Erstellen von Profilen

Übersicht

Profile kombinieren Konfigurationen und wenden sie auf eine oder mehrere Computergruppen an. Erstellen und Anwenden von Profilen, um die relevantesten Threat Response-Fähigkeiten für bestimmte Gruppen von Endpunkten bereitzustellen. Sie können beispielsweise Profile erstellen, die Konfigurationen für solche Gruppen anwenden, wie:

  • Endpunkttyp, wie Server oder Workstations von Mitarbeitern
  • Endpunkt-Standort, z. B. nach Land oder Zeitzone
  • Priorität des Endpunkts, wie z. B. geschäftskritische Endpunkte
  • Anforderungen an die Endpunktkonfiguration, wie VDI-Endpunkte

Die Seite [Profiles (Profile)] zeigt alle Profile an, die für die Verwendung mit Threat Response verfügbar sind. Threat Response bietet Standardprofile, die häufig verwendete Konfigurationen als Beispiele verwenden. Sie können zwar keine Standardprofile bearbeiten, sie jedoch duplizieren und eine Version erstellen, die Sie anpassen können. Für jedes Profil können Sie eine Beschreibung und die Computergruppen anzeigen, denen das Profil zugewiesen ist. Profile werden als [Deployed (Bereitgestellt)], [New (Neu)], [Updated (Aktualisiert)] oder [Deploying (Wird bereitgestellt)] angezeigt.

Bereitgestellt

Zeigt an, dass das Profil derzeit auf einer oder mehreren Computergruppen verwendet wird und dass keine Änderungen an den Profileinstellungen vorgenommen wurden.

Neu

Zeigt an, dass das Profil noch nie für Endpunkte bereitgestellt wurde

Aktualisiert

Gibt an, dass das Profil in Gebrauch ist, es aber noch ausstehende Änderungen gibt, die erst wirksam werden können, wenn das Profil erneut bereitgestellt wird.

Verteilung

Gibt an, dass sich das Profil im Prozess der Bereitstellung für Endpunkte befindet.

Ein Profil erstellen

Erstellen Sie ein Profil, um Konfigurationen für die Verteilung an eine oder mehrere Computergruppen zu verwalten.

  1. Klicken Sie im Threat Response-Menü auf Management > Profiles (Profile). Klicken Sie auf Create Profiles (Profile erstellen). Geben Sie einen Namen und eine Beschreibung für das Profil an.
  2. Klicken Sie im Abschnitt Computer Groups (Computergruppen) auf Manage (Verwalten), um die Computergruppen hinzuzufügen, für die Sie die Threat Response-Konfigurationen bereitstellen möchten. Computergruppen, die Sie mit benutzerdefinierten Tags verknüpft haben, bieten Vorteile gegenüber gängigen Computergruppen wie [All Computers (Alle Computer)] oder [All Windows (Alle Windows)]. Durch die Verwendung von benutzerdefinierten Tags kann die Profilpriorisierung in Threat Response genutzt werden, ohne Änderungen an den Profilen selbst vornehmen zu müssen, zum Beispiel, wenn die Profile nach Änderungen erneut bereitgestellt werden müssen.

    Manuelle Computergruppen werden nicht unterstützt.

  3. Wählen Sie in den Abschnitten Engine, Index, Intel, Recorder (Rekorder) und Stream die Option Enable (Aktivieren), wenn Sie die entsprechende Komponente für das Profil aktivieren möchten. Wenn Sie Enable (Aktivieren) auswählen, wählen Sie eine verfügbare Konfiguration aus. Eine Zusammenfassung der Konfiguration steht zur Vorschau zur Verfügung. Wenn Sie Änderungen an der Konfiguration vornehmen müssen, klicken Sie auf Edit (Bearbeiten).

    Wenn eine Motorkonfiguration nicht aktiviert ist, können Sie trotzdem schnelle Scans durchführen. Um die Ausführung der Engine auf Endpunkten vollständig zu deaktivieren, erstellen und aktivieren Sie ein Engine-Profil und konfigurieren Sie ein vollständiges Sperrzeitfenster in den erweiterten Engine-Einstellungen.


    Wenn eine Komponente eines aktiven Profils nicht konfiguriert ist, sind die Auswirkungen wie folgt:

    -KonfigurationAuswirkungen
    IntelWenn die Intel-Komponente eines aktiven Threat Response-Profils nicht konfiguriert ist, werden Intel-Dokumente an Endpunkten immer noch aktualisiert. Intel wird jedoch nicht von der Engine verwendet, um Warnungen zu erzeugen.
    EngineWenn die Engine-Komponente eines aktiven Threat Response-Profils nicht konfiguriert ist, läuft der TaniumDetectEngine-Prozess weiter. Intel-Dokumente werden jedoch nicht verarbeitet. Schnelle Scans werden ausgewertet, wenn der Endpunkt Teil einer Zielgruppe ist und sich nicht innerhalb eines Sperrzeitfensters befindet. Eine Engine-Konfiguration sollte mit einem 24/7-Sperrzeit-Scanfenster angegeben werden, um zu verhindern, dass schnelle Scans ausgewertet werden.
    Rekorder

    Wenn die Engine-Komponente eines aktiven Threat Response-Profils nicht konfiguriert ist, läuft der TaniumClient-Prozess weiter. Der Rekorder zeichnet jedoch keine Aktivität an Endpunkten in der Aktionsgruppe auf.

    Auf Linux-Endpunkten werden die auditd- und audispd-Prozesse neu gestartet, wenn eine Konfiguration hinzugefügt oder geändert wird.
    Stellen Sie sicher, dass die Einstellung [Track Changes (Änderungen verfolgen)] in einer Indexkonfiguration nicht aktiviert ist oder der Rekorder aktiviert werden könnte.

    IndexWenn die Indexkomponente eines aktiven Threat Response-Profils entfernt wird, stoppt der TaniumEndpointIndex-Prozess, wenn er derzeit ausgeführt wird, und startet nicht neu, wenn das überarbeitete Profil bereitgestellt wird.
    StreamEs werden keine Daten an ein Ziel außerhalb von Tanium gestreamt.

  4. Klicken Sie auf Save (Speichern).

Profile priorisieren

Eine Computergruppe kann ein zugewiesenes Profil haben. Ein Endpunkt kann jedoch Mitglied mehrerer Computergruppen sein. Wenn ein Endpunkt Mitglied mehrerer Computergruppen ist, wird das Profil mit der höchsten Priorität auf diesen Endpunkt angewendet. Wenn ein anderer Benutzer Profile aktualisiert, bevor die Priorisierung von Profilen abgeschlossen werden kann, wird die Priorisierung zurückgesetzt

  1. Klicken Sie im Threat Response-Menü auf Management > Profiles (Profile).
  2. Klicken Sie auf Prioritize (Priorisieren).
  3. Ordnen Sie die Profile in der Reihenfolge ihrer Priorität an. Das Profil mit der Prioritätsnummer Eins (1) hat die höchste Priorität.
  4. Klicken Sie auf Save (Speichern).

Ein Profil bereitstellen

Stellen Sie ein Profil bereit, um die Funktionalität von Threat Response auf allen Endpunkten in den Computergruppen zu aktivieren, auf die das Profil ausgerichtet ist.

Bestätigen Sie, dass alle Pakete zwischengespeichert werden, bevor Sie ein Profil bereitstellen. Auf der Profilseite erscheint ein Menüband, wenn Sie versuchen, ein Profil bereitzustellen, bevor alle Pakete im Zwischenspeicher gespeichert werden. Klicken Sie auf das Menüband, um Details zum Status des Paket-Caching anzuzeigen.

Wenn Sie ein Profil bereitstellen, werden alle Konfigurationsinformationen, die Sie in einem Profil zugewiesen haben, für Endpunkte bereitgestellt. Die Reihenfolge, in der die Komponenten eines Profils bereitgestellt werden, sind die Profilinformationen, die Threat Response-Tools und schließlich die Informationen.

Verfolgen Sie die Verteilung von Threat Response-Tools an den Endpunkten in einer Umgebung, indem Sie sich das Threat Response Coverage-Panel in Tanium Trends ansehen. Die Messung der Abdeckung von Threat Response-Tools über Endpunkte hinweg ist wichtig. Wenn Sie bei der Suche nach bestimmten Aktivitäten nicht die Gesamtheit Ihres Bestandes einschließen, sind Sie gefährdet.
  1. Klicken Sie im Threat Response-Menü auf Management > Profiles (Profile).
  2. Wählen Sie ein oder mehrere Profile zur Bereitstellung aus, und klicken Sie auf Action(Aktion) > Deploy (Bereitstellen).

    Die Verteilung des Profils ist nicht Teil einer geplanten Aktion. Sie müssen ein Profil bereitstellen, damit Threat Response-Funktionen auf Endpunkten funktionieren können.

  3. Geben Sie Ihr Passwort ein, um die Verteilung zu bestätigen. Klicken Sie auf OK (OK).

Intel bereitstellen

Stellen Sie vor der Bereitstellung von Informationen sicher, dass Sie die Informationen gründlich getestet haben, um Folgendes zu überprüfen:

  • Die Informationen entsprechen dem, was Sie erwarten
  • Die Information stimmt nicht mit einer hohen Anzahl falsch-positiver Ergebnisse überein

Siehe Intel für die Verteilung testen für mehr Informationen.

Konfigurieren der Einstellung für die Verteilung von Informationen

  1. Klicken Sie auf der Threat Response-Seite [Overview (Übersicht)] auf [Settings (Einstellungen)] .
  2. Klicken Sie auf der Registerkarte Service auf Intel. Treffen Sie die Auswahl der Intel-Pakete:
    • Intervall der Veröffentlichung des Intel Pakets: Gibt an, wie häufig die Intel-Dokumente und Beschriftungen an die Endpunkte weitergeleitet werden (Standard: 24 Stunden).
  3. Klicken Sie auf Save (Speichern).

Informationen sofort an Endpunkte bereitstellen

Intel wird in regelmäßigen Intervallen automatisch an die Endpunkte veröffentlicht. Wenn eine Situation dies erfordert, können Sie die Intel-Dokumente und Signale manuell an die Endpunkte weiterleiten.

  1. Klicken Sie auf Management > Profiles (Profile).
  2. Klicken Sie auf Deploy Intel (Intel bereitstellen).