Jamf Protect Telemetry V2-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Jamf Protect so konfigurieren, dass Telemetry V2-Logs über Webhooks oder Amazon S3 an Google Security Operations gesendet werden.

Mit der Mac-Endpunkttelemetrie von Jamf Protect werden System- und Nutzerereignisprotokolldaten von macOS-Computern mithilfe der Endpoint Security API von Apple erfasst. Telemetriedaten enthalten detaillierte Audit-Trails der Endpunktaktivität, einschließlich der Ausführung von Prozessen, Dateivorgängen, Nutzerauthentifizierung und Systemänderungen. So können Sicherheitsteams Bedrohungen erkennen, Vorfälle untersuchen und Compliance-Anforderungen erfüllen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf das macOS-Sicherheitsportal von Jamf Protect mit Administratorberechtigungen
  • Ein in Ihrer Google SecOps-Instanz konfiguriertes Google Cloud-Projekt, in dem die Chronicle API aktiviert ist
  • Privilegierter Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln)
  • macOS-Computer, die in Jamf Protect registriert sind und auf denen der Jamf Protect-Agent bereitgestellt wurde

Jamf Protect-Telemetrie konfigurieren

Erstellen Sie in Jamf Protect eine Telemetriekonfiguration, um festzulegen, welche macOS-Endpunktereignisse erfasst werden sollen.

  1. Melden Sie sich im macOS-Sicherheitsportal von Jamf Protect an.
  2. Klicken Sie auf Telemetrie.
  3. Klicken Sie auf Telemetrie erstellen.
  4. Geben Sie im Feld Name einen Namen für die Telemetriekonfiguration ein, z. B. Google SecOps Telemetry.
  5. Geben Sie im Feld Beschreibung eine Beschreibung ein, z. B. Telemetry configuration for Google Security Operations integration.

  6. Wählen Sie die Ereigniskategorien aus, die in die Konfiguration aufgenommen werden sollen. Verfügbare Kategorien sind unter anderem Prozessereignisse, Dateiereignisse, Nutzerereignisse und Systemereignisse.

  7. Optional: Wählen Sie Dateihashes aus, um die Berechnung und Berichterstellung von Dateihashes für ausführbare Prozessdateien zu aktivieren.

  8. Klicken Sie auf Speichern.

Webhook-Feed in Google SecOps erstellen

Feed erstellen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Jamf Protect Telemetry V2.
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Jamf Telemetry v2 als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Geben Sie \n ein.
    • Asset-Namespace: Der Asset-Namespace
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Geheimen Schlüssel generieren und speichern

Nachdem Sie den Feed erstellt haben, müssen Sie einen geheimen Schlüssel für die Authentifizierung generieren:

  1. Klicken Sie auf der Seite mit den Feeddetails auf Geheimen Schlüssel generieren.
  2. In einem Dialogfeld wird der geheime Schlüssel angezeigt.
  3. Kopieren und speichern Sie den geheimen Schlüssel sicher.

Wichtig: Der geheime Schlüssel wird nur einmal angezeigt und kann später nicht mehr abgerufen werden. Wenn Sie ihn verlieren, müssen Sie einen neuen geheimen Schlüssel generieren.

Feed-Endpunkt-URL abrufen

  1. Rufen Sie den Tab Details des Feeds auf.
  2. Kopieren Sie im Abschnitt Endpunktinformationen die Feed-Endpunkt-URL.

  3. Das URL-Format lautet:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. Speichern Sie diese URL für die nächsten Schritte.

  5. Klicken Sie auf Fertig.

Google Cloud-API-Schlüssel erstellen

API-Schlüssel erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
  2. Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Google SecOps-Instanz verknüpft ist).
  3. Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
  4. Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
  5. Klicken Sie auf API-Schlüssel bearbeiten , um den Schlüssel einzuschränken.

API-Schlüssel einschränken

  1. Auf der Seite mit den Einstellungen für den API-Schlüssel :
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Jamf Protect Webhook API Key.
  2. Gehen Sie unter API-Einschränkungen so vor:
    1. Wählen Sie Schlüssel einschränken aus.
    2. Suchen Sie im Drop-down-Menü APIs auswählen nach Google SecOps API und wählen Sie diese aus.
  3. Klicken Sie auf Speichern.
  4. Kopieren Sie den API-Schlüsselwert aus dem Feld API-Schlüssel oben auf der Seite.

  5. Speichern Sie den API-Schlüssel sicher.

Jamf Protect-Aktionskonfiguration für Webhook konfigurieren

Erstellen oder aktualisieren Sie eine Aktionskonfiguration in Jamf Protect, um Telemetriedaten an den Google SecOps-Webhook-Feed zu senden.

  1. Klicken Sie in Jamf Protect auf Aktionen.
  2. Klicken Sie auf Aktion erstellen , um eine neue Aktionskonfiguration zu erstellen, oder wählen Sie eine vorhandene Aktionskonfiguration aus und klicken Sie auf Bearbeiten.
  3. Geben Sie einen Namen für die Aktionskonfiguration ein, z. B. Google SecOps Webhook.
  4. Geben Sie eine Beschreibung ein, z. B. Sends telemetry data to Google Security Operations via webhook.
  5. Klicken Sie unter Datenendpunkte auf + Hinzufügen.
  6. Wählen Sie HTTP aus.
  7. Geben Sie im Feld URL die Feed-Endpunkt-URL aus Google SecOps ein.
  8. Klicken Sie auf + HTTP-Header hinzufügen und geben Sie die folgenden Header ein:
    • Erster Header:
      • Name: API_KEY
      • Wert: Der API-Schlüssel, den Sie in der Google Cloud Console erstellt haben
    • Zweiter Header:
      • Name: SECRET
      • Wert: Der geheime Schlüssel, den Sie aus dem Google SecOps-Feed generiert haben
  9. Wählen Sie unter Benachrichtigungen erfassen die Benachrichtigungsstufen aus, die Sie erfassen möchten.
  10. Wählen Sie unter Logs erfassen die Option Telemetrie und alle zusätzlichen macOS-Sicherheitsdatentypen aus, die erfasst werden sollen.
  11. Klicken Sie auf Speichern.

Aktionskonfiguration einem Plan zuweisen

  1. Klicken Sie in Jamf Protect auf Pläne.
  2. Wählen Sie einen vorhandenen Plan aus und klicken Sie auf Bearbeiten oder klicken Sie auf Plan erstellen, um einen neuen Plan zu erstellen.
  3. Wählen Sie im Pop-up-Menü Telemetrie die von Ihnen erstellte Telemetriekonfiguration aus, z. B. Google SecOps Telemetry.
  4. Wählen Sie im Pop-up-Menü Aktion die von Ihnen erstellte Aktionskonfiguration aus, z. B. Google SecOps Webhook.
  5. Klicken Sie auf Speichern.

Auf Computern, die diesem Plan zugewiesen sind, werden Telemetriedaten an Google SecOps gesendet.

(Alternative) Aufnahme mit Amazon S3 konfigurieren

Sie können Jamf Protect-Telemetriedaten auch über die Amazon S3-Datenweiterleitung aus der Jamf Protect Cloud an Google SecOps senden.

Jamf Protect-Datenweiterleitung zu Amazon S3 konfigurieren

  1. Klicken Sie in Jamf Protect auf Verwaltung > Daten.
  2. Aktivieren Sie die Datenweiterleitung mit dem Schalter Amazon S3-Weiterleitung.
  3. Wählen Sie das Kästchen Weitergeleitete Daten verschlüsseln aus, um sicherzustellen, dass alle Daten, die aus der Jamf Protect Cloud weitergeleitet werden, verschlüsselt sind.
  4. Geben Sie den Namen eines Amazon S3-Buckets ein, an den Daten gesendet werden sollen.
  5. Optional: Geben Sie ein Präfix ein, das für alle weitergeleiteten Jamf Protect-Datenobjekte verwendet werden soll.

  6. Geben Sie die IAM-Rolle ein, die Jamf Protect übernimmt, wenn Daten an Ihren Amazon S3-Bucket weitergeleitet werden. Dieser Wert muss im Format des Amazon Resource Name (ARN) vorliegen.

    arn:aws:iam::123456789012:role/S3Access

  7. Klicken Sie auf Speichern.

  8. Achten Sie darauf, dass Ihre Aktionskonfigurationen Jamf Protect Cloud als Datenendpunkt enthalten und dass unter Logs erfassen die Option Telemetrie ausgewählt ist.

Feed in Google SecOps konfigurieren, um Logs aus Amazon S3 aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Jamf Protect Telemetry V2 S3.
  5. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  6. Wählen Sie Jamf Telemetry v2 als Logtyp aus.
  7. Klicken Sie auf Weiter und dann auf Senden.

  8. Geben Sie Werte für die folgenden Felder an:

    • S3-URI: s3://<your-bucket-name>/<prefix>/
    • Option für Quelllöschung: Wählen Sie die gewünschte Löschoption aus.
    • Maximale Dateialter: Schließen Sie Dateien ein, die in den letzten Tagen geändert wurden (Standardwert: 180 Tage).
    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket
    • Geheimer Zugriffsschlüssel: Geheimer Schlüssel des Nutzers mit Zugriff auf den S3-Bucket
    • Asset-Namespace: Der Asset-Namespace
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

  9. Klicken Sie auf Weiter und dann auf Senden.

Webhook-Limits und Best Practices

Anfragelimits

Limit Wert
Maximale Anfragengröße 4 MB
Maximale Anzahl von Abfragen pro Sekunde 15.000
Zeitlimit für Anfragen 30 Sekunden
Wiederholungsverhalten Automatisch mit exponentiellem Backoff

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten