Tanium

Tanium предоставляет эталонную платформу конвергентного управления конечными точками (XEM) для управления сложными средами безопасности и технологий. Tanium защищает конечные точки от киберугроз, интегрируя рабочие процессы между ИТ, рисками, соответствием требованиям и безопасностью в единой платформе. Tanium обеспечивает комплексную видимость на разных устройствах, единый набор элементов управления, исправление в режиме реального времени и общую таксономию для защиты критически важной информации и инфраструктуры в большом масштабе.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Перед началом работы

Для интеграции с Microsoft Security Copilot требуется URL-адрес экземпляра Tanium и маркер API. Перед использованием подключаемого модуля необходимо выполнить следующие действия.

1. Войдите на консоль Tanium, чтобы получить сведения, необходимые для настройки подключаемого модуля Tanium.

2. Выберите Модули>Обзор>подключений. Появится страница "Обзор подключений".

3. Выберите Параметры, а затем Microsoft Security Copilot. Затем выполните следующие действия.

   1. Выберите Копировать URL-адрес экземпляра Tanium, чтобы скопировать URL-адрес экземпляра Tanium в буфер обмена. Вставьте его в текстовый редактор, например Блокнот.

   2. Выберите Создать, чтобы создать маркер API, и скопируйте значение маркера в буфер обмена. Вставьте его в текстовый редактор.

4. Войдите в Microsoft Security Copilot.

5. Перейдите в раздел Управление подключаемыми модулями, нажав кнопку Подключаемый модуль на панели запросов.

6. В разделе Другое рядом с Tanium выберите Настроить.

7. В поле Значение вставьте URL-адрес экземпляра Tanium и маркер API. Затем сохраните изменения.

Примеры запросов Tanium

После настройки подключаемого модуля Tanium его можно использовать для получения сведений о конечных точках (устройствах) в организации. В следующей таблице перечислены некоторые возможности и примеры запросов, которые можно попробовать.

Возможность	Примеры запросов
Получение пользователя, вошедшего в систему Извлекает пользователя, вошедшего в конечную точку. Требуется платформа Tanium Core	Using Tanium, return the user currently logged into the endpoint with the hostname hostname so that I can investigate possible unauthorized endpoint use. Return a Tanium Console Question Results URL so that I can view more real-time information for this endpoint.
Получение данных в режиме реального времени из конечных точек Извлекает данные в режиме реального времени из конечных точек на основе датчика Tanium. Дополнительные сведения о поддерживаемых датчиках Требуется платформа Tanium Core, зависящая от датчика	Using Tanium, return the computer name and IP address of endpoints. Display the results in a table, alphabetically sorted by computer name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Подсчет конечных точек с версией пакета Извлекает общее число конечных точек с заданным пакетом программного обеспечения. Требуется ресурс, SBOM	Using Tanium, return the total number of endpoints with a software package for software-name, so that I can start cataloging which computers have the software installed. Display the results in a table, alphabetically sorted by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Перечисление конечных точек с пакетом Извлекает до 10 конечных точек с заданным пакетом программного обеспечения Требуется ресурс, SBOM	Using Tanium, return the endpoints with a software package for software-name so that I can start cataloguing which computers might have an out-of-date version. Display the results in a table, alphabetically sorted by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Перечисление хэшей и версий процесса SHA-256 Извлекает хэш и версию файла SHA-256 для заданного процесса Требуется ресурс, SBOM, реагирование на угрозы	Using Tanium, return the SHA-256 hash value and process version for the running process process-name, so that I can find other instances of this process based on the hash value.
Получение результатов теста уязвимостей Возвращает значение, указывающее, уязвима ли конечная точка для заданного CVE и причину ее уязвимости. Требуется соответствие требованиям Tanium	Using Tanium, examine whether endpoint <hostname> is vulnerable to <cve-id>, and return the reasons that this endpoint is vulnerable, along with a suggested plan of action to remediate the intrusion.
Перечисление конечных точек, уязвимых к CVE Извлекает до 10 конечных точек, уязвимых к заданному идентификатору CVE. Требуется соответствие требованиям Tanium	Using Tanium, return the endpoints vulnerable to cve-id, so that I can remediate the vulnerability on these endpoints. Display the results in a table, sorted alphabetically by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Просмотр процессов конечных точек Извлекает URL-адрес страницы динамического подключения реагирования на угрозы для запрошенной конечной точки, которая содержит список запущенных процессов Требуется прямое подключение, реагирование на угрозы	Using Tanium, return a Threat Response Live Connection URL for the endpoint with the hostname hostname, so that I can review the running processes and identify potential vulnerabilities.
Перечисление сведений о модуле службы Извлекает сведения о запущенном модуле службы для конечной точки, включая имя, подпись и путь к изображению Требуется реагирование на инциденты	Using Tanium, return information for the service modules running on the endpoint with the hostname hostname, so that I can review the list for unexpected service modules. Display the results in a table, alphabetically sorted by service module name, and return a Tanium Console Question Results URL so that I can view the real-time list of service modules.
Сведения о процессе службы перечисления Извлекает сведения о запущенном процессе службы для конечной точки, включая имя, идентификатор процесса и путь к файлу Требуется реагирование на инциденты	Using Tanium, return information for the service processes running on the endpoint with the hostname hostname, so that I can review the list for unexpected service processes. Display the results in a table, alphabetically sorted by service process name, and return a Tanium Console Question Results URL so that I can view the real-time list of service processes.
Перечисление потребителей событий WMI Извлекает потребителей событий инструментария управления Windows (WMI), запущенных в конечной точке Требуется реагирование на инциденты	Using Tanium, return the WMI event consumers running on the endpoint with the hostname hostname so that I can ensure only expected event consumers are running, and return a Tanium Console Question Results URL so that I can view the real-time list of event consumers.
Сведения о файле списка Извлекает сведения о файле по имени, включая конечные точки, на которых он установлен, путь к файлу и размер файла Требуется индекс	Using Tanium, return information for the file named file-name so that I can determine if it is running on unintended endpoints. Display the results in a table, alphabetically sorted, and return a Tanium Console Question Results URL so that I can view the real-time list. или Using Tanium, return information for the file named file-name installed on the endpoint with the hostname hostname, so that I can determine if it is running on unintended endpoints. Display the results in a table, alphabetically sorted, and return a Tanium Console Question Results URL so that I can view real-time information.
Перечисление дочерних процессов для файла процесса Возвращает все дочерние процессы, выполняемые в конечной точке на основе заданного имени файла процесса Требуется реагирование на угрозы	Using Tanium, list the child processes of process-name so that I can analyze resource usage. Display the results in a table, alphabetically sorted by process name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints. или Using Tanium, list the child processes of process-name that are running on the computer with the hostname hostname, so that I can analyze resource usage. Display the results in a table, alphabetically sorted by process name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Перечисление конечных точек с помощью команд Извлекает до 10 конечных точек с заданной командой командной строки Требуется реагирование на угрозы	Using Tanium, return the endpoints running the command line command process-command, so that I can ensure this process is not running on unexpected endpoints. Display the results in a table, sorted alphabetically by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Перечисление конечных точек с именем процесса Извлекает до 10 конечных точек, выполняющих данный процесс. Требуется реагирование на угрозы	Using Tanium, return the endpoints running a process called process-name, so that I can ensure this process is not running on unexpected endpoints. Display the results in a table, sorted alphabetically by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Перечисление конечных точек с хэшом MD5 процесса Извлекает до 10 конечных точек, выполняющих данный процесс, соответствующих предоставленному хэш-значению MD5 Требуется реагирование на угрозы	Using Tanium, return all endpoints that are running a process with the MD5 hash value md5-hash-value, so that I can ensure this process is not running under a different file name. Display the results in a table, sorted alphabetically by host name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Операции с файлами списка Извлекает сведения об операциях с файлами за прошлые периоды из конечных точек, включая имя конечной точки, путь к файлу и тип операции с файлом, например создание или удаление Требуется реагирование на угрозы	Using Tanium, return file operation information for the endpoint named hostname running on the file path "_partial-file-path" over the past time-frame so that I can determine if any malicious file behavior is occuring on the endpoint. Display the results in a table, alphabetically sorted, and return a Tanium Console Question Results URL so that I can view the real-time list. или Using Tanium, return file operation information for files running on the file path "_partial-file-path" over the past time-frame so that I can determine if there is any malicious file creation or deletion. Display the results in a table, alphabetically sorted, and return a Tanium Console Question Results URL so that I can view the real-time list.
Перечисление процессов, подключенных к IPv4-адресам Извлекает процессы, выполняемые в конечной точке с заданным IPv4-адресом Требуется реагирование на угрозы	Using Tanium, return the processes running on the endpoint with the IPv4 address ipv4-address, so that I can analyze any potential security intrusions and resource usage. Display the results in a table, sorted alphabetically by process name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.
Процесс перечисления запущен от имени пользователя Получение процессов, выполняемых в конечной точке от имени заданного пользователя Требуется реагирование на угрозы	Using Tanium, return the processes running as the user user-name, so that I can determine whether there are issues with unauthorized access. Display the results in a table, sorted alphabetically by computer name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints. или Using Tanium, return the processes running as the user user-name on the endpoint with the hostname hostname, so that I can determine whether there are issues with unauthorized access. Display the results in a table, sorted alphabetically by process name, and return a Tanium Console Question Results URL so that I can view the real-time list of endpoints.

Устранение неполадок с подключаемым модулем Tanium

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка, убедитесь, что подключаемый модуль включен. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули, которые имеют аналогичные функции, что и набор возможностей, который вы хотите использовать.

Предоставление отзывов

Чтобы оставить отзыв, обратитесь к Tanium.

См. также

Подключаемые модули сторонних Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot