IT Lab Cert
Home Courses About us
Espanol Sign in Create account
Tanium

Tanium Discover & Asset

Intermediate 5 modules 10 hours

Curso centrado en Tanium Discover y Tanium Asset para detección de activos, inventario, normalización, clasificación y explotación del dato en operaciones, seguridad, ITAM y CMDB.

Detectar un endpoint no es lo mismo que gobernarlo. Discover aporta visibilidad inicial de dispositivos gestionados o no gestionados; Asset convierte esa visibilidad en inventario útil y analizable. El curso enseña a pasar del hallazgo puntual a una base de datos operable.

Modulo 01. Discover: deteccion de activos y cobertura

Objetivo del modulo

Entender cómo Tanium Discover ayuda a localizar activos conocidos y desconocidos, y cómo medir la cobertura real del parque.

Resultados esperados

  • Explicar qué detecta Discover y con qué limitaciones.
  • Medir cobertura frente a expectativas de inventario.
  • Identificar activos no gestionados o fuera de control.

Desarrollo teorico

Tanium Discover es el módulo de la plataforma diseñado para detectar dispositivos conectados a la red corporativa, tanto los que ya tienen el Tanium Client instalado como los que no. Su función principal es cerrar la brecha de visibilidad entre lo que la organización cree que tiene y lo que realmente existe en sus segmentos de red. A diferencia de los escáneres de red tradicionales que operan desde un punto central, Discover aprovecha la presencia distribuida del Tanium Client en los endpoints gestionados para realizar escaneos descentralizados desde múltiples ubicaciones de la red simultáneamente.

El mecanismo de detección de Discover se basa en varias técnicas complementarias. La primera es el escaneo ARP (Address Resolution Protocol), donde los clientes Tanium existentes en cada segmento de red envían solicitudes ARP para descubrir qué otras direcciones IP están activas en su subred local. Como ARP opera en capa 2, detecta dispositivos que podrían no responder a ping o a escaneos de puertos. La segunda técnica es el escaneo por ping sweep, que envía solicitudes ICMP a rangos de IP configurados para detectar dispositivos que responden. La tercera es la detección por Nmap fingerprinting, que permite identificar el sistema operativo y los servicios activos en dispositivos descubiertos mediante análisis de respuestas de red. Estas técnicas se combinan para crear un mapa completo de los dispositivos presentes en cada segmento.

La configuración de Discover se realiza desde la consola de Tanium en el módulo Discover, donde se definen los Scan Profiles. Un Scan Profile especifica qué rangos de IP o subnets escanear, con qué frecuencia, qué técnicas de detección usar y qué clientes Tanium actuarán como scanners en cada segmento. Es fundamental seleccionar como scanners a clientes que estén físicamente presentes en el segmento objetivo, porque un escaneo ARP solo funciona dentro de la misma subred de capa 2. Para subnets donde no hay clientes Tanium, se pueden usar técnicas de capa 3 como ping o port scan desde clientes de segmentos adyacentes con routing habilitado.

Los resultados de Discover se organizan en varias categorías. Los dispositivos Managed son aquellos que ya tienen el Tanium Client instalado y activo. Los Unmanaged son dispositivos detectados en la red que no tienen cliente y por tanto están fuera del control directo de Tanium. Los dispositivos de tipo Non-Computer incluyen impresoras, switches, puntos de acceso WiFi, cámaras IP y otros equipos de red que Discover puede detectar pero que no son candidatos para instalar el cliente. Esta clasificación automática permite a los equipos de operaciones y seguridad focalizar su atención en los activos más relevantes.

La diferencia fundamental entre detección y cobertura es que detectar un activo una sola vez en un escaneo no garantiza que esté bajo control operativo. La cobertura implica visibilidad sostenida, capacidad de obtener atributos técnicos detallados, asociación con un propietario o departamento, y capacidad de aplicar políticas de seguridad y remediación. Un endpoint detectado por Discover como Unmanaged es un hallazgo que debe desencadenar un proceso de triaje: determinar si es un dispositivo legítimo que necesita el cliente Tanium, un dispositivo conocido que está correctamente fuera de alcance, o un dispositivo no autorizado que representa un riesgo de seguridad.

Discover también permite configurar alertas automáticas cuando aparecen nuevos dispositivos en segmentos monitorizados. Esto es especialmente valioso en entornos con controles estrictos de acceso a red, donde la aparición de un dispositivo desconocido puede indicar una conexión no autorizada, un equipo BYOD no registrado o incluso un dispositivo comprometido usado en un ataque. Las alertas se integran con el flujo de trabajo del SOC y pueden disparar acciones de investigación inmediata.

Para medir la cobertura de forma efectiva, Discover debe cruzarse con otras fuentes de inventario. La comparación con Active Directory revela qué cuentas de equipo están registradas pero no tienen cliente Tanium activo. La comparación con DHCP muestra qué direcciones IP se asignan pero no corresponden a endpoints gestionados. La comparación con registros de compras o ITAM identifica equipos adquiridos que nunca fueron dados de alta en la plataforma. Este análisis cruzado produce un gap analysis que cuantifica exactamente cuántos activos faltan por gestionar, en qué segmentos están y qué tipo de dispositivos son.

La programación de escaneos debe balancear frecuencia con impacto. Escaneos muy frecuentes proporcionan visibilidad casi en tiempo real pero generan tráfico de red adicional. Escaneos poco frecuentes pueden perder dispositivos temporales o efímeros. Una práctica recomendada es ejecutar escaneos ARP ligeros cada pocas horas en segmentos críticos y escaneos completos con fingerprinting una vez al día o a la semana, ajustando según la criticidad del segmento y la política de seguridad de la organización.

Contenido ampliado

Pregunta de cobertura Uso práctico
¿Qué activos existen pero no están gestionados? Detectar shadow IT o gaps de agente
¿Qué sedes tienen peor visibilidad? Priorizar despliegue o remediación
¿Qué tipos de dispositivo predominan? Ajustar políticas y ownership
¿Qué activos aparecen y desaparecen? Identificar temporalidad o comportamiento anómalo

Puntos clave

  • Discover ayuda a localizar activos gestionados y no gestionados.
  • Detectar no equivale a gobernar.
  • La cobertura debe medirse frente a una expectativa real.
  • Los activos desconocidos suelen implicar riesgo operativo o de seguridad.

Checklist operativa

  • Define población esperada por segmento o sede.
  • Compara lo descubierto con lo esperado.
  • Marca activos no gestionados o sin owner.
  • Prioriza segmentos con mayor gap de cobertura.

Errores frecuentes

  • Celebrar volumen de hallazgos sin analizar cobertura real.
  • No distinguir activo detectado de activo gobernado.
  • No comparar contra otras fuentes corporativas.
  • Ignorar activos efímeros o de comportamiento irregular.

Practica sugerida

Construye una matriz de cobertura para tres sedes comparando activos esperados, activos detectados y activos gestionados por Tanium.

Preguntas de autoevaluacion

  • ¿Qué diferencia hay entre hallar un activo y tenerlo bajo control?
  • ¿Cómo detectarías un gap de cobertura real?
  • ¿Qué riesgos genera un dispositivo detectado pero no gestionado?

Cierre

Discover aporta valor cuando convierte la red en un entorno más visible y reduce el número de activos que la organización simplemente no conoce.

Modulo 02. Asset: inventario, normalizacion y contexto

Objetivo del modulo

Convertir la detección de activos en un inventario útil mediante atributos, normalización y contexto operativo.

Resultados esperados

  • Explicar el propósito de Tanium Asset.
  • Distinguir dato crudo y dato normalizado.
  • Relacionar inventario con decisiones reales.

Desarrollo teorico

Tanium Asset es el módulo que transforma los datos recopilados por los sensors del Tanium Client y los hallazgos de Discover en un inventario estructurado, normalizado y consultable. Mientras que Discover responde a la pregunta de qué existe en la red, Asset responde a la pregunta de qué atributos tiene cada activo, cómo se comparan entre sí y qué decisiones operativas pueden tomarse a partir de esos datos. Asset actúa como la capa de inteligencia de inventario de Tanium, organizando los datos crudos en registros consistentes y explotables.

El proceso de recopilación de datos de Asset se basa en los sensors de Tanium. El módulo ejecuta periódicamente un conjunto de Saved Questions que recogen atributos de hardware, software, configuración de red, usuarios, grupos locales, servicios instalados y estado de seguridad de cada endpoint. Estos datos se almacenan en la base de datos de Asset, que mantiene un registro histórico que permite ver no solo el estado actual sino también la evolución temporal de cada atributo. La frecuencia de recopilación se configura mediante los Report Schedules, que determinan cada cuánto tiempo Asset actualiza sus datos desde los endpoints.

La normalización es el proceso más valioso que Asset aporta al inventario. En un parque de 50.000 endpoints, el mismo producto de software puede aparecer registrado con decenas de variantes de nombre: por ejemplo, un navegador puede estar reportado como diferentes cadenas de texto en función de la versión, el idioma o la forma en que el instalador escribió el nombre en el registro de Windows. Sin normalización, un informe de software instalado mostraría docenas de entradas que en realidad corresponden al mismo producto, haciendo imposible un conteo fiable. Asset aplica reglas de normalización basadas en los Vendor and Product Normalization Rules, que mapean las variantes detectadas a nombres canónicos estandarizados. Tanium mantiene una biblioteca de reglas de normalización actualizada que cubre los productos más comunes, y las organizaciones pueden crear reglas personalizadas para software interno o de nicho.

La normalización de hardware sigue una lógica similar. Los fabricantes, modelos y versiones de BIOS se estandarizan para permitir agrupaciones coherentes. Por ejemplo, todos los portátiles del mismo modelo se agrupan bajo una entrada única independientemente de pequeñas variaciones en la cadena de texto reportada por el firmware. Esto es fundamental para procesos como la planificación de renovación de hardware, donde necesitas saber exactamente cuántos equipos de cada modelo tienes y cuál es su antigüedad.

Asset organiza los datos en varias vistas principales. La vista de Computers muestra el inventario completo de endpoints con sus atributos de hardware, sistema operativo, red y estado de gestión. La vista de Software muestra el catálogo normalizado de aplicaciones instaladas con conteos por versión y por endpoint. La vista de Assets Overview proporciona dashboards ejecutivos con métricas de cobertura, distribución de sistemas operativos, antigüedad del hardware y otros indicadores clave. Estas vistas se pueden filtrar, exportar y programar como reportes recurrentes.

El contexto operativo se añade al inventario mediante Custom Tags y Computer Groups. Los tags permiten clasificar activos por criterios de negocio que no están disponibles automáticamente desde el endpoint: departamento propietario, criticidad del servicio que soporta, ubicación física, entorno (producción, desarrollo, pruebas) o estado de ciclo de vida (activo, en decommission, almacenado). Los Computer Groups definen agrupaciones dinámicas basadas en atributos técnicos, como todos los servidores Windows Server 2019 o todos los portátiles con menos de 8 GB de RAM. La combinación de tags y Computer Groups permite crear vistas de inventario que responden directamente a preguntas operativas.

La calidad del inventario de Asset depende de varios factores. El primero es la cobertura del cliente: si hay endpoints sin el Tanium Client instalado, no aparecerán en Asset. El segundo es la frecuencia de recolección: datos demasiado antiguos pueden no reflejar el estado actual del endpoint. El tercero es la calidad de la normalización: reglas incompletas o incorrectas producen duplicados o agrupaciones erróneas. El cuarto es la completitud de los tags: activos sin clasificar reducen la utilidad analítica del inventario.

Asset también expone sus datos a través de una API REST que permite a otras herramientas corporativas consumir el inventario de forma programática. Esta API es la base para las integraciones con CMDB, ITAM y herramientas de seguridad, permitiendo que el inventario de Tanium alimente automáticamente los registros de configuración en ServiceNow, los activos en herramientas ITAM o los dashboards de exposición en plataformas de gestión de vulnerabilidades. La sincronización puede configurarse como push (Tanium envía datos periódicamente) o pull (la herramienta externa consulta la API bajo demanda).

Contenido ampliado

Elemento Valor para el inventario
Normalización Comparar y agrupar hardware o software coherentemente
Clasificación Distinguir tipos de activos y niveles de criticidad
Contexto Relacionar activo con cobertura, owner o servicio
Reporting Priorizar decisiones y remediaciones

Puntos clave

  • Asset convierte visibilidad en inventario útil.
  • La normalización evita decisiones basadas en datos inconsistentes.
  • El contexto operativo da significado al inventario.
  • Un buen inventario sirve a operaciones, seguridad e ITAM.

Checklist operativa

  • Revisa atributos disponibles por categoría de activo.
  • Define reglas básicas de normalización.
  • Clasifica activos por tipo y criticidad.
  • Comprueba si el inventario responde a preguntas de negocio reales.

Errores frecuentes

  • Confiar en el dato crudo sin revisar consistencia.
  • No distinguir categorías de activo.
  • Hacer reporting sobre nomenclaturas no normalizadas.
  • Acumular datos sin convertirlos en decisiones.

Practica sugerida

Toma una muestra de inventario de software y define un criterio de normalización para agrupar distintas variantes del mismo producto.

Preguntas de autoevaluacion

  • ¿Por qué la normalización es tan importante como la recolección?
  • ¿Qué contexto te ayuda a priorizar remediaciones?
  • ¿Qué preguntas operativas puede responder Asset bien utilizado?

Cierre

Asset gana valor cuando el inventario deja de ser una lista larga y pasa a ser una fuente de análisis y decisión fiable.

Register for free to access the remaining 3 modules, exams and certificates.

Create free account

Learning outcomes

  • Diferenciar detección de activos y gobierno del inventario.
  • Entender el papel de Discover y Asset en la visibilidad del entorno.
  • Diseñar reglas de normalización, clasificación y calidad de dato.
  • Integrar inventario con ITAM, CMDB y seguridad.
  • Priorizar casos de uso de visibilidad operativa.

Target audience

Equipos Tanium, ITAM, CMDB, workplace, operaciones y seguridad que necesiten una visión fiable del parque de activos.

Prerequisites

Conviene conocer fundamentos de Tanium y conceptos básicos de inventario o gestión de activos.

Study guide

Guia de estudio - Tanium Discover y Asset

Ritmo sugerido

  • Estudiar 1 modulo por sesion, prestando atencion a definiciones, comparativas y errores frecuentes.
  • Tomar notas propias y resumir cada modulo en 5-10 ideas accionables.
  • Dejar para el final de la sesion la practica sugerida y las preguntas de autoevaluacion.

Plan de avance

  • Bloque 1: Discover deteccion de activos y cobertura.
  • Bloque intermedio: Asset inventario normalizacion y contexto y siguientes para consolidar criterio.
  • Bloque final: Casos practicos de visibilidad operativa y repaso transversal del resto del itinerario.

Metodo recomendado

Leer primero el objetivo del modulo, despues el desarrollo teorico, y solo entonces pasar a tabla, checklist, errores y practica. Ese orden ayuda a construir criterio antes de memorizar detalles.

Evidencias de aprendizaje

  • Capacidad para explicar el modulo sin leerlo.
  • Capacidad para distinguir conceptos proximos sin confundirlos.
  • Capacidad para trasladar el contenido a un escenario de trabajo real.

Exam available

This course includes a 15-question exam. Register for free to access the exam and earn your digital certificate.

Create free account

Glosario - Tanium Discover y Asset

Sensor

Consulta o pieza que recoge informacion de endpoint.

Package

Contenido ejecutable distribuible a endpoints.

Question

Consulta lanzada a endpoints en la plataforma.

Action

Operacion enviada a una poblacion objetivo.

Endpoint

Dispositivo o sistema gestionado por Tanium.

Relay

Componente para optimizar distribucion de contenido.

Lab / Workshop

Laboratorio o taller - Tanium Discover y Asset

Taller orientado a aplicar Tanium Discover y Asset en un escenario controlado, convirtiendo teoria en una secuencia de trabajo observable.

Pasos

  • Leer el escenario y delimitar objetivo, actores y restricciones.
  • Usar como apoyo los modulos: Discover deteccion de activos y cobertura, Asset inventario normalizacion y contexto, Etiquetado clasificacion y calidad de datos, Integracion con itam cmdb y seguridad.
  • Diseñar una respuesta, configuracion, flujo o decision justificada.
  • Validar riesgos, dependencias y evidencias de exito.
  • Documentar que pantallas, comandos, politicas o componentes se tocariam en una implantacion real.

Evidencias esperadas

  • Artefacto final usable.
  • Razonamiento tecnico de las decisiones tomadas.
  • Checklist de validacion o criterios de salida.

Integrative case study

Caso practico integrador - Tanium Discover y Asset

Una organizacion necesita mejorar o implantar capacidades relacionadas con Tanium Discover y Asset. Tiene restricciones de tiempo, riesgos operativos y multiples actores implicados, por lo que no basta con listar conceptos: hay que convertirlos en decisiones, artefactos y prioridades.

Entregables

  • Mapa del problema y contexto.
  • Propuesta de enfoque o arquitectura.
  • Riesgos, dependencias y decisiones clave.
  • Plan de validacion o seguimiento.

Criterios de calidad

  • Coherencia tecnica con el contenido del curso.
  • Claridad para priorizar y justificar decisiones.
  • Aterrizaje realista en entregables y seguimiento.

Modulos especialmente utiles

  • Discover deteccion de activos y cobertura
  • Asset inventario normalizacion y contexto
  • Etiquetado clasificacion y calidad de datos
  • Integracion con itam cmdb y seguridad

Recursos - Tanium Discover y Asset

Referencias oficiales y recomendadas

Estrategia de uso de bibliografia y documentacion

Empieza por la documentacion oficial del fabricante o framework, usa despues el material del curso para consolidar el modelo mental y consulta la referencia tecnica cuando necesites comandos, configuracion o detalles operativos concretos.

Evaluation

Evaluacion - Tanium Discover y Asset

Preguntas abiertas de repaso

  • Explica con un ejemplo por que 'Discover deteccion de activos y cobertura' importa dentro del curso.
  • Explica con un ejemplo por que 'Asset inventario normalizacion y contexto' importa dentro del curso.
  • Explica con un ejemplo por que 'Etiquetado clasificacion y calidad de datos' importa dentro del curso.
  • Explica con un ejemplo por que 'Integracion con itam cmdb y seguridad' importa dentro del curso.
  • Explica con un ejemplo por que 'Casos practicos de visibilidad operativa' importa dentro del curso.

Actividades de validacion

  • Comparar dos conceptos proximos del curso y justificar cuando usar cada uno.
  • Redactar un mini runbook, checklist o decision memo basado en un modulo.
  • Explicar a otra persona una decision tecnica o de gobierno derivada del curso.
← Back to Tanium