Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux de télémétrie Jamf Protect V2

Compatible avec :

Google SecOps SIEM

Ce document explique comment configurer Jamf Protect pour envoyer des journaux de télémétrie V2 à Google Security Operations à l'aide de webhooks ou d'Amazon S3.

La télémétrie des points de terminaison Mac de Jamf Protect collecte les données des journaux d'événements système et utilisateur des ordinateurs macOS à l'aide de l'API Endpoint Security d'Apple. Les données de télémétrie fournissent des journaux d'audit détaillés sur l'activité des points de terminaison, y compris l'exécution des processus, les opérations sur les fichiers, l'authentification des utilisateurs et les modifications du système. Les équipes de sécurité peuvent ainsi détecter les menaces, examiner les incidents et répondre aux exigences de conformité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Accès privilégié au portail de sécurité macOS Jamf Protect avec des droits d'administrateur
Un projet Google Cloud configuré dans votre instance Google SecOps avec l'API Chronicle activée
Accès privilégié à la console Google Cloud (pour la création de clés API)
Ordinateurs macOS enregistrés dans Jamf Protect avec l'agent Jamf Protect déployé

Configurer la télémétrie Jamf Protect

Créez une configuration de télémétrie dans Jamf Protect pour définir les événements de points de terminaison macOS à collecter.

Connectez-vous au portail de sécurité macOS Jamf Protect.
Cliquez sur Télémétrie.
Cliquez sur Créer une télémétrie.
Dans le champ Nom, saisissez un nom pour la configuration de la télémétrie (par exemple, Google SecOps Telemetry).
Dans le champ Description, saisissez une description (par exemple, Telemetry configuration for Google Security Operations integration).
Sélectionnez les catégories d'événements à inclure dans la configuration. Les catégories disponibles incluent les événements de processus, les événements de fichier, les événements utilisateur et les événements système.

Remarque : Pour une surveillance complète de la sécurité, sélectionnez toutes les catégories d'événements disponibles. Vous pourrez affiner la sélection ultérieurement en fonction des exigences de votre organisation.
(Facultatif) Sélectionnez Hachages de fichiers pour activer le calcul et le reporting des hachages de fichiers pour les fichiers exécutables de processus.
Cliquez sur Enregistrer.

Créer un flux de webhook dans Google SecOps

Créer le flux

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Jamf Protect Telemetry V2).
Sélectionnez Webhook comme type de source.
Sélectionnez Jamf Telemetry v2 comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement : saisissez \n.
- Espace de noms de l'élément : espace de noms de l'élément
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Générer et enregistrer une clé secrète

Après avoir créé le flux, vous devez générer une clé secrète pour l'authentification :

Sur la page d'informations sur le flux, cliquez sur Générer une clé secrète.
Une boîte de dialogue affiche la clé secrète.
Copiez et enregistrez la clé secrète de manière sécurisée.

Important : La clé secrète ne s'affiche qu'une seule fois et ne peut pas être récupérée ultérieurement. Si vous la perdez, vous devrez générer une nouvelle clé secrète.

Obtenir l'URL du point de terminaison du flux

Accédez à l'onglet Détails du flux.
Dans la section Endpoint Information (Informations sur le point de terminaison), copiez l'URL du point de terminaison du flux.

Le format d'URL est le suivant :

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Enregistrez cette URL pour les étapes suivantes.
Cliquez sur OK.

Créer une clé API Google Cloud

Créer la clé API

Accédez à la page Identifiants de la console Google Cloud.
Sélectionnez votre projet (celui associé à votre instance Google SecOps).
Cliquez sur Créer des identifiants> Clé API.
Une clé API est créée et affichée dans une boîte de dialogue.
Cliquez sur Modifier la clé API pour la restreindre.

Restreindre la clé API

Sur la page des paramètres Clé API :
- Nom : saisissez un nom descriptif (par exemple, Jamf Protect Webhook API Key).
Sous Restrictions relatives aux API :
1. Sélectionnez Restreindre la clé.
2. Dans le menu déroulant Sélectionner des API, recherchez et sélectionnez API Google SecOps.
Cliquez sur Enregistrer.
Copiez la valeur de la clé API depuis le champ Clé API en haut de la page.
Enregistrez la clé API de manière sécurisée.

Remarque : Restreindre la clé API permet de s'assurer qu'elle ne peut être utilisée qu'avec l'API Chronicle, ce qui réduit les risques de sécurité en cas de compromission de la clé.

Configurer la configuration de l'action Jamf Protect pour le webhook

Créez ou mettez à jour une configuration d'action dans Jamf Protect pour envoyer des données de télémétrie au flux de webhook Google SecOps.

Dans Jamf Protect, cliquez sur Actions.
Cliquez sur Créer une action pour créer une configuration d'action ou sélectionnez une configuration d'action existante, puis cliquez sur Modifier.
Saisissez un Nom pour la configuration de l'action (par exemple, Google SecOps Webhook).
Saisissez une Description (par exemple, Sends telemetry data to Google Security Operations via webhook).
Dans Points de terminaison de données, cliquez sur + Ajouter.
Sélectionnez HTTP.
Dans le champ URL, saisissez l'URL du point de terminaison du flux de Google SecOps.
Cliquez sur + Ajouter un en-tête HTTP, puis saisissez les en-têtes suivants :
- Premier en-tête :
  - Nom : API_KEY
  - Valeur : clé API que vous avez créée dans la Google Cloud Console
- Deuxième en-tête :
  - Nom : SECRET
  - Valeur : clé secrète que vous avez générée à partir du flux Google SecOps
Dans Collecter les alertes, sélectionnez les niveaux d'alerte que vous souhaitez collecter.
Dans Collect Logs (Collecter les journaux), sélectionnez Telemetry (Télémétrie) et tous les types de données de sécurité macOS supplémentaires à collecter.
Cliquez sur Enregistrer.

Attribuer la configuration d'action à un forfait

Dans Jamf Protect, cliquez sur Plans.
Sélectionnez un forfait existant et cliquez sur Modifier, ou cliquez sur Créer un forfait pour en créer un.
Dans le menu pop-up Télémétrie, sélectionnez la configuration de télémétrie que vous avez créée (par exemple, Google SecOps Telemetry).
Dans le menu pop-up Action, sélectionnez la configuration d'action que vous avez créée (par exemple, Google SecOps Webhook).
Cliquez sur Enregistrer.

Les ordinateurs attribués à ce forfait commenceront à envoyer des données de télémétrie à Google SecOps.

(Autre option) Configurer l'ingestion à l'aide d'Amazon S3

Vous pouvez également envoyer des données de télémétrie Jamf Protect à Google SecOps à l'aide du transfert de données Amazon S3 depuis Jamf Protect Cloud.

Configurer le transfert de données Jamf Protect vers Amazon S3

Dans Jamf Protect, cliquez sur Administration > Données.
Utilisez le bouton Transfert Amazon S3 pour activer le transfert de données.
Cochez la case Chiffrer les données transférées pour vous assurer que toutes les données transférées depuis le cloud Jamf Protect sont chiffrées.
Saisissez le nom d'un bucket Amazon S3 vers lequel envoyer les données.
(Facultatif) Saisissez un nom de préfixe à utiliser pour tous les objets de données Jamf Protect transférés.
Saisissez le rôle IAM que Jamf Protect assumera lorsqu'il transférera des données vers votre bucket Amazon S3. Cette valeur doit être au format ARN (Amazon Resource Name).
```
arn:aws:iam::123456789012:role/S3Access
```
Cliquez sur Enregistrer.

Remarque : Jamf Protect fournit un ID externe à utiliser lors de la configuration du transfert Amazon S3. La valeur ExternalId est unique pour chaque locataire et est incluse dans la demande d'attribution du rôle utilisé pour écrire des données dans le bucket S3.
Assurez-vous que vos configurations d'actions incluent Jamf Protect Cloud comme point de terminaison de données et que Télémétrie est sélectionné sous Collecter les journaux.

Configurer un flux dans Google SecOps pour ingérer les journaux Amazon S3

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Jamf Protect Telemetry V2 S3).
Sélectionnez Amazon S3 V2 comme type de source.
Sélectionnez Jamf Telemetry v2 comme Type de journal.
Cliquez sur Suivant, puis sur Envoyer.
Indiquez les valeurs des champs suivants :
- URI S3 : s3://<your-bucket-name>/<prefix>/
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).
- ID de clé d'accès : clé d'accès utilisateur avec accès au bucket S3
- Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3
- Espace de noms de l'élément : espace de noms de l'élément
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux
Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
Cliquez sur Suivant, puis sur Envoyer.

Limites et bonnes pratiques concernant les webhooks

Limites de requêtes

Limite	Valeur
Taille maximale de la requête	4 Mo
RPS (requêtes par seconde) max.	15 000
Délai avant expiration de la requête	30 seconds
Comportement de nouvelle tentative	Automatique avec intervalle exponentiel entre les tentatives

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.