Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de telemetría V2 de Jamf Protect

Compatible con:

Google secops SIEM

En este documento, se describe cómo configurar Jamf Protect para enviar registros de telemetría V2 a Google Security Operations con webhooks o Amazon S3.

La telemetría de extremos de Mac de Jamf Protect recopila datos de registro de eventos del sistema y del usuario de computadoras macOS con la API de Endpoint Security de Apple. Los datos de telemetría proporcionan registros de auditoría detallados de la actividad de los extremos, incluida la ejecución de procesos, las operaciones de archivos, la autenticación de usuarios y los cambios del sistema, lo que permite a los equipos de seguridad detectar amenazas, investigar incidentes y cumplir con los requisitos de cumplimiento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso privilegiado al portal de seguridad de macOS de Jamf Protect con permisos de administrador
Un proyecto de Google Cloud configurado en tu instancia de Google SecOps con la API de Chronicle habilitada
Acceso privilegiado a Google Cloud Console (para la creación de claves de API)
Computadoras macOS inscritas en Jamf Protect con el agente de Jamf Protect implementado

Configura la telemetría de Jamf Protect

Crea una configuración de telemetría en Jamf Protect para definir qué eventos de extremos de macOS recopilar.

Accede al portal de seguridad de macOS de Jamf Protect.
Haz clic en Telemetría.
Haz clic en Crear telemetría.
En el campo Nombre, ingresa un nombre para la configuración de telemetría (por ejemplo, Google SecOps Telemetry).
En el campo Descripción, ingresa una descripción (por ejemplo, Telemetry configuration for Google Security Operations integration).
Selecciona las categorías de eventos que se incluirán en la configuración. Las categorías disponibles incluyen eventos de procesos, eventos de archivos, eventos de usuarios y eventos del sistema.

Nota: Para una supervisión de seguridad integral, selecciona todas las categorías de eventos disponibles. Puedes ajustar la selección más adelante según los requisitos de tu organización.
(Opcional) Selecciona File hashes para habilitar el cálculo y la generación de informes de hashes de archivos para archivos ejecutables de procesos.
Haz clic en Guardar.

Crea un feed de webhook en Google SecOps

Crea el feed

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Jamf Protect Telemetry V2).
Selecciona Webhook como el Tipo de origen.
Selecciona Jamf Telemetry v2 como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división: Ingresa \n.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Genera y guarda la clave secreta

Después de crear el feed, debes generar una clave secreta para la autenticación:

En la página de detalles del feed, haz clic en Generar clave secreta.
Aparecerá un diálogo que muestra la clave secreta.
Copia y guarda la clave secreta de forma segura.

Importante: La clave secreta se muestra solo una vez y no se puede recuperar más adelante. Si la pierdes, debes generar una nueva clave secreta.

Obtén la URL del extremo del feed

Ve a la pestaña Detalles del feed.
En la sección Información del extremo, copia la URL del extremo del feed.

El formato de la URL es el siguiente:

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Guarda esta URL para los próximos pasos.
Haz clic en Listo.

Crea una clave de API de Google Cloud

Crea la clave de API

Ve a la página Credenciales de la consola de Google Cloud.
Selecciona tu proyecto (el proyecto asociado con tu instancia de Google SecOps).
Haz clic en Crear credenciales > Clave de API.
Se creará una clave de API y se mostrará en un diálogo.
Haz clic en Editar clave de API para restringir la clave.

Restringe la clave de API

En la página de configuración de la clave de API , haz lo siguiente:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Jamf Protect Webhook API Key).
En Restricciones de API:
1. Selecciona Restringir clave.
2. En el menú desplegable Seleccionar APIs, busca y selecciona API de Google SecOps.
Haz clic en Guardar.
Copia el valor de la clave de API del campo Clave de API en la parte superior de la página.
Guarda la clave de API de forma segura.

Nota: Restringir la clave de API garantiza que solo se pueda usar con la API de Chronicle, lo que reduce el riesgo de seguridad si la clave se ve comprometida.

Configura la acción de Jamf Protect para el webhook

Crea o actualiza una configuración de acción en Jamf Protect para enviar datos de telemetría al feed de webhook de Google SecOps.

En Jamf Protect, haz clic en Acciones.
Haz clic en Crear acción para crear una nueva configuración de acción o selecciona una existente y haz clic en Editar.
Ingresa un Nombre para la configuración de acción (por ejemplo, Google SecOps Webhook).
Ingresa una Descripción (por ejemplo, Sends telemetry data to Google Security Operations via webhook).
En Extremos de datos, haz clic en + Agregar.
Selecciona HTTP.
En el campo URL, ingresa la URL del extremo del feed de Google SecOps.
Haz clic en + Agregar encabezado HTTP y, luego, ingresa los siguientes encabezados:
- Primer encabezado:
  - Nombre: API_KEY
  - Valor: La clave de API que creaste en Google Cloud Console
- Segundo encabezado:
  - Nombre: SECRET
  - Valor: La clave secreta que generaste desde el feed de Google SecOps
En Recopilar alertas, selecciona los niveles de alerta que deseas recopilar.
En Recopilar registros, selecciona Telemetría y cualquier otro tipo de datos de seguridad de macOS que desees recopilar.
Haz clic en Guardar.

Asigna la configuración de acción a un plan

En Jamf Protect, haz clic en Planes.
Selecciona un plan existente y haz clic en Editar o haz clic en Crear plan para crear uno nuevo.
En el menú emergente Telemetría, selecciona la configuración de telemetría que creaste (por ejemplo, Google SecOps Telemetry).
En el menú emergente Acción, selecciona la configuración de acción que creaste (por ejemplo, Google SecOps Webhook).
Haz clic en Guardar.

Las computadoras asignadas a este plan comenzarán a enviar datos de telemetría a Google SecOps.

(Alternativa) Configura la transferencia con Amazon S3

También puedes enviar datos de telemetría de Jamf Protect a Google SecOps con el reenvío de datos de Amazon S3 desde Jamf Protect Cloud.

Configura el reenvío de datos de Jamf Protect a Amazon S3

En Jamf Protect, haz clic en Administrativo > Datos.
Usa el botón de activación Reenvío de Amazon S3 para habilitar el reenvío de datos.
Selecciona la casilla de verificación Encriptar datos reenviados para asegurarte de que todos los datos reenviados desde Jamf Protect Cloud estén encriptados.
Ingresa el nombre de un bucket de Amazon S3 al que se enviarán los datos.
(Opcional) Ingresa un nombre de prefijo para usar en todos los objetos de datos de Jamf Protect reenviados.
Ingresa el rol de IAM que Jamf Protect asumirá cuando reenvíe datos a tu bucket de Amazon S3. Este valor debe estar en formato de Nombre de recurso de Amazon (ARN).
```
arn:aws:iam::123456789012:role/S3Access
```
Haz clic en Guardar.

Nota: Jamf Protect proporciona un ID externo para usar cuando se configura el reenvío de Amazon S3. El valor de ExternalId es único para cada arrendatario y se incluye en la solicitud para asumir el rol que se usa para escribir datos en el bucket de S3.
Asegúrate de que tus configuraciones de acción incluyan Jamf Protect Cloud como un extremo de datos y que Telemetría esté seleccionada en Recopilar registros.

Configura un feed en Google SecOps para transferir registros de Amazon S3

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Jamf Protect Telemetry V2 S3).
Selecciona Amazon S3 V2 como el Tipo de origen.
Selecciona Jamf Telemetry v2 como el Tipo de registro.
Haz clic en Siguiente y, luego, en Enviar.
Especifica valores para los siguientes campos:
- URI de S3: s3://<your-bucket-name>/<prefix>/
- Opción de eliminación del código fuente: Selecciona la opción de eliminación según tu preferencia.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la última cantidad de días (el valor predeterminado es de 180 días).
- ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
Haz clic en Siguiente y, luego, en Enviar.

Límites y prácticas recomendadas de webhook

Límites de solicitudes

Límite	Valor
Tamaño máximo de la solicitud	4 MB
QPS máxima (consultas por segundo)	15,000
Tiempo de espera de la solicitud	30 segundos
Comportamiento de reintento	Automático con retirada exponencial

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.