Installieren von Threat Response

Tanium as a Service übernimmt automatisch Installationen und Upgrades von Modulen.

Verwenden Sie die Seite Tanium Solutions (Tanium-Lösungen), um Threat Response zu installieren, und wählen Sie entweder eine automatische oder eine manuelle Konfiguration aus:

  • Automatische Konfiguration mit Standardeinstellungen(nur Tanium Core Platform 7.4.2 oder höher): Threat Response wird mit allen erforderlichen Abhängigkeiten und anderen ausgewählten Produkten installiert. Nach der Installation konfiguriert der Tanium Server automatisch die empfohlenen Standardeinstellungen. Diese Option ist die beste Vorgehensweise für die meisten Verteilungen. Informationen zur automatischen Konfiguration für Threat Response finden Sie unter Import und Konfiguration von Threat Response mit Standardeinstellungen.
  • Manuelle Konfiguration mit benutzerdefinierten Einstellungen: Nach der Installation von Threat Response müssen Sie die erforderlichen Einstellungen manuell konfigurieren. Wählen Sie diese Option nur, wenn Threat Response Einstellungen erfordert, die von den empfohlenen Standardeinstellungen abweichen. Weitere Informationen finden Sie unter Import und Konfiguration von Threat Response mit benutzerdefinierten Einstellungen.

Bevor Sie beginnen

  • Lesen Sie die Versionshinweise.
  • Prüfen Sie die Anforderungen.
  • Wenn Sie eine Aktualisierung von einer früheren Version durchführen, siehe Aktualisieren der Threat Response-Version.
  • Wenn der Tanium Server ein selbstsigniertes Zertifikat verwendet, müssen Sie localhost zur TrustedHostList hinzufügen.
  • Wenn Ihre Umgebung einen Proxy verwendet, müssen Sie localhost zur BypassProxyHostList hinzufügen.

Import und Konfiguration von Threat Response mit Standardeinstellungen

Wenn Sie Threat Response mit automatischer Konfiguration importieren, werden die folgenden Standardeinstellungen konfiguriert:

  • Das Threat Response-Dienstkonto wird auf das Konto festgelegt, das Sie zum Importieren des Moduls verwendet haben.
  • Die Aktionsgruppe Threat Response ist auf die Computergruppe All Computers (Alle Computer) eingestellt.
  • Tanium-Signale werden importiert.
  • Die folgenden Threat Response-Profile werden erstellt und für bestimmte Computergruppen bereitgestellt:
Name des Profils Intel-Konfiguration Engine-Konfiguration Rekorder-Konfiguration Index-Konfiguration
[Tanium Default] - Windows

Bereitstellung an die Computergruppe All Windows (Alle Windows).
[Tanium Default] - Linux

Bereitstellung an die Computergruppe All Linux (Alle Linux).
[Tanium Default] - Mac

Bereitstellung an die Computergruppe All Mac (Alle Mac).

Um Threat Response zu importieren und Standardeinstellungen zu konfigurieren, aktivieren Sie das Kontrollkästchen Apply Tanium recommended configurations (Von Tanium empfohlene Konfigurationen anwenden) beim Ausführen der Schritte in Benutzerhandbuch für Tanium Console: Tanium-Module verwalten. Überprüfen Sie nach dem Import, ob die richtige Version installiert ist: siehe Threat Response Version überprüfen.

(Nur Tanium Core Platform 7.4.5 oder höher) Das Verfahren zum Importieren Threat Response mit automatischer Konfiguration enthält einen optionalen Schritt zum Festlegen der Threat Response Aktionsgruppe, um die Filtergruppe No Computers (Keine Computer) anzuvisieren. Diese Option hindert Threat Response an der automatischen Verteilung von Werkzeuge an Endpunkte. Beispielsweise möchten Sie möglicherweise Werkzeuge an einer Teilmenge von Endpunkten testen, bevor Sie sie für alle Endpunkte verteilen. In diesem Fall können Sie manuell Werkzeuge für eine Aktionsgruppe bereitstellen, die nur auf die Teilmenge abzielt.

Import und Konfiguration von Threat Response mit benutzerdefinierten Einstellungen

Um Threat Response ohne automatische Konfiguration der Standardeinstellungen zu importieren, deaktivieren Sie das Kontrollkästchen Apply Tanium recommended configurations (Von Tanium empfohlene Konfigurationen anwenden) beim Ausführen der Schritte in Benutzerhandbuch für Tanium Console: Tanium-Module verwalten. Überprüfen Sie nach dem Import, ob die richtige Version installiert ist: siehe Threat Response Version überprüfen.

Dienstkonto konfigurieren

Das Dienstkonto ist ein Benutzer, der mehrere Hintergrundprozesse für Threat Response ausführt. Dieser Benutzer benötigt die folgenden Rollen und Zugriffsberechtigungen:

  • Rolle Tanium Administrator oder Threat Response Service Account (Dienstkonto).
  • (Optional) Benutzerrolle verbinden, um Threat Response-Daten an Tanium Connect zu senden.
  • Wenn Sie Tanium Client Management installiert haben, wird Endpoint Configuration installiert, und standardmäßig erfordern Konfigurationsänderungen, die vom Moduldienstkonto (wie z. B. die Bereitstellung von Tools) initiiert werden, eine Genehmigung. Sie können die Genehmigung für modulgenerierte Konfigurationsänderungen umgehen, indem Sie die Berechtigung Endpoint Configuration Bypass Approval (Endpoint Configuration Bypass Genehmigung) auf diese Rolle anwenden und die relevanten Inhaltssätze hinzufügen. Weitere Informationen finden Sie im Benutzerhandbuch für Tanium Endpoint Configuration: Rollenanforderungen des Benutzers.

Weitere Informationen zu Threat Response-Berechtigungen finden Sie unter Rollenanforderungen des Benutzers.

  1. Gehen Sie im Hauptmenü zu Modules (Module) > Threat Response, um die Seite Threat Response Overview (Übersicht) zu öffnen.
  2. Klicken Sie auf Settings (Einstellungen) und öffnen Sie die Registerkarte Service Account (Dienstkonto).
  3. Aktualisieren Sie die Einstellungen für das Dienstkonto, und klicken Sie auf Save (Speichern).

Threat Response Aktionsgruppe konfigurieren

  1. Gehen Sie im Hauptmenü zu Administration (Verwaltung) > Actions (Aktionen) > Scheduled Actions (Geplante Aktionen).
  2. Klicken Sie in der Liste der Aktionsgruppen auf Tanium Threat Response.
  3. Klicken Sie auf Edit (Bearbeiten), wählen Sie Computergruppen aus, die in die Aktionsgruppe aufgenommen werden sollen, und klicken Sie auf Save (Speichern).

Verwalten von Lösungskonfigurationen mit Tanium Endpoint Configuration

Tanium Endpoint Configuration liefert Konfigurationsinformationen und erforderliche Tools für Tanium-Lösungen an Endpunkte. Endpoint Configuration konsolidiert die Konfigurationsaktionen, die traditionell mit der zusätzlichen Tanium-Funktionalität einhergehen, und eliminiert das Potenzial für Timing-Fehler, die auftreten, wenn eine Lösungskonfiguration vorgenommen wird, und den Zeitpunkt, zu dem die Konfiguration einen Endpunkt erreicht. Die Verwaltung der Konfiguration auf diese Weise reduziert die Zeit für die Installation, Konfiguration und Nutzung der Tanium-Funktionalität erheblich und verbessert die Flexibilität, bestimmte Konfigurationen auf Gruppen von Endpunkten abzustimmen.

Endpoint Configuration wird als Teil von Tanium Client Management installiert. Siehe Benutzerhandbuch für Tanium Client Management für nähere Informationen: Installation von Client Management.

Darüber hinaus können Sie Endpoint Configuration verwenden, um die Genehmigung der Konfiguration zu verwalten. Beispielsweise werden Konfigurationsänderungen nicht für Endpunkte bereitgestellt, bis ein Benutzer mit Genehmigungsberechtigung die Konfigurationsänderungen in Endpoint Configuration genehmigt. Weitere Informationen zu den Rollen und Berechtigungen, die zur Genehmigung von Konfigurationsänderungen für Threat Response erforderlich sind, finden Sie unter Rollenanforderungen des Benutzers.

Um Endpoint Configuration zur Verwaltung von Genehmigungen zu verwenden, müssen Sie die Genehmigungen für die Konfiguration aktivieren.

  1. Gehen Sie im Hauptmenü zu Administration > Shared Services > Endpoint Configuration (Administration > Geteilte Dienste > Endpoint Configuration), um die Seite Overview (Übersicht) von Endpoint Configuration zu öffnen.
  2. Klicken Sie auf [Settings (Einstellungen)] und dann auf die Registerkarte Global.
  3. Wählen Sie Enable configuration approvals (Konfigurationsgenehmigungen aktivieren) und klicken Sie auf Save (Speichern).

Weitere Informationen zu Endpoint Configuration finden Sie im Benutzerhandbuch für Tanium Endpoint Configuration.

Wenn Client Recorder Extension Version 1.x auf einem Zielendpunkt vorhanden ist, müssen Sie es entfernen, bevor Sie Client Recorder Extension Version 2.x-Tools installieren. Um Endpunkte anzuvisieren, an denen Client Recorder Extension Version 1.x vorhanden ist, stellen Sie die Frage: Legacy - Recorder installiert. Wenn in der Spalte [Supported Endpoints (Unterstützte Endpunkte)] No (Nein) angezeigt wird, müssen Sie Client Recorder Extension Version 1.x vom Endpunkt entfernen, bevor Sie Client Recorder Extension 2.x-Tools installieren. Um Client Recorder Extension Version 1.x zu entfernen, verteilen Sie das Recorder - Remove Legacy Recorder [Operating System]-Paket an gezielte Endpunkte.

Migration von Trace- und Detect-Konfigurationen zu Threat Response

Wenn Sie eine Aktualisierung auf Threat Response von Detect oder Trace durchführen, werden alle vorhandenen Trace- und Detect-Konfigurationen nicht automatisch migriert, wenn Sie die Threat Response-Lösung installieren. Sie müssen den Migrationsprozess initiieren.

  1. Klicken Sie auf der Threat Response-Übersichtsseite auf [Help (Hilfe)] und dann auf die Registerkarte Migration.
  2. Klicken Sie auf Start Migration (Migration starten).
  3. Die Konfigurationsdaten für Trace und Detect werden importiert. Wenn es Probleme mit einer Datenmigration gibt, meldet die Migration einen Fehler und eine Beschreibung des Problems, das den Fehler verursacht hat. Überprüfen Sie die Nachrichten auf der Migrationsseite, um Probleme zu lösen.
  4. Bestätigen Sie, dass Sie die Migration durchführen möchten.

Nachdem Sie Trace- und Detect-Daten migriert haben, können Sie Trace- und Detect-Daten aus eigenständigen Installationen der Trace- und Detect-Module entfernen.

  1. Klicken Sie auf der Threat Response-Übersichtsseite auf [Help (Hilfe)] und dann auf die Registerkarte Migration.
  2. Klicken Sie auf Start Cleanup (Bereinigung starten).
  3. Die Konfigurationsdaten für Trace und Detect werden aus den Installationen des eigenständigen Moduls entfernt.
  4. Bestätigen Sie, dass Sie die Bereinigung durchführen möchten.

Festlegen der Zugangsdaten für das Dienstkonto

Geben Sie für wiederkehrende Wartungsaktivitäten einen Tanium-Benutzer mit passenden Berechtigungen an. Dem Benutzer muss die Rolle Threat Response Service Account (Dienstkonto) zugewiesen werden.

Das Dienstkonto muss in der Lage sein, auf alle Computergruppen zuzugreifen, die Threat Response-Tools benötigen.

  1. Klicken Sie auf der Threat Response-Homepage auf [Settings (Einstellungen)] .
  2. Geben Sie auf der Registerkarte Service Account (Dienstkonto) gültige Zugangsdaten für Tanium Server an.
  3. Klicken Sie auf Submit (Übermitteln).

Abhängigkeiten für Tanium-Lösungen verwalten

Wenn Sie die Threat Response Workbench zum ersten Mal starten, stellt die Tanium Console sicher, dass alle erforderlichen Abhängigkeiten für Threat Response in der erforderlichen Version installiert sind. Sie müssen alle erforderlichen Tanium-Abhängigkeiten installieren, bevor die Threat Response Workbench laden kann. Ein Banner erscheint, wenn eine oder mehrere Tanium-Abhängigkeiten nicht in der Umgebung installiert sind. Die Tanium Console listet die erforderlichen Tanium-Abhängigkeiten und die erforderlichen Versionen auf.

  1. Installieren Sie die Module und freigegebenen Services, die die Tanium Console als Abhängigkeiten auflistet, wie im Benutzerhandbuch für die Tanium Console beschrieben: Bestimmte Lösungen importieren, erneut importieren oder aktualisieren.
  2. Gehen Sie im Hauptmenü zu Modules (Module) > Threat Response, um die Seite Threat Response Overview (Übersicht) zu öffnen.

Aktualisieren der Threat Response-Version

Aktualisieren Sie Threat Response auf die neueste Version, indem Sie ein Update zur Lösung importieren und vorhandene Informationen migrieren.

Bevor Sie die Aktualisierung durchführen, verwenden Sie Tanium Health Check, um einen Bericht zu erstellen, den Sie verwenden können, um alle Probleme oder Risiken im Zusammenhang mit der Tanium-Umgebung zu lösen. Beheben Sie alle von Tanium Health Check gemeldeten Probleme, um Fehler während einer Aktualisierung zu vermeiden. Sie können diesen Bericht auch dazu verwenden, Möglichkeiten für die Verbesserung der Leistung der Tanium-Umgebung zu entdecken. Weitere Informationen finden Sie im Benutzerhandbuch für Tanium Health Check: Übersicht über die Gesundheitsüberprüfung.

Wenn ein Upgrade von Version 1.x oder früher durchgeführt wird, wird die Datei monitor.db vom Endpunkt nach der ersten Kürzung von recorder.dbgelöscht. Wenn Sie monitor.db aus dem Endpunkt zur Untersuchung oder aus historischen Gründen speichern möchten, laden Sie es vom Endpunkt herunter, bevor Sie auf Threat Response 2.0 oder höher aktualisieren.

Die Schritte für die Aktualisierung von Threat Response finden Sie unter Benutzerhandbuch für Tanium Console: Tanium-Module verwalten. Überprüfen Sie nach der Aktualisierung, ob die richtige Version installiert ist: siehe Threat Response Version überprüfen.

Bei der Aktualisierung von Threat Response können Sie auswählen, dass das Threat Response Tools-Paket für alle Endpunkte in einer Umgebung automatisch aktualisiert wird, um sicherzustellen, dass die neueste Version der Threat Response-Tools verteilt wird. Wenn Sie Threat Response mit automatischer Konfiguration importieren, wird diese Option standardmäßig konfiguriert. Sie können diese Aktualisierungseinstellung ändern, wenn Sie die Threat Response-Tools für Endpunkte nicht automatisch aktualisieren möchten.

[Auto Upgrade (Automatische Aktualisierung)] ist nicht dazu bestimmt, Aktualisierungen automatisch in allen gängigen Versionen durchzuführen.

  1. Klicken Sie auf der Threat Response-Seite [Overview (Übersicht)] auf [Settings (Einstellungen)] .
  2. Klicken Sie auf Service > Auto Upgrade (Automatische Aktualisierung).
  3. Wählen oder deaktivieren Sie die Einstellung Create Actions to Automatically Upgrade Threat Response Tools on Endpoints (Aktionen erstellen, um die Threat Response-Tools auf Endpunkten automatisch zu aktualisieren).

Threat Response Version überprüfen

Überprüfen Sie nach dem Import oder der Aktualisierung von Threat Response, ob die richtige Version installiert ist:

  1. Aktualisieren Sie Ihren Browser.
  2. Gehen Sie im Hauptmenü zu Modules (Module)> Threat Response, um die Seite Threat Response Overview (Übersicht) zu öffnen.
  3. Um Versionsinformationen anzuzeigen, klicken Sie auf InfoInfo.

Probleme beheben

Wenn bei der Installation von Threat Response Probleme auftreten, siehe Fehlerbehebung.