Übersicht über Interact
Verwenden Sie Tanium Interact, um Fragen an verwaltete Endpunkte auszugeben, deren Antworten zu analysieren und basierend auf den Antworten Aktionen an die Endpunkte zu verteilen. Obwohl als Teil der Tanium Core Platform lizenziert, ist Interact ein Tanium-Modul
Was ist eine Frage?
Eine Tanium-Frage ist eine Anfrage, die Sie von
Die Funktion Explore Data (Daten erkunden) ist auf einem Parser für natürliche Sprachen aufgebaut, der es Ihnen ermöglicht, mit natürlichen Fragen anstatt mit einer speziellen Abfragesprache zu beginnen. Sie müssen keine Fragen als vollständige Sätze oder besonders gut formulierte Anfragen eingeben. Wortformulare haben keine Groß- und Kleinschreibung und können sogar Schreibfehler enthalten. Der Parser interpretiert Ihre Eingabe und schlägt eine Reihe gültiger Abfragen vor, die Sie verwenden können, um die Frage zu formalisieren, die an Tanium Clients gesendet wird. Interact bietet die Funktion Explore Data (Daten erkunden) als Texteingabefeld oben auf der Interact-Seite Overview (Übersicht) und der Tanium-Startseite.
Die folgende Abbildung zeigt ein Beispiel dafür, wie Interact den Parser für natürliche Sprache zum Vorschlagen gültiger Anfragen basierend auf der Benutzereingabe einsetzt. Zuerst gibt der Benutzer das Fragment last logged in user (zuletzt angemeldeter Benutzer) ein und klickt auf Search (Suchen). Als Antwort gibt Interact eine Liste von Abfragen zurück, die in gültiger Syntax ausgeführt wurden.
Fragen besitzen eine Get-Klausel, die die abzurufenden Informationen festlegt, und eine Auswahlbedingung, die die Ziel-Endpunkte festlegt. Grundlegende Fragen umfassen Folgendes:
- Einen oder mehrere Sensornamen [wie Last Logged In User (Zuletzt angemeldeter Benutzer)] in der Get-Klausel
- From all machines (Von allen Computern) (alle Endpunkte, die den Tanium Client hosten) in der Auswahlbedingung
Zu den erweiterten Fragen gehören Filterklauseln und parametrisierte Sensoren.
Für die Schritte zur Ausgabe von Fragen und Anzeige des Fragenverlaufs siehe Fragen stellen Für weitere Informationen zur Fragesyntax, siehe Referenz: Beispielfragen und Referenz: Erweiterte Fragensyntax.
Was ist ein Sensor?
Ein Sensor ist ein Skript, das auf einem Endpunkt ausgeführt wird, um eine Antwort auf eine Tanium-Frage zu berechnen.
- Hardware- und Softwarebestand und -konfiguration
- Ausführen von Anwendungen und Prozessen
- Dateien und Verzeichnisse
- Netzwerkverbindung
Weitere Informationen finden Sie im Benutzerhandbuch für die Tanium Console: Sensoren verwalten.
Zählfrage und Nicht-Zählfrage
Eine Zählfrage gibt Ergebnisse zurück, in denen es möglich ist, dass eine bestimmte Antwortzeichenkette für mehrere Endpunkte identisch ist. Das Raster Question Results (Fragenergebnisse) enthält die Spalte Count (Anzahl), die anzeigt, wie viele Endpunkte eine gemeinsame Antwort zurückgegeben haben. Eine Zählfrage kann nur einen Sensor haben. Get Operating System from all machines (Betriebssystem von allen Maschinen abrufen) ist ein Beispiel für eine Zählfrage mit einem Sensor, der das Betriebssystem von verwalteten Endpunkten zurückgibt. Wenn ein Endpunkt seine Antwort zur Antwortnachricht hinzufügt, erhöht er die Anzahl der Antworten, die mit seinem Wert übereinstimmen.
Eine Nicht-Zählfrage enthält Sensoren, die von jedem Endpunkt eine eindeutige Antwort-Zeichenkette zurückgeben. Zum Beispiel gibt Get IP Address from all machines (IP-Adresse von allen Maschinen abrufen) IP-Adressen zurück, die eindeutig sind. Bei einer nicht-zählenden Frage fügt der Tanium Client der Antwortnachricht eine neue Zeichenkette hinzu, anstatt die Anzahl für eine vorhandene Zeichenkette zu erhöhen. Die Datenmenge kann für eine Nicht-Zählfrage deshalb auf
Um eine Frage mit einzelnem Sensor mit dem Question Builder (Fragenersteller) zu erstellen, haben Sie die Möglichkeit, eine Zählfrage in eine Nicht-Zählfrage zu konvertieren, und zwar in Fällen, in denen eine Zählfrage die Antwort zu viele Ergebnisse zurückgibt.
Fragen mit mehreren Sensoren
Wenn Sie eine Frage erstellen, verwenden Sie den AND-Operator in der Get-Klausel, um mehrere Sensoren anzugeben. Die Seite Question Results (Fragenergebnisse) gruppiert Ergebnisse nach dem ersten Sensor, dann nach dem nächsten Sensor und so weiter, wie das folgende Beispiel veranschaulicht.
Fragen mit parametrisierten Sensoren
Ein parameterized sensor (parametrisierter Sensor) verwendet einen Wert, den Sie beim Eingeben der Frage in das Feld Explore Data (Daten erkunden) oder in den Question Builder (Fragenersteller) angeben. Das folgende Beispiel zeigt den Sensor [Registry Value Data (Daten des Registry-Werts)]. Die Tanium Console fordert Sie auf, einen Registry-Pfad und Wert anzugeben.
Ein weiteres Beispiel ist der Sensor für High CPU Processes (Prozesse mit hoher Auslastung der Zentraleinheit) (Central Processing Unit, CPU). Sie können einen Parameter angeben, der die Anzahl der CPU-Prozesse darstellt, die von jedem Gerät zurückgegeben werden sollen. Beispielsweise möchten Sie vielleicht die Top-5-Prozesse mit der höchsten CPU-Auslastung abfragen. Die Frage hat die folgende Syntax:
Prozesse mit hoher CPU-Auslastung[5] von allen Maschinen abrufen
Bei Sensoren mit mehreren Parametern können Sie eine durch ein Komma getrennte, geordnete Liste angeben. Um beispielsweise die ersten 10 Zeilen aus dem Aktionsprotokoll für die Aktion mit der ID 1 anzuzeigen, geben Sie eine Parameterliste wie folgt an:
Tanium-Aktionsprotokoll [1,10]von allen Maschinen abrufen
Für mehr Details, siehe Example: (Beispiel:) Parametrisierte Sensoren.
Fragen mit Filtern
Sie können Filter verwenden, um Fragen zu erstellen, die weniger Endpunkte als all Machines (alle Computer) anvisieren. Die folgende erweiterte Frage visiert beispielsweise Endpunkte an, die über einen bestimmten Prozessnamen oder Wert verfügen.
Die linke Seite (Get-Klausel) ist eine vollständige und gültige Abfrage; die rechte Seite enthält einen Filter: den Ausdruck from all machines with (von allen Computern mit). Filter in der Auswahlbedingung sind der erste Teil einer Frage, die ein Endpunkt verarbeitet. Wenn die Endpunktdaten nicht mit dem Filter übereinstimmen, verarbeitet der Endpunkt die Frage nicht weiter. Wenn die Frage mehrere Filter enthält, wertet der Endpunkt jeden Filter aus. Der Filterausdruck muss zu einem Booleschen True (Wahr) oder False (Falsch) ausgewertet werden. Zum Beispiel wird der Ausdruck bei allen Maschinen mit laufenden Prozessen ist das Erkunden enthalten als wahr ausgewertet, wenn die angegebene Zeichenkette mit der Ergebniszeichenkette übereinstimmt oder als falsch, wenn dies nicht der Fall ist. Wenn ein Filter als True (Wahr) ausgewertet wird, führt der Endpunkt die Sensoren auf der linken Seite der Frage aus und gibt die Ergebnisse zurück.
Ein parametrisierter Sensor wie File Exists[] (Datei vorhanden[]) gibt das Ergebnis File Exists: aus Filename (Datei vorhanden: Dateiname) oder File does not exist (Datei nicht vorhanden) zurück, daher müssen Sie darauf achten, wie Sie den Sensor in einen Filterausdruck eingeben.
Der Filterausdruck from all machines with File Exists (von allen Maschinen mit vorhandenen Dateien)["C:\Program Files\PuTTY\putty.exe"] mit [Exists (Vorhanden)] wird als [true (wahr)] ausgewertet, wenn das Ergebnis lautet: File Exists: (Datei vorhanden:) C:\Program Files\PuTTY\putty.exe, und als False (Falsch), wenn das Ergebnis File does not exist (Datei nicht vorhanden) lautet, also können Sie ihn verwenden, um den Antwortsatz zu filtern.
Filterausdrücke können Zeichenketten oder regulären Ausdrücke entsprechen. Die folgende Tabelle beschreibt die unterstützten Filteroperatoren, wie sie beim Verwenden des Fragenerstellers erscheinen. Die Tabelle beschreibt auch, wie einige Operatoren normalisiert werden, nachdem Sie sie aus dem Fragenersteller geladen oder die Ausdrücke in das Feld Explore Data (Daten erkunden) eingeben haben.
| Filteroperator | Nutzung |
|---|---|
| enthält |
Der Sensorwert enthält die angegebene Zeichenkette.
Beispiel: laufende Prozesse enthalten Explore (Erkunden) |
| enthalten nicht | Der Sensorwert enthält nicht die angegebene Zeichenkette. |
| beginnt mit | Der Sensorwert beginnt mit der angegebenen Zeichenkette.
Beispiel: beginnt mit Explore (Erkunden) Wenn Sie die Frage laden, wird der Ausdruck mit dem Operator Übereinstimmungen in einen regulären Ausdruck übersetzt. |
| beginnt nicht mit | Sensorwert beginnt nicht mit der angegebenen Zeichenkette. |
| endet mit |
Der Sensorwert endet mit der angegebenen Zeichenkette.
Beispiel: endet mit „explore.exe“ Wenn Sie die Frage laden, wird der Ausdruck mit dem Operator Übereinstimmungen in einen regulären Ausdruck übersetzt. |
| endet nicht mit | Der Sensorwert endet nicht mit der angegebenen Zeichenkette. |
| stimmt überein | Der Sensorwert stimmt mit dem angegebenen regulären Ausdruck (in Boost-Syntax) überein. |
| stimmt nicht überein | Der Sensorwert stimmt nicht mit dem angegebenen regulären Ausdruck überein. |
| in | Der Sensorwert stimmt mit einer der angegebenen Zeichenketten überein. Verwenden Sie Kommas ohne Leerzeichen, um die Zeichenketten zu trennen. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist gleich und oder anstelle von in.
Beispiel: Der Filter in „10.10.10.10,10.10.10.11“ im Fragenersteller wird zu IP-Adresse entspricht 10.10.10.10 oder IP-Adresse gleich 10.10.10.11, wenn Sie die Frage laden. |
| entspricht | Der Sensorwert entspricht dem angegebenen Wert oder der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist gleich anstelle von entspricht. |
| ist nicht gleich | Der Sensorwert entspricht nicht dem angegebenen Wert oder der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist nicht gleich anstelle von entspricht nicht. |
| kleiner als |
Der Sensorwert ist kleiner als der angegebene Wert. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld ein Symbol (<) anstelle der Operator-Wörter. Beispiel: installierte Anwendungsversion[chrome] <12 |
| ist kleiner als oder gleich |
Der Sensorwert ist kleiner als oder gleich der angegebenen Zeichenkette.
Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld Symbole (<=) anstelle der Operator-Wörter. Beispiel: installierte Anwendungsversion[chrome] <= 12 |
| ist größer als |
Der Sensorwert ist größer als der angegebene Wert.
Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld ein Symbol (>) anstelle der Operator-Wörter. Beispiel: installierte Anwendungsversion[chrome] >12 |
| ist größer als oder gleich |
Der Sensorwert ist größer als oder gleich der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld Symbole (>=) anstelle der Operator-Wörter. Beispiel: installierte Anwendungsversion[chrome] >= 12 |
Siehe Referenz: Erweiterte Fragensyntax für Beispiele komplexer Filterausdrücke, einschließlich Fragen mit mehrspaltigen Sensoren.
Fragenablauf
Wenn Sie eine dynamische oder gespeicherte Frage ausgeben, weist
Nach 10 Minuten verfällt die Frage-ID und ihre URL wird ungültig. Das bedeutet, dass Sie die Seite nur innerhalb dieses 10-Minuten-Zeitraums aktualisieren oder den Link freigeben können.
Wenn Sie nach 10 Minuten die URL aufrufen, zeigt Interact die Meldung Question Expired (Frage abgelaufen) an und gibt Ihnen die Möglichkeit, den Fragetext in das Fragefeld zu kopieren, sodass Sie ihn neu ausgeben können.
Gespeicherte Fragen
Saved questions (Gespeicherte Fragen) sind Fragen, die Sie erneut ausgeben können, ohne sie im Interact-Feld Explore Data (Daten erkunden) neu erstellen zu müssen. Es handelt sich um Konfigurationsobjekte, für die Sie Neuausgabe-Intervalle, Zugriffsberechtigungen, zugehörige
Dashboard
Eine Übersichtsseite ist eine Gruppe von gespeicherten Fragen, die in Bezug auf die Informationen, die sie von Endpunkten abrufen, miteinander verwandt sind. Beispiel: Die vordefinierte Übersichtsseite Hardware Inventory (Hardware-Bestand) enthält Fragen, die CPU-, Festplatten-, Speicher- und BIOS-Informationen abrufen. Sie können alle Fragen in einer Übersichtsseite gleichzeitig ausgeben.
Kategorie
Eine Kategorie ist eine Gruppe aus Übersichtsseiten. Sie dient als Schirmbegriff für Fragen, die Sie für einen bestimmten Zweck verwenden. Die Kategorie Sicherheit umfasst beispielsweise mehrere Dashboards, die sicherheitsbezogene Fragen enthalten.
Inhaltsset
Ein content set (Inhaltsset) ist eine Gruppe aus gespeicherten Fragen, Übersichtsseiten, Kategorien und anderen Inhalten, auf die Sie Benutzerrollenberechtigungen anwenden, um den Zugriff zu steuern. Tanium enthält im Standard-Inhaltspaket und in den Tanium-Modulen mehrere vordefinierte Inhaltssets. Sie können auch benutzerdefinierte Inhaltssets erstellen. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Inhaltssets.
Fragenergebnisse
Nachdem Sie eine dynamische Frage ausgeben, öffnet sich die Seite Question Results (Fragenergebnisse) und zeigt ein Raster mit den Antworten (Ergebnissen) von Endpunkten an. Die Seite erleichtert die Analyse der Ergebnisse, indem sie Anzeigeoptionen wie Live-Aktualisierungen, Filter und Diagramme bereitstellt. Einzelheiten und zugehörige Verfahren finden Sie unter Verwalten von Fragenergebnissen.
Actions
Nachdem Sie Tanium Interact verwendet haben, um eine Frage auszugeben, die Fragenergebnisse zu analysieren und zu bestimmen, welche Endpunkte administrative Aktionen erfordern, können Sie ein Paket an diese Endpunkte verteilen, sodass der Tanium Client die zugehörige Aktion ausführen kann. Für das Verfahren hierzu siehe Bereitstellen von Aktionen.
Zuletzt aktualisiert: 21.09.202117:59 | Feedback
