■はじめに
本記事では、Tanium Connectによる外部メールシステムを利用したメール送信の手順を解説しております。
本記事の参照元:Configuring email destinations using Microsoft 365
興味のある方はぜひご一読ください。
=================================================
目次
■ここまでのおさらい
■Connectionの作成と実行
■最後に
=================================================
■ここまでのおさらい
前回の記事では、Connectでメールを送信するための準備として
・Tanium Cloudの穴開け設定
・MSのメールアプリケーション登録
・Taniumへのメールサーバープロファイル登録
を実施しました。
今回は、Connectの接続の作成とメール送信を実施してみます。
■Connectionの接続の作成と実行
Connectでは、どこ(送信元)からどこ(送信先)にどんなデータを送るかの設定をConnection(接続)と呼びます。
送信元や送信先あるいはデータの種類などに合わせて、複数の接続を作成して稼働させる。ということももちろんあります。
まずは、前回の続きとして接続の作成から始めてみます。
新規の接続を作成するにはまず[Module > Connect > Connections]へと遷移します。
現在作成されている接続の一覧が表示されます。
右上の[Create Connection]をクリックします。
こちらが接続の新規作成画面です。![FireShot Capture 074 - Connection - Connect - Tanium - [sbcas-tec.cloud.tanium.com].png](/engineer-voice/blog/uploads/FireShot%20Capture%20074%20-%20Connection%20-%20Connect%20-%20Tanium%20-%20%5Bsbcas-tec.cloud.tanium.com%5D.png)
名前等を入力したら、まずはAdvanced項目を見ていきましょう。
こちらはデフォルトのままでも問題はありませんが、以下の設定を行えるので必要であれば設定を実施しましょう。
======================
Log Level:接続の実行ログに、どの程度の詳細情報を記録するかを指定。
Minimum Pass Percentage:クエリ結果のうち、成功したデータの割合がこの値を下回る場合は送信をスキップ。高く設定しすぎると、結果が部分的にしか得られない場合にデータ送信が行われないことも。
Memory Ceiling:Connect ジョブが利用できるメモリ量の上限(GBまで可)を指定。
======================
次に、Configration項目です。
ここでは送信元(何のデータを送るか)と送信先(どうやってどこに送るか)を設定可能です。
まずSourceから設定してみましょう。
Sourceは以下の一覧から選択できます。
Core機能や他のModuleで生成されたデータが利用可能です。
======================
Action History:実行されたされたアクションの記録
Client Status:各エンドポイントの状態
Event:DiscoverやThreat Responseなどのモジュールで発生したイベント
Question History:実行されたQuestionの履歴
Saved Question:Tanium Interact で作成した保存済みの質問(Saved Question)の結果
Tanium Asset:アセットレポートやアセットビュー
Tanium Audit Source:Taniumサーバーの構成と設定変更に関する詳細な監査ログ
Tanium Comply(Assessments) - Deprecated:評価結果のエクスポート
Tanium Comply(Findings):脆弱性検出結果のエクスポート
Tanium Data Service:保存済みの質問を発行した時点でオフラインになっているエンドポイントの保存されたセンサー結果
Tanium Direct Connect:Direct Connectセッションと、セッション中にユーザーがエンドポイントで実行したアクションの監査レポートを生成
Tanium Discover:環境内のインターフェースのインベントリを管理するレポート
Tanium Endpoint Configration:すべてのエンドポイント設定管理アクション、マニフェストアクション、および設定変更に関する監査レポートを生成
Tanium Impact:侵害を受けた場合に組織に最も大きな影響を与えるすべてのユーザー、グループ、エンドポイントをデータソースとして指定する接続を作成
Tanium Integrity Monitor:変更を監視するファイル、ディレクトリ、Windowsレジストリパスのウォッチリストをエクスポート
Tanium Reporting(Reports and Dashboard):Tanium Data Serviceによって収集されたデータからカスタムレポートとダッシュボードをエクスポート。HTML ファイルを宛先に送信。
Tanium Reporting(Source Data):生のソース データを送信し、すべての宛先をサポート
Tanium Reputation:レピュテーションのレポートなど
Tanium Threat Response Audit Source:Threat Responseで実行されたアクションの監査レポートなど
Tanium Trends - Deprecated:TrendsのボードをHTML形式のデータソースとして指定する接続を作成
======================
今回は以前作成したちょうどよいダッシュボードがあるので、Tanium Reporting(Reports and Dashboard)を選択してみます。
Sourceを選択すると、選択されたものに応じたサブ項目が表示されます。
Tanium Reporting(Reports and Dashboard)の場合はHTMLでの出力(メール添付ファイル)のみになるので、フォーマットは一択です。
Dashboardで作成済みのコンテンツを指定しています。
その下のAdvancedの項目についてはデフォルトでも問題ないのですが、解説だけさせていただきます。
======================
Export Timeout Second:データエクスポート時の失敗判定の時間(秒)
Computer Group:データに含むクループの範囲の指定
======================
ここまででSourceの設定は完了です!
次にDestination(送信先)の設定です。
宛先のアドレス等の情報と事前に準備したメールサーバープロファイルを利用して設定していきます。
まずデータの送信方法を選択します。今回はo365のアプリケーションを使ったメール送信なので"Email (o365)"ですね!
データの送信方法を選択すると送信に際して必要な項目が表示されます。
表を参考に設定してみましょう。
| Destination | 今回はo365 ※以下項目はo365選択時の追加項目 |
| New/Existing | New ※Existingにすると既に作成済みの接続と同じDestination Nameを選択時に、アドレス等が補完されるようになる。 |
| Destination Name | 任意の値 ※上記項目で利用可能なため内容がわかりやすいものを推奨 |
| Email Server Profile | 事前に登録したサーバープロファイルを選択 |
| Subject | メールの件名 ※変数を利用できます。デフォルトではソースとしているダッシュボードなどの名前です。リファレンス |
| To Addresses | 送信先(メールを受け取らせたい相手)のアドレスです。 |
| CC Addresses | 任意(空白可) |
| Bcc Addresses | 任意(空白可) |
| Attachment | チェックすると送信するデータは添付ファイルの形式になります。チェックなしの場合は本文に記載されます。 ※会社のルールにより、ここのチェックの如何次第で遮断されてしまい「メールが届かない...」ということもあるのでご注意を |
| Body | メール本文です。(Attachmentチェック時のみ項目表示) |
| Attachment FileName | 添付ファイルの名前です。(Attachmentチェック時のみ項目表示) |
| Filename Timestamp Format | 添付ファイル名に「_timestamp」の形で付与される日付のフォーマットを選択できます。(Attachmentチェック時のみ項目表示) |
| Compression Method | 添付ファイルの圧縮形式です。(Attachmentチェック時のみ項目表示) |
上記を設定したら残りの項目は
・Configure Output
・Schedule
の2つになります。
Configure Outputは送信前のデータにフィルタをかけることで、送信するデータの形式や送信可否をコントロールすることが出来たりします。
本記事の設定では利用しない為、こちらの項目の詳細については公式マニュアルをご参照ください。
Scheduleについても本記事では割愛いたします。
Enable Scheduleのボックスにチェックを入れることで接続の実行タイミングを設定できます。
接続の定期実行を行われる場合などにご利用ください。
以上ですべての設定が完了です。
このような仕上がりになっていればOKです。
設定が完了したら、画面最下部の[Save(保存してスケジュールされたタイミングから実行)]か[Save and Run(保存して今すぐ実行/送信)]をクリックします。
以下の確認画面が表示されますので[Confirm]で先に進みましょう。
To Addresses に設定した宛先へメールが飛んでいたら成功です!
圧縮された添付ファイルの中身は見れたでしょうか?
※以下は今回の記事で添付されたデータ
以降は設定されたスケジュール通りに接続が反復されます。
お疲れ様でした!
■最後に
メールを無事受信して、Connectの使い方をなんとなくでも把握できたでしょうか?
今回ご紹介したのはConnectのデータ送信のほんの一部です。(3%いかないくらい)
様々な形でデータを送信できるので、受信側でフォーマットをパース出来ればデータの利用選択肢は大幅に増やすことが可能です。
せっかくTaniumで様々なデータを取得できるのですから、こういった利活用の部分にも着目していきたいですね。
ご一読いただき、ありがとうございました。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のオススメ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第4技術部 1課
宮澤 建人
