在安全事件管理(SIEM)這類型的產品中,過去充斥了許多以統計圖表、儀表板為主、關鍵字搭配日期等條件搜尋為輔的解決方案,後來出現了Splunk,主要功能是讓使用者以輸入關鍵字的方式,即時搜尋所有事件記錄與各種IT資料,若需要統計圖表、儀表板的呈現方式,也直接在管理介面上執行相關的分析,以及新增至系統的儀表板,或透過搭配專為Splunk開發的各種App來執行。

不過,許多人在操作這類系統時,若打算用關鍵字搜尋,還是有困難,因為他們必須先對相關的技術有一定了解,才能下對關鍵字,否則將無法找到相關的事件記錄、做出統計。最近,市面上開始有廠商推出查詢方式更容易的SIEM產品Tanium,管理者可用更口語化的方式輸入一串英文的句子,例如「Get Operating System from all machines」,系統就會根據這句話的語意「提供所有電腦安裝的作業系統平臺資訊」,去查詢相關的資料,並即時將結果呈現出來(15秒),若要採取對應的動作,也可在極短時間內(15秒)命令電腦和伺服器執行。
相較於一般SIEM系統提供的關鍵字搜尋或條件式搜尋功能,Tanium這種查詢方式的支援,為IT管理者提供了更為直覺、人性化的事件管理介面。而在整合的快速動作功能上,Tanium也提供大量、即時的部署能力,以及範圍相當廣泛的執行環境支援。

創投公司看重產品前景,押下重金投資

這套產品之所以受到矚目,另一個原因是,知名的創投公司Andreessen Horowitz慧眼獨具,對成立只有7年的Tanium公司,投資了9千萬美元。Andreessen Horowitz是由Netscape的創辦人Marc Andreessen和Opsware執行長Ben Horowitz所共同創辦的(Opsware在2007年被HP併購,金額高達16億美元,是HP買下Compaq和Mercury之後的另一項大型併購案)。

Andreessen Horowitz曾投資Facebook、Pinterest等社群網站,而最近提供給Tanium的這筆資金之高,僅次於他們在2012年對軟體程式碼公司GitHub所投入的1億美元。Tanium公司的兩位創辦人David Hindawi和Orion Hindawi這對父子,也是大有來頭,他們創辦了BigFix公司,旗下產品針對個人電腦、伺服器等端點提供安全防護,以及軟體的部署、資產管理等功能,後來該公司在2010年被IBM所併購,而原有的產品整合到Tivoli的軟體系列,並改名為IBM Tivoli Endpoint Manager,到了2013年則又更名為IBM Endpoint Manager。

不懂關鍵字也通!可輸入英文問句,即時查詢各種電腦、伺服器與應用系統的運作狀態

跟BigFix有點類似的部分在於,Tanium的功能也是針對個人電腦、伺服器的管理,但著重在這些設備上運作的軟體與系統狀態監控,可在非常短的時間內,快速收集內部網路上所有受監控電腦的事件記錄資料,同時,還可以讓管理者針對管控環境內的每一臺端點設備,提出各種狀態查詢的請求,並即時得到回覆。

而這些請求的提出,方式也非常簡單,管理者只需要透過輸入疑問句的英文陳述,此時,內建了自然語言轉譯器的Tanium系統就會自動回答,使用者不需先學好複雜的Scripting式語言,就能以一般英文發問。

用戶可輸入的疑問句格式有很多種類型,舉例來說,像是「Who are all of the admin users that have remotely logged onto a machine in the last week and the commands that they ran?」(上週有那些管理者遠端登入一臺設備?他們執行了那些指令?),或是「What applications have been recently installed on a particular machine and which files have they created in the last 5 days?」(在特定的電腦上,最近安裝了哪些應用程式?而且,最近5天建立了哪些檔案?),系統查詢資料後,就會即時產生答案,若需要將這些結果提供給其他應用系統進行存取、分析,Tanium也支援資料匯出的功能。

這樣的功能,有助於讓企業IT快速了解是否目前面臨到種種管理上的突發狀況,例如資源即將耗盡、病毒爆發、零時差漏洞攻擊,管理者都可以即時掌握到相關訊息,而不用到幾個小時或幾天之後,就能發現潛在的原因、相互關連,進而取得控制權,並採取修正的動作。這些事件若需一段時間才能偵測與反應,可能已經釀成很嚴重的災害。

支援批次修正的機制,以便快速處理突發事件

除了快速查詢的機制,Tanium也提供快速行動(Instant Action)的功能,這些動作的內容,包括各種執行指令與檔案、軟體套件的組合,IT管理者可以運用VBScript、PowerShell、一般Unix系統的Shell、執行檔、MSI封裝檔,管理者都可運用,以便產生各種所需的動作,而不局限在幾種程式語言或指定執行環境,並且能夠遠端部署在多臺個人電腦和伺服器。

在Tanium的系統中可執行許多種類型的動作,像是將某幾臺電腦的網路連線隔離起來,接著收集相關資料、複製到集中管理的區域、通知使用者注意,然後,將這些電腦關機、標記起來,以便之後重新安裝作業系統與應用程式,或套用系統映像檔、重灌系統。

可用來防止機敏資料外洩

因為可以套用快速動作,本身可收集資料的Tanium,還可以兼作修改的機制,於是,針對一些存放、處理敏感資料的電腦,Tanium可以識別出來,並確保它們安全地鎖定在特定區域內執行,並持續受到適當的政策控管,管理者可基於是否擁有敏感資訊的條件,動態地對網路上的所有受控電腦施行安全政策,以便及時攔阻資料外洩。

Tanium本身可以掃描電腦和伺服器所儲存的資料,像是資料庫與微軟Office文件,並且偵測當中是否包含了特定的文字模式,像是一般國民的社會安全號碼、信用卡號,管理者也可以自定模式讓系統能夠偵測。

管理者也可以搜尋有哪些電腦儲存了公司的智慧財產與敏感資料,當相關的搜尋模式設定好之後,管理者可以建立對應的政策、實施,確保在所有受控電腦所執行的應用系統與服務,都能套用搜尋的模式。這有助於企業在面對多變的業務流程時,還能同步管理相關的資料外洩風險,而且不需透過太多額外部署的複雜架構,就能達到目的。

採用點對點的網路連線架構,能降低大量用戶端電腦與管理伺服器之間的流量負荷

在Tanium伺服器與受到監控的電腦、伺服器之間,溝通方式也相當特別,當中採用了點對點(peer-to-peer)的網路連線方式,而且,伺服器與這些受控電腦、防火牆可能都必須開放1個TCP埠,預設是17472埠。管理者若要透過瀏覽器連至Tanium伺服器,則會透過8080埠和8081埠連進去,所以伺服器端也要開放這兩個網路埠。而這些連線都會經過安全加密,而且是通過美國聯邦資訊處理標準FIPS 140-2驗證的。由於用戶端是彼此以點對點的方式連線,因此Tanium的網路流量主要是在區域網路,而不是廣域網路。

在建置上,Tanium也提供相當簡易的方式,不論網路規模有多大,可以做到只需一臺伺服器,就能涵蓋所有的受控用戶端電腦。

根據廠商所提供的規格,Tanium在單一架構下,最多可同時管理40萬臺設備,當然,此時的系統硬體需求也需要很高檔的規格,企業需準備一臺配備80顆實體核心、256GB記憶體、2TB硬碟空間的實體伺服器,而且需搭配1臺獨立運作、使用SQL Server企業版環境的資料庫(資料庫的容量需為8TB以上)。若管理的電腦數量在3.5萬臺以內,Tanium伺服器可支援在虛擬化環境下的部署。

若擔心一臺伺服器無法負荷所有的電腦監控流量處理,它也支援兩層式的伺服器架構,可區分為基本伺服器、分支∕聚合伺服器。而且,設定上不會太複雜,Tanium提供可自動調整組態、自動修復的網路架構,針對要管理的用戶端電腦,也能在背景執行自動登錄與重新登錄的工作。

可因應多種用途的IT管理需求

基於上述的運作就,Tanium不單是能夠因應緊急事件的快速發現與處理,也可用於日常IT需經常面對的資產管理,軟體的授權與部署管理,以及稽核政策是否遵循。以IT資產管理而言,Tanium的用戶端程式可做到定期掃描的工作,而且頻率可頻繁到每5分鐘就自動回報每臺受控電腦的IP位址,並擷取這些線上電腦的資產資訊。這些用戶端所掃描的網路範圍極小,只有它自己與鄰近的下一臺受控設備,而且若發現到網路上出現了不受控管的電腦,用戶端程式會對這些電腦自動執行查找的工作,以及掃描政策所指定的網路埠。也因此,Tanium自許這些網路掃描不會對公司有限的對外網路連線頻寬,產生巨大衝擊,而且可以掃描橫跨防火牆內外與其他類型區隔的各種網路環境。

Tanium既然能廣泛收集用戶端電腦上的資料,對於軟體授權管理的延伸應用支援,自然也不在話下。管理者只需輸入「software assets」之類的簡單問題,就能追蹤每臺電腦安裝的軟體授權,以便更新企業現有使用的授權軟體資料,並且能夠提供統計圖表與資料,協助管理者檢視近期使用者最常執行或最少執行的應用程式名稱,以便掌握是否有購買過多軟體授權或授權不足的情況發生,而不需再搭配其他專用的軟體授權管理軟體。

若要部署新的軟體,或是強制使用者安裝特定軟體的補充程式或更新檔,Tanium的用戶端軟體也可以利用本身的快速動作做到,因此若要大量安裝新軟體到用戶端電腦,或是派送微軟IE、Office、Windows或是Adobe Flash Player、Adobe Reader的漏洞修補程式,都可由Tanium來執行,並在幾分鐘內完成,不需等到好幾個小時或幾天後。它也提供自行建立封裝軟體的功能,讓管理者更容易掌控那些需部署到用戶端電腦的軟體。

 

管理者若要登入Tanium系統執行操作,需透過瀏覽器,而且必須啟用Adobe Flash的支援,而所輸入帳號可以根據伺服器本機的設定,或是整合企業既有的Windows Active Directory身分認證機制。
在網頁介面的最頂端,Tanium提供了一個輸入問題查詢的欄位,管理者可以在這裡鍵入任何想要提出的問題。首頁底下,區分為Home、Actions、Authoring、 和Administration等4大分頁。以Home主頁來說,裡面陳列了許多不同主題的儀表板群組。

 

若管理者點選儀表板群組下的特定項目,就會開啟對應的儀表板呈現,圖中為主動式安全性群組下的儀表板,裡面呈現了使用DHCP存取網路的電腦列表、停用防火牆設定的電腦狀態,以及這些電腦所使用的DNS伺服器分布。

當管理者想要查詢事件記錄時,Tanium提供了一個可輸入一般英文疑問句的自然語言文字欄位介面,而不需要透過複雜的Script式語言。
你可以輸入下列的問題,例如:「What are the computer names of the machines that are running firefox」、「Get Computer Name and Local User Login Dates from all machines」

 

能夠以簡單的方式提問是不錯,Tanium還提供快速執行指定動作的功能,例如停止或啟動特定的系統處理程序或服務、新增或刪除檔案、讀取或修改系統登錄機碼,管理者也可以用它來安裝、更新、移除、修補特定的應用程式,或是任何可透過命令列或Shell方式執行的批次作業。

對於安裝在用戶端電腦的應用軟體升級管理作業,舉凡漏洞修補、新版或新安裝的軟體部署,管理者都可以透過Tanium來操作,而不需要再透過其他的伺服器架構進行,而且在派送期間,因為支援了點對點的連線方式,就算用戶端電腦遠在區域網路之外的廣域網路上,也不需因此耗用太多對外頻寬。

Tanium的用戶端軟體會評估所在的電腦是否需要執行微軟的修補程式,以便判斷是否遺漏安裝了微軟作業系統或應用程式的修補程式,這當中運用了Windows本身所用的修補程式定義檔wsusscn2.cab,然後將這些資訊收集到管理伺服器上,以便回答管理者所提出的問題,以及反映到儀表板的圖表。而Tanium伺服器端則會定義檢查最新的定義檔,並且自動下載、派送到所管理的電腦上。

在網頁管理介面上,Tanium提供了系統狀態的功能,讓IT人員概略了解受監控電腦目前的運作情形,例如健康狀態與設定組態,這裡也會顯示每臺電腦與其他電腦聯絡的細部資訊。

 

Tanium的運作是基於點對點連線的環狀架構,用戶端程式會透過偵測連線「反射(Reflection)」的方向,來聯繫其他電腦與管理伺服器。反射進行的方向有正向、反向和不反射三種,分別會對映用戶端所處的環狀架構位置,例如在正向反射上,用戶端是位於環狀架構的最後一個節點位置,會將流量轉送至Tanium伺服器上;相反地,在反向反射時,用戶端是位於環狀架構的第一個節點位置,它無法與任何後面的端點建立連線,所以,初始連線會改成連至Tanium伺服器。

產品資訊

●建議售價:廠商未提供,可採月租或年租的訂閱制,或以永久使用模式採購

●原廠:Tantium

●伺服器硬體需求:4顆實體核心的處理器、8GB記憶體、150GB硬碟空間(不含資料庫)

●伺服器軟體需求:Windows Server 2008/2012、SQL Server 2008/2012

●用戶端軟體需求:Windows 2000~8、Mac OS X 10.5以上、Linux(RHEL, CentOS, Fedora,SUSE, Debian/Ubuntu)

●管理者主控端軟體需求:瀏覽器搭配Adobe Flash Player 11.5

 

 


Advertisement

更多 iThome相關內容