Raccogliere i log di contesto di Jamf Pro

Questo documento spiega come importare i log di contesto di Jamf Pro (contesto del dispositivo e dell'utente) in Google Security Operations utilizzando Google Cloud Storage con Cloud Run Functions, Pub/Sub e Cloud Scheduler. Jamf Pro è una soluzione di gestione completa per i dispositivi Apple, che fornisce inventario dei dispositivi, contesto utente e funzionalità di gestione della configurazione.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

• Un'istanza Google SecOps
• Un progetto GCP con l'API Cloud Storage abilitata
• Autorizzazioni per creare e gestire bucket GCS
• Autorizzazioni per gestire le policy IAM nei bucket GCS
• Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
• Accesso con privilegi al tenant Jamf Pro

Configurare il ruolo API Jamf

1. Accedi all'UI web di Jamf.
2. Vai a Impostazioni > sezione Sistema > Ruoli e client API.
3. Seleziona la scheda Ruoli API.
4. Fai clic su Nuovo.
5. Inserisci un nome visualizzato per il ruolo API (ad esempio, context_role).

6. In Privilegi del ruolo API Jamf Pro, digita il nome di un privilegio e selezionalo dal menu:

   • Inventario computer
   • Inventario dispositivi mobili

7. Fai clic su Salva.

Configura il client API Jamf

1. In Jamf Pro, vai a Impostazioni > sezione Sistema > Ruoli e client API.
2. Seleziona la scheda Client API.
3. Fai clic su Nuovo.
4. Inserisci un nome visualizzato per il client API (ad esempio, context_client).
5. Nel campo Ruoli API, aggiungi il ruolo context_role che hai creato in precedenza.
6. In Durata del token di accesso, inserisci il tempo in secondi per la validità dei token di accesso.
7. Fai clic su Salva.
8. Fai clic su Modifica.
9. Fai clic su Abilita client API.
10. Fai clic su Salva.

Configurare il client secret di Jamf

1. In Jamf Pro, vai al client API appena creato.
2. Fai clic su Genera segreto client.
3. In una schermata di conferma, fai clic su Crea secret.
4. Salva i seguenti parametri in una posizione sicura:
   • URL di base: https://<your>.jamfcloud.com
   • ID client: UUID.
   • Client secret: il valore viene mostrato una sola volta.

Creazione di un bucket Google Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio jamfpro).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
2. Fai clic su Crea service account.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci jamf-pro-collector-sa.
   • Descrizione service account: inserisci Service account for Cloud Run function to collect Jamf Pro context logs.
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del service account (ad es. jamf-pro-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci jamf-pro-context-trigger.
   • Lascia le altre impostazioni sui valori predefiniti.
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Jamf Pro e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	jamf-pro-context-collector
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
   Runtime	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (jamf-pro-context-trigger).
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account: seleziona il service account (jamf-pro-collector-sa).

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio
   GCS_BUCKET	jamfpro
   GCS_PREFIX	jamf-pro/context/
   JAMF_CLIENT_ID	Inserisci l'ID client Jamf
   JAMF_CLIENT_SECRET	Inserisci il client secret di Jamf
   JAMF_BASE_URL	Inserisci l'URL di Jamf, sostituisci <your> in https://<your>.jamfcloud.com
   PAGE_SIZE	200

10. Scorri verso il basso nella scheda Variabili e secret fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

11. Vai alla scheda Impostazioni in Container:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.
    • Fai clic su Fine.

12. Scorri verso il basso fino a Ambiente di esecuzione:

    • Seleziona Predefinito (opzione consigliata).

13. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

14. Fai clic su Crea.

15. Attendi la creazione del servizio (1-2 minuti).

16. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main in Entry point della funzione

2. Nell'editor di codice incorporato, crea due file:

   • Primo file: main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone
   import gzip
   import io
   import time
   
   # Initialize HTTP client
   http = urllib3.PoolManager()
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Configuration
   BASE_URL = os.environ.get("JAMF_BASE_URL", "").rstrip("/")
   CLIENT_ID = os.environ.get("JAMF_CLIENT_ID")
   CLIENT_SECRET = os.environ.get("JAMF_CLIENT_SECRET")
   GCS_BUCKET = os.environ.get("GCS_BUCKET")
   GCS_PREFIX = os.environ.get("GCS_PREFIX", "jamf-pro/context/")
   PAGE_SIZE = int(os.environ.get("PAGE_SIZE", "200"))
   
   SECTIONS = [
       "GENERAL", "HARDWARE", "OPERATING_SYSTEM", "USER_AND_LOCATION",
       "DISK_ENCRYPTION", "SECURITY", "EXTENSION_ATTRIBUTES", "APPLICATIONS",
       "CONFIGURATION_PROFILES", "LOCAL_USER_ACCOUNTS", "CERTIFICATES",
       "SERVICES", "PRINTERS", "SOFTWARE_UPDATES", "GROUP_MEMBERSHIPS",
       "CONTENT_CACHING", "STORAGE", "FONTS", "PACKAGE_RECEIPTS",
       "PLUGINS", "ATTACHMENTS", "LICENSED_SOFTWARE", "IBEACONS", "PURCHASING"
   ]
   
   def _now_iso():
       return datetime.now(timezone.utc).isoformat()
   
   def get_token():
       """OAuth2 client credentials > access_token"""
       url = f"{BASE_URL}/api/oauth/token"
   
       # Encode credentials for form data
       fields = {
           "grant_type": "client_credentials",
           "client_id": CLIENT_ID,
           "client_secret": CLIENT_SECRET
       }
   
       headers = {
           "Content-Type": "application/x-www-form-urlencoded"
       }
   
       response = http.request(
           'POST',
           url,
           fields=fields,
           headers=headers,
           timeout=30.0
       )
   
       if response.status != 200:
           raise Exception(f"Failed to get token: {response.status} {response.data.decode('utf-8')}")
   
       data = json.loads(response.data.decode('utf-8'))
       return data["access_token"], int(data.get("expires_in", 1200))
   
   def fetch_page(token, page):
       """GET /api/v1/computers-inventory with sections & pagination"""
       url = f"{BASE_URL}/api/v1/computers-inventory"
   
       # Build query parameters
       params = [("page", str(page)), ("page-size", str(PAGE_SIZE))]
       params.extend([("section", s) for s in SECTIONS])
   
       # Encode parameters
       query_string = "&".join([f"{k}={v}" for k, v in params])
       full_url = f"{url}?{query_string}"
   
       headers = {
           "Authorization": f"Bearer {token}",
           "Accept": "application/json"
       }
   
       response = http.request(
           'GET',
           full_url,
           headers=headers,
           timeout=60.0
       )
   
       if response.status != 200:
           raise Exception(f"Failed to fetch page {page}: {response.status} {response.data.decode('utf-8')}")
   
       return json.loads(response.data.decode('utf-8'))
   
   def to_context_event(item):
       inv = item.get("inventory", {}) or {}
       general = inv.get("general", {}) or {}
       hardware = inv.get("hardware", {}) or {}
       osinfo = inv.get("operatingSystem", {}) or {}
       loc = inv.get("location", {}) or inv.get("userAndLocation", {}) or {}
   
       computer = {
           "udid": general.get("udid") or hardware.get("udid"),
           "deviceName": general.get("name") or general.get("deviceName"),
           "serialNumber": hardware.get("serialNumber") or general.get("serialNumber"),
           "model": hardware.get("model") or general.get("model"),
           "osVersion": osinfo.get("version") or general.get("osVersion"),
           "osBuild": osinfo.get("build") or general.get("osBuild"),
           "macAddress": hardware.get("macAddress"),
           "alternateMacAddress": hardware.get("wifiMacAddress"),
           "ipAddress": general.get("ipAddress"),
           "reportedIpV4Address": general.get("reportedIpV4Address"),
           "reportedIpV6Address": general.get("reportedIpV6Address"),
           "modelIdentifier": hardware.get("modelIdentifier"),
           "assetTag": general.get("assetTag"),
       }
   
       user_block = {
           "userDirectoryID": loc.get("username") or loc.get("userDirectoryId"),
           "emailAddress": loc.get("emailAddress"),
           "realName": loc.get("realName"),
           "phone": loc.get("phone") or loc.get("phoneNumber"),
           "position": loc.get("position"),
           "department": loc.get("department"),
           "building": loc.get("building"),
           "room": loc.get("room"),
       }
   
       return {
           "webhook": {"name": "api.inventory"},
           "event_type": "ComputerInventory",
           "event_action": "snapshot",
           "event_timestamp": _now_iso(),
           "event_data": {
               "computer": {k: v for k, v in computer.items() if v not in (None, "")},
               **{k: v for k, v in user_block.items() if v not in (None, "")}
           },
           "_jamf": {
               "id": item.get("id"),
               "inventory": inv
           }
       }
   
   def write_ndjson_gz(objs, when):
       buf = io.BytesIO()
       with gzip.GzipFile(filename="-", mode="wb", fileobj=buf, mtime=int(time.time())) as gz:
           for obj in objs:
               line = json.dumps(obj, separators=(",", ":")) + "\n"
               gz.write(line.encode("utf-8"))
   
       buf.seek(0)
   
       prefix = GCS_PREFIX.strip("/") + "/" if GCS_PREFIX else ""
       key = f"{prefix}{when:%Y/%m/%d}/jamf_pro_context_{int(when.timestamp())}.ndjson.gz"
   
       bucket = storage_client.bucket(GCS_BUCKET)
       blob = bucket.blob(key)
       blob.upload_from_file(buf, content_type="application/gzip")
   
       return key
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Jamf Pro context logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       if not all([BASE_URL, CLIENT_ID, CLIENT_SECRET, GCS_BUCKET]):
           print("Error: Missing required environment variables")
           return
   
       try:
           token, _ttl = get_token()
   
           page = 0
           total = 0
           batch = []
           now = datetime.now(timezone.utc)
   
           while True:
               payload = fetch_page(token, page)
               results = payload.get("results") or []
   
               if not results:
                   break
   
               for item in results:
                   batch.append(to_context_event(item))
                   total += 1
   
               if len(batch) >= 5000:
                   key = write_ndjson_gz(batch, now)
                   print(f"Wrote {len(batch)} records to gs://{GCS_BUCKET}/{key}")
                   batch = []
   
               if len(results) < PAGE_SIZE:
                   break
   
               page += 1
   
           if batch:
               key = write_ndjson_gz(batch, now)
               print(f"Wrote {len(batch)} records to gs://{GCS_BUCKET}/{key}")
   
           print(f"Successfully processed {total} total records")
   
       except Exception as e:
           print(f"Error processing Jamf Pro context logs: {str(e)}")
           raise
   

   • Secondo file: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	jamfpro-context-schedule-1h
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento Pub/Sub (jamf-pro-context-trigger)
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Testa il job di pianificazione

1. Nella console Cloud Scheduler, trova il job.
2. Fai clic su Forza esecuzione per attivare manualmente.
3. Attendi qualche secondo e vai a Cloud Run > Servizi > jamf-pro-context-collector > Log.
4. Verifica che la funzione sia stata eseguita correttamente.
5. Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Jamf Pro Context logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Contesto Jamf Pro come Tipo di log.

7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del service account Google SecOps.
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di contesto di Jamf Pro

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Jamf Pro Context logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Contesto Jamf Pro come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

     gs://jamfpro/jamf-pro/context/
     

     • Sostituisci jamfpro con il nome effettivo del bucket.

   • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

     • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
     • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

     • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

   • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.