez l’une des options d’exportation suivantes :
    • Pour exporter les détails de sensors spécifiques mis en quarantaine, cochez les cases correspondantes et cliquez sur Export (Exporter).
    • Pour exporter les détails de sensors spécifiques mis en quarantaine, cliquez sur Export (Exporter) ExportExport.
  3. Saisissez un File Name (Nom de fichier) pour le fichier CSV.
  4. Pour inclure les en-têtes des colonnes de la grille dans le fichier CSV, sélectionnez Include headers in export (Inclure les en-têtes dans l’exportation).

    Ignorez l’option Flatten rows (Aplatir les lignes). Elle ne s’applique pas aux sensors mis en quarantaine.

  5. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Copier les détails de sensors mis en quarantaine

Copiez les informations de la page Quarantined Sensors (Sensors mis en quarantaine) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Gérer la collecte des résultats de sensors

Le service de données Tanium vous permet d’afficher les résultats de sensors stockés pour les endpoints qui sont hors ligne au moment où vous émettez une question. Après avoir enregistré des sensors pour la collecte, le service interroge tous les endpoints gérés pour collecter les résultats de ces sensors et les stocker dans la base de données Tanium. Pour tenir les résultats à jour, le service réémet périodiquement des questions qui contiennent les sensors enregistrés. La grille Question Results (Résultats de la question) d’Interact affiche uniquement les derniers résultats collectés. Pour en savoir plus sur l’affichage des résultats, reportez-vous à la section Afficher les résultats pour les endpoints en ligne et hors ligne.

Lorsque vous décidez quels sensors enregistrer, pensez au fait que la collecte des résultats consomme des ressources telles que la bande passante du réseau, le traitement sur les endpoints et de l’espace disque sur le serveur Tanium. La consommation de ressources augmente avec la cardinalité des sensors. Par exemple, le sensor IP Address (Adresse IP) produit une chaîne de résultat unique pour chaque endpoint, tandis que le sensor Operating System (OS) (Système d’exploitation) produit la même chaîne pour tous les endpoints qui ont le même système d’exploitation. Dans ce cas, le sensor IP Address (Adresse IP) à cardinalité élevée nécessite un niveau supérieur de bande passante, d’utilisation du CPU et de stockage que le sensor Operating System (Système d’exploitation).

Pour optimiser la consommation des ressources, configurez la collecte uniquement pour les sensors à faible cardinalité qui produisent des résultats fréquemment consultés, comme pour les rapports quotidiens. Par exemple, vous pouvez générer des rapports basés sur les résultats du sensor Applicable Patches (Correctifs applicables), afin d’évaluer la situation d’hygiène ou de sécurité des endpoints en ligne et hors ligne. Inversement, les résultats du sensor High CPU Processes (Processus à forte utilisation du CPU) fluctuent trop pour être fiables pour l’activité d’évaluation sur les endpoints hors ligne.

Pour en savoir plus sur la surveillance de la consommation de ressources associée à la collecte des résultats, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Le serveur Tanium enregistre automatiquement certains sensors pour la collecte. Par exemple, le serveur enregistre automatiquement les sensors qui identifient des endpoints ou définissent l’appartenance à des groupes de gestion d’ordinateurs. Pour consulter la liste complète, reporte-vous à la section Sensors étant enregistrés par défaut.

Pour connaître les autorisations de rôle d’utilisateur requises pour gérer la collecte de sensors, reportez-vous à la section Permissions du service de données Tanium.

Pour modifier le compte de service que le service de données Tanium utilise pour collecter les résultats des sensors, reportez-vous au Guide d’utilisation de Tanium Interact : Configurer le compte de service.

Les paramètres Max Sensor Age (Âge max. du sensor), Max String Age (Âge maximum de la chaîne) et Max Strings (Nombre maximum de chaînes) dans les configurations de sensors ne s’appliquent pas aux résultats de sensors que le service de données Tanium collecte et stocke. Pour en savoir plus sur ces paramètres, reportez-vous au T :  Tableau 1.

Afficher les détails d’enregistrement pour la collecte de sensors

Affichez le statut d’enregistrement et d’autres pour de chaque sensor :

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.

    Dans l’onglet Registration & Collection (Enregistrement et collecte), la colonne Registered (Enregistré) affiche True (Vrai) pour les sensors qui sont enregistrés et activés pour la collecte. La colonne affiche False (Faux) pour les sensors qui ne sont pas enregistrés ou qui sont enregistrés mais désactivés (la collecte est mise en pause).

    Dans la colonne la plus à droite, la liste déroulante Actions (Actions) affiche les opérations disponibles pour chaque sensor : enregistrement (Add (Ajouter)), annulation de l’enregistrement (Release (Libérer)), mise en pause de la collecte (Disable (Désactiver)), reprise de la collecte (Enable (Activer)) et purge des résultats (Purge (Purger)). Notez que vous ne pouvez pas annuler l’enregistrement, mettre en pause la collecte ou purger les résultats pour les sensors qui sont répertoriés sous la section Sensors étant enregistrés par défaut.

    Par défaut, la grille des sensors est filtrée pour exclure les sensors masqués. Pour en savoir plus sur les sensors masqués, reportez-vous au paramètre Hide this sensor from sensor lists and parse results (Masquer ce sensor dans les listes de sensors et analyser les résultats) dans le T :  Tableau 1.

    Cliquez sur la valeur Name (Nom) d’un sensor pour modifier sa configuration.

  2. (Facultatif) Pour afficher uniquement des sensors spécifiques, cliquez sur Advanced Filters (Filtres avancés) et faites votre sélection parmi les options suivantes :
    • Category (Catégorie) : affichez uniquement les sensors qui sont utilisés dans les questions attribuées aux tableaux de bord contenus dans une catégorie spécifique.
    • Registered (Enregistré) : affichez uniquement les sensors qui sont enregistrés et activés pour la collecte (True (Vrai)), ou qui ne sont pas enregistrés (False (Faux)) pour la collecte.
    • Hidden (Masqué) : affichez uniquement les sensors qui sont masqués (True (Vrai)) ou qui ne sont pas masqués (False (Faux)).
    • Has Parameters (Possède des paramètres) : affichez uniquement les sensors qui sont paramétrés (True (Vrai)) ou les sensors non paramétrés (False (Faux)).
  3. (Facultatif) Saisissez une chaîne de texte dans le champ Filter Items (Filtrer les éléments) au-dessus de la grille pour la filtrer avec la valeur Name (Nom) ou Category (Catégorie) du sensor.

Enregistrer ou annuler l’enregistrement de sensors pour la collecte

Après avoir enregistré ou annulé l’enregistrement de sensors pour la collecte, le service de données Tanium applique automatiquement les modifications pour le prochain Collection Interval (Intervalle de collecte) (reportez-vous à la section Configurer des paramètres avancés pour la collecte de sensors), lorsqu’il émet des questions pour mettre à jour les résultats des sensors. De plus, après avoir enregistré un sensor pour la collecte, le serveur commence immédiatement à collecter les résultats pour le sensor. Les modifications d’enregistrement s’appliquent également si vous Démarrer manuellement la collecte. Vous ne pouvez pas annuler l’enregistrement de sensors qui sont enregistrés par défaut.

L’annulation de l’enregistrement d’un sensor ne supprime pas ses résultats existants dans l’espace de stockage du service de données Tanium. Pour purger les résultats dans l’espace de stockage afin que la page Question Results (Résultats de la question) ne les affiche pas, reportez-vous à la section Purger les résultats pour des sensors spécifiques.

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques : reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Effectuez l’une des actions suivantes :
    • Enregistrer des sensors : sélectionnez Actions (Actions) > Add (Ajouter) pour enregistrer un sensor.

      Pour chaque sensor paramétré, vous pouvez enregistrer plusieurs instances. Pour chaque instance, spécifiez les paramètres et cliquez sur Apply (Appliquer).

    • Annuler l’enregistrement de sensors : sélectionnez Actions (Actions) > Release (Libérer) pour annuler l’enregistrement d’un sensor.

Mettre en pause ou reprendre la collecte pour les sensors

Lorsque le serveur Tanium émet des questions pour mettre à jour les résultats des sensors, il exclut tous les sensors mis en pause. Vous pouvez mettre en pause ou reprendre la collecte pour des sensors individuels sans annuler leur enregistrement ou les réenregistrer. Lorsque vous mettez en pause un sensor, la page Question Results (Résultats de la question) d’Interact continue d’afficher les derniers résultats (le cas échéant) que le serveur a collectés pour ce sensor avant que vous ne l’ayez mis en pause. Vous ne pouvez pas mettre en pause des sensors qui sont enregistrés par défaut.

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques : reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Sélectionnez Actions (Actions) > Disable (Désactiver) pour mettre en pause la collecte ou Actions (Actions) > Enable (Activer) pour reprendre la collecte pour un sensor.

Après la reprise de la collecte pour un sensor, le serveur commence immédiatement à collecter les résultats pour le sensor.

Démarrer manuellement la collecte

Pour tenir les résultats des sensors à jour, le serveur Tanium réémet automatiquement des questions sur tous les endpoints à chaque Collection Interval (Intervalle de collecte) (par défaut, toutes les heures). Le serveur collecte également les résultats immédiatement pour les sensors que vous enregistrez ou pour lesquels vous reprenez la collecte. Notez que les collectes manuelles n’affectent pas la planification Collection Interval (Intervalle de collecte) (reportez-vous à la section Configurer des paramètres avancés pour la collecte de sensors).

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Dans l’onglet Registration & Collection (Enregistrement et collecte), cliquez sur Collect Now (Collecter maintenant) au-dessus de la grille.

Purger les résultats pour des sensors spécifiques

Vous pouvez purger les résultats pour les sensors sélectionnés dans l’espace de stockage, afin que la page Question Results (Résultats de la question) ne les affiche pas.

Vous ne pouvez pas purger les résultats des sensors qui sont enregistrés par défaut.

Le service de données Tanium supprime automatiquement les résultats pour les endpoints qui ne répondent pas aux questions durant l’intervalle Max Endpoint Age (Âge max. du endpoint). Pour configurer ce processus de récupération de l’espace mémoire, reportez-vous à la section Configurer la suppression des résultats de sensors expirés.

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques : reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Annulez l’enregistrement ou mettez en pause la collecte pour les sensors que vous souhaitez purger :
    • Mettre en pause la collecte : sélectionnez Actions (Actions) > Disable (Désactiver).
    • Annuler l’enregistrement : sélectionnez Actions (Actions) > Release (Libérer).
  4. Pour chaque sensor que vous souhaitez purger, sélectionnez Actions (Actions) > Purge (Purger) et cliquez sur Confirm (Confirmer).

Configurer des paramètres avancés pour la collecte de sensors

Pour collecter les résultats pour les sensors enregistrés, le service de données Tanium émet des questions qui contiennent les sensors. Le service émet un lot de questions à la fois, télécharge les résultats à partir du serveur Tanium et écrit les résultats dans la base de données Tanium. Les paramètres de collecte par défaut empêchent les questions de consommer trop de bande passante du réseau et de traitement des endpoints. Les paramètres par défaut empêchent également le service de consommer trop de mémoire du serveur Tanium lors du téléchargement et de l’écriture des résultats. Vous pouvez modifier les paramètres au besoin en fonction du nombre de sensors que vous avez enregistrés pour la collecte et des limites de ressources de votre réseau, de vos endpoints et du serveur Tanium.

Contacter l’assistance Tanium avant de modifier les paramètres de collecte. Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent modifier les paramètres.

Pour surveiller ou dépanner le processus de collecte des sensors, sélectionnez Interact > Info (Informations) et affichez les valeurs Data Collection (Collecte de données) dans le graphique Data Service Status (Statut du service de données).

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Sélectionnez Service Configuration (Configuration du service) et configurez les paramètres suivants dans l’onglet Collection (Collecte) :
    T :  Tableau 2 : Paramètres du processus de collecte de sensors
    ConfigurationDescription
    Collection Interval (Intervalle de collecte)Spécifiez la fréquence à laquelle le service de données Tanium exécute le processus pour collecter les résultats des sensors enregistrés. Les unités sont les minutes et la valeur par défaut est 60 (une heure).
    Poll Interval (Intervalle d’interrogation)Spécifiez la fréquence à laquelle le service de données Tanium vérifie la présence de résultats pour chaque question émise. Les unités sont les secondes et la valeur par défaut est 30.
    Poll Timeout (Délai d’expiration de l’interrogation)Spécifiez la durée qui doit s’écouler, à partir du moment où le service de données Tanium a reçu pour la dernière fois de nouveaux résultats pour les questions, avant qu’il cesse de vérifier la présence de nouveaux résultats. Les unités sont les secondes et la valeur par défaut est 60 (1 minute).
    Max Sensors per Question (Nombre maximum de sensors par question)Spécifiez le nombre maximal de sensors à une seule colonne dans chaque question que le service de données Tanium émet pour collecter des résultats. Un sensor à une seule colonne renvoie une réponse que la grille Question Results (Résultats de la question) affiche dans une seule colonne. La valeur par défaut est de 30 sensors par question. Lorsque vous configurez ce paramètre, pensez à la façon dont il se combine avec le paramètre Max Concurrent Questions (Nombre maximum de questions simultanées) pour affecter la consommation de ressources pendant la collecte.

    Le service applique une limite non configurable d’un sensor multi-colonnes par question.

    Max Concurrent Questions (Nombre maximum de questions simultanées)Spécifiez le nombre maximal de questions que le service de données Tanium émet simultanément dans chaque lot pour collecter des résultats. La valeur par défaut est de 10 questions. Lorsque vous configurez ce paramètre, pensez à la façon dont il se combine avec le paramètre Max Sensors per Question (Nombre maximum de sensors par question) pour affecter la consommation de ressources pendant la collecte.
    Results Download Page Size (Taille de la page de téléchargement des résultats)Spécifiez le nombre maximal de endpoints pour lesquels le service de données Tanium télécharge les résultats à partir du serveur Tanium pendant la collecte. La valeur par défaut est 10,000. L’objectif de ce paramètre est d’optimiser l’utilisation de la mémoire pour le service et le serveur en les empêchant de traiter un jeu de données trop volumineux pour un seul téléchargement.
    Continuous Harvest (Collecte continue)Laissez les questions de collecte ouvertes en continu afin que les résultats soient envoyés à partir des endpoints lorsqu’ils sont disponibles, plutôt que selon une planification périodique. Cela augmente la vitesse de mise à jour des résultats. Contacter l’assistance Tanium avant de modifier ce paramètre.

Configurer la suppression des résultats de sensors expirés

Lorsque le service de données Tanium stocke les résultats, il les mappe à chaque endpoint et évalue leur âge d’expiration par rapport au moment où le endpoint a renvoyé les dernières mises à jour. Cela signifie que si plusieurs endpoints ont renvoyé les mêmes résultats mais à des moments différents, le processus de récupération de l’espace mémoire supprime uniquement les résultats pour les endpoints qui n’ont pas renvoyé de mises à jour durant l’intervalle d’expiration (Max Endpoint Age (Âge max. du endpoint)). Vous pouvez modifier les paramètres de récupération de l’espace mémoire au besoin en fonction du taux de croissance des chaînes de résultats et des ressources disponibles (espace de stockage et mémoire) dans le cadre de votre déploiement. Pour surveiller la croissance des chaînes et déterminer les sensors qui génèrent le plus de chaînes, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Contacter l’assistance Tanium avant de modifier les paramètres de récupération de l’espace mémoire. Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent modifier les paramètres.

Pour surveiller ou dépanner le processus de récupération de l’espace mémoire, sélectionnez Interact > Info (Informations) et affichez les valeurs Garbage Collection (Récupération de l’espace mémoire) dans le graphique Data Service Status (Statut du service de données). Par exemple, le graphique affiche une erreur Erreur  pour le processus s’il expire avant que tous les résultats expirés aient été supprimés.

  1. Accédez à la page Home (Accueil) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Sélectionnez Service Configuration (Configuration du service) > Garbage Collection (Récupération de l’espace mémoire) et configurez les paramètres suivants :
    T :  Tableau 3 : Paramètres de récupération de l’espace mémoire pour les résultats des sensors
    ConfigurationDescription
    Garbage Collection Interval (Intervalle de récupération de l’espace mémoire)Spécifiez la fréquence à laquelle le service de données Tanium vérifie les résultats qui ont expiré et les supprime. Les unités sont les minutes et la valeur par défaut est 15.
    Garbage Collection Timeout (Délai d’expiration de la récupération de l’espace mémoire)Spécifiez la durée pendant laquelle le processus de récupération de l’espace mémoire s’exécute avant expiration. Les unités sont les minutes et la valeur par défaut est 30. Lorsque le processus est en cours d’exécution, le service de données Tanium retarde toutes les mises à jour en attente sur les résultats stockés. Assurez-vous de spécifier suffisamment de temps pour pouvoir supprimer tous les résultats expirés sans retarder les mises à jour à un degré qui affecterait considérablement les utilisateurs qui doivent afficher les tout derniers résultats.

    Si le processus de récupération de l’espace mémoire expire avant que tous les résultats expirés aient été supprimés, il reprend la suppression lors du prochain intervalle Garbage Collection (Récupération de l’espace mémoire).

    Max Endpoint Age (Âge max. du endpoint)Spécifiez l’âge d’expiration des résultats collectés. Pour chaque endpoint, le service de données Tanium évalue l’âge de ses résultats en fonction du moment où le endpoint a renvoyé les dernières mises à jour pour les sensors. Les unités sont les jours et la valeur par défaut est 30. Le processus de récupération de l’espace mémoire supprime les entrées pour tous les endpoints et leurs résultats associés dans l’espace de stockage, si ces endpoints n’ont pas répondu aux questions de collecte des sensors durant l’intervalle Max Endpoint Age (Âge max. du endpoint).
    Reference Sensor Name (Nom du sensor de référence)Spécifiez le sensor que le service de données Tanium utilise pour identifier les endpoints lors de l’évaluation des résultats qui ont expiré en fonction du paramètre Max Endpoint Age (Âge max. du endpoint). Le sensor par défaut est Computer ID (ID ordinateur). La best practice consiste à utiliser l’un des sensors suivants d’identification de endpoint (EID), car ce sont ceux qui sont mis à jour le plus fréquemment : Computer ID (ID ordinateur), Computer Name (Nom de l’ordinateur) ou Computer Serial Number (Numéro de série de l’ordinateur).
    Computer Group Max Endpoint Age (Âge max. du endpoint pour le groupe d’ordinateurs)Pour chaque groupe d’ordinateurs, vous pouvez spécifier l’âge d’expiration des résultats collectés. Utilisez cette option pour définir des âges d’expiration inférieurs à la valeur spécifiée dans Max Endpoint Age (Âge max. du endpoint). Notez que les valeurs que vous définissez dans Computer Group Max Endpoint Age (Âge max. du endpoint pour le groupe d’ordinateurs) ne remplacent pas la valeur définie dans Max Endpoint Age (Âge max. du endpoint) ; c’est la valeur la plus faible qui déclenche le processus de récupération de l’espace mémoire. Les unités sont les heures.

Dépanner le processus de collecte des sensors

Pour déterminer si la collecte des sensors consomme trop de bande passante du réseau, de traitement sur les endpoints ou de ressources du serveur Tanium, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Pour résoudre d’autres problèmes de collecte des sensors, reportez-vous aux sections suivantes :

  • Guide de référence du déploiement de Tanium Core Platform : Journaux de service de données Tanium : Les journaux indiquent quand le serveur Tanium a émis chaque question pour collecter les résultats, ainsi que l’ID de la question et des informations concernant chaque sensor de la question.
  • Historique des questions : Sur la page Administration (Administration) > Management (Gestion) > Question History (Historique des questions), utilisez l’ID de la question (Qid de collecte) figurant sur les journaux du service de données Tanium pour trouver les questions spécifiques que le serveur Tanium a émises pour collecter les résultats des sensors.

Sensors étant enregistrés par défaut

Les sensors Tanium Core Platform suivants sont enregistrés pour la collecte par défaut. Après avoir installé Interact, le serveur de données Tanium commence immédiatement à collecter et à stocker les résultats pour les sensors enregistrés. Vous ne pouvez pas annuler l’enregistrement, mettre en pause la collecte ou purger les résultats pour ces sensors.

Certains modules Tanium incluent des sensors supplémentaires qui sont enregistrés par défaut lorsque vous importez les modules.

Si certains sensors qui définissent l’appartenance à un groupe d’ordinateurs ne sont pas encore disponibles dans le cadre de votre déploiement, vous pouvez les importer via le Content Pack Default Computer Groups (Groupes d’ordinateurs par défaut) : reportez-vous à la section Gérer les services partagés et le contenu.

  • Sensors d’identificateur de endpoint (EID) :
    • Computer ID (ID ordinateur)
    • Nom de l’ordinateur
    • Computer Serial Number (Numéro de série de l’ordinateur)
  • Sensors qui définissent l’appartenance à des groupes de gestion d’ordinateurs :
    • Type de châssis
    • Nom de l’ordinateur
    • Is AIX (Est AIX)
    • Is Linux (Est Linux)
    • Is Max (Est Mac)
    • Is Solaris (Est Solaris)
    • Est virtuel
    • Is Windows (Est Windows)
    • Système d’exploitation
    • Génération de système d’exploitation
    • ID de version du SE Windows
    • Type de SE Windows