■はじめに

Tanium Atlasについて、どんな使い方ができるか。
という活用案を考える記事になります。

参考までにご覧ください。

=======================
もくじ
■特徴的を活かす設計
■素案
■最後に
=======================

---

■特徴を活かす設計

別の記事でご紹介しましたが、以下のような仕様が見えています。
※あくまで弊社の環境で壁打ちした結果ですので、実際の仕様とは異なる場合がございます。
　その点ご留意いただけますと幸いです。

検証で見えてきた基本的な仕様を箇条書きで記載します。
--------------------------------------
・日本語にはネイティブに対応
・インターネット接続は不可
・指示(目的)を渡せば、それを実現するためのTaniumのモジュール機能を自動登録
・コンソールを閉じていてもバックグラウンドエージェントによるタスクの自動実行が可能
・マルチモーダルには非対応？(Atlasへのファイルのアップロードやダウンロードは不可)
　※Tanium上のどこかにアップロードするか、TaniumAgentがインストールされた環境にファイルを置きそこを指定すれば認識はする)
・特定の指示や処理に関しては承認ゲート(バックグラウンドエージェントに明示的にGoを伝えなくてはいけない)が設定される。
　※条件は不明
・バックグラウンドエージェントの動作の期限は？
　※おそらく半永久。但し、連続した自動実行時のエラーや事前の期限設定、またはセッション/トークンの失効で止まる可能性はあります。
・チャットの管理者間での画面共有は不可。(RBACで同じ権限が与えられていても、ユーザーに紐づいた画面が表示される)
　※チャットログの外部出力の手段は何かしら考えておく必要あり？

--------------------------------------

この中で私が注目したいのはこの部分です。

・コンソールを閉じていてもバックグラウンドエージェントによるタスクの自動実行が可能
・バックグラウンドエージェントの動作の期限は？
　※おそらく半永久。但し、連続した自動実行時のエラーや事前の期限設定、またはセッション/トークンの失効で止まる可能性はあります。

勝手にやってくれるのであれば、セキュリティ監視や運用監視の目を増やせるのでは？と思いました。

というわけで、素案を出してみます。

---

■素案

一旦素案として並べてみます。
精度を高めるため、実際のプロンプトやランニング結果は後日公開？になるかと

以下素案に関しては可能性を探るという意味で挑戦的なものも含みますが、実運用で利用することを考えたら"シンプルな物の方が良い"というのが私の考えです。

素案はあくまで、"こういうこと(使い方)も考えられる"という例にすぎません。

再現性というものを軸に考えたときに、複雑なものほど低くなり、かつ高めることが難しいです。
その上Atlasは自然言語で構築していく特性上、その再現性の振れ幅がかなり大きくなります。
そのリスクを減らすという意味でも、シンプルイズベストということですね。

再現性を大きく向上させるテクのようなものがあるのであれば別ですが...。
個人的な意見でいえば、実運用での利用を考えた場合は「あくまで慎重に。導入を考えるときは最初に再現性や動作のトリガーまでしっかり計画(もっと言えば検証)、そしてしばらくは都度調整が必要という認識」をしなくてはいけない。
と思うのです。

・Admin昇格監視

⇒ローカルユーザーのAdministratorへの昇格をしっかりと管理している組織であれば、これだけで異常を検知するアラートに活用できます。

・横展開リスク自動検出

Impact＋Threat Responseで感染エンドポイントからの横展開をマッピング
⇒Impact(権限グラフ)＋Threat Response（疑わしいプロセス）を組み合わせ、「感染が疑われるエンドポイントから到達できる高権限アカウント・システム」を自動マッピング。侵害が起きた瞬間に通知。

・サイレントブリーチ検知

Comply＋Integrity Monitor＋Performanceの3モジュール同時相関
⇒アラートは出ていないが、Comply（設定変更）＋Integrity Monitor（ファイル改ざん）＋Performance（CPU/ネットワーク異常）を同時期に観測
　「単体では閾値以下だが組み合わさると怪しい」エンドポイントを監視。
　SIEMがやるような相関をTanium内で完結させるイメージ？

・新CVE即時チェック

⇒Complyの差分監視で新検出CVEを重大度・対象バージョン付きで整理
　即時適用を考えると、PatchもしくはAutomateと組み合わせることで承認ゲートを挟む部分以外()適用まで自動化
　「リストしました」⇒「適用して」のやり取りだけで作業完結可能

・パッチ適用後の不具合検知

パッチ完了後のパフォーマンス・クラッシュ・サービス停止を自動監視
⇒パッチ適用に慎重になる独自アプリケーションなどを利用中のサーバーなどの作業前後の異常確認に利用できるかも。
　独自アプリケーションの場合は、事前にアプリケーションの仕様を学習させることでより精度の高い検出実装にすることも可能

・シャドーIT検知

⇒Assetの差分監視＋Threat Responseで未承認ソフトを即時検知
Deployで削除のデプロイメントを実行するところまで組み合わせれば自動化も可能？

・コンプライアンスドリフト追跡

⇒Complyを時系列比較して「先週PassだったのにFail」だけを抽出
　Connectのメール通知と合わせれば、異変にすぐに気付いて対策を行える。

・エンドポイント自動診断

⇒Performanceで異常検知→該当エンドポイントを自動調査して原因分析
　ガバナンスとユーザーの満足度を高める運用に役立つ

・IOC自動脅威ハンティング

⇒新規IOC追加を検知して全エンドポイントを即時スキャン、ヒット結果のサマリ表示
　個別のNW内での攻撃事象時などに、全NWでの健全性を確認できる。

・EDRサイレンサー＆EDRチョーカー対策

⇒WFP不正フィルター検知（EDR Silencer対策）
　EDRテレメトリ断絶検知（EDR Silencer対策）
　EDRバイナリ改ざん検知（EDRChoker対策）
　不正カーネルドライバー検知（EDRChoker対策）
　比較的新しいEDRChokerへの対策も取り入れることで、EDRへの攻撃にも対策を実施。

・Atlas AI Analyst

⇒Taniumで取得できる企業NWの情報や端末の情報を常時監視させ、わかりにくい異常を検知する。
　端末よりTanium側の負荷が高いかもしれない...。実現できれば、企業専用のAI Analystの導入が可能。

...etc

---

■最後に

業務に合わせて最適化した保護にも使えるという、新たな特徴に気付きました。
以降も新しい案やユースケース、作成結果などを続報としてお知らせします。

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。