Mengumpulkan log Telemetri V2 Jamf Protect

Didukung di:

Dokumen ini menjelaskan cara mengonfigurasi Jamf Protect untuk mengirim log telemetri V2 ke Google Security Operations menggunakan webhook atau Amazon S3.

Telemetri Endpoint Mac Jamf Protect mengumpulkan data log peristiwa sistem dan pengguna dari komputer macOS menggunakan Endpoint Security API Apple. Data telemetri memberikan jejak audit mendetail tentang aktivitas endpoint, termasuk eksekusi proses, operasi file, autentikasi pengguna, dan perubahan sistem, sehingga tim keamanan dapat mendeteksi ancaman, menyelidiki insiden, dan memenuhi persyaratan kepatuhan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke portal Keamanan macOS Jamf Protect dengan izin administrator
  • Project Google Cloud yang dikonfigurasi di instance Google SecOps Anda dengan Chronicle API diaktifkan
  • Akses istimewa ke Google Cloud Console (untuk pembuatan kunci API)
  • Komputer macOS yang terdaftar di Jamf Protect dengan agen Jamf Protect yang di-deploy

Mengonfigurasi telemetri Jamf Protect

Buat konfigurasi telemetri di Jamf Protect untuk menentukan peristiwa endpoint macOS yang akan dikumpulkan.

  1. Login ke portal Keamanan macOS Jamf Protect.
  2. Klik Telemetri.
  3. Klik Create Telemetry.
  4. Di kolom Name, masukkan nama untuk konfigurasi telemetri (misalnya, Google SecOps Telemetry).
  5. Di kolom Deskripsi, masukkan deskripsi (misalnya, Telemetry configuration for Google Security Operations integration).

  6. Pilih kategori acara yang akan disertakan dalam konfigurasi. Kategori yang tersedia mencakup peristiwa proses, peristiwa file, peristiwa pengguna, dan peristiwa sistem.

  7. (Opsional) Pilih Hash file untuk mengaktifkan komputasi dan pelaporan hash file untuk file yang dapat dieksekusi proses.

  8. Klik Simpan.

Membuat feed webhook di Google SecOps

Buat feed

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Jamf Protect Telemetry V2).
  5. Pilih Webhook sebagai Jenis sumber.
  6. Pilih Jamf Telemetry v2 sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: Masukkan \n
    • Namespace aset: Namespace aset
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Buat dan simpan kunci rahasia

Setelah membuat feed, Anda harus membuat kunci rahasia untuk autentikasi:

  1. Di halaman detail feed, klik Buat Kunci Rahasia.
  2. Dialog akan menampilkan kunci rahasia.
  3. Salin dan simpan kunci rahasia dengan aman.

Penting: Kunci rahasia hanya ditampilkan satu kali dan tidak dapat diambil lagi. Jika Anda kehilangan kunci ini, Anda harus membuat kunci rahasia baru.

Mendapatkan URL endpoint feed

  1. Buka tab Detail untuk feed tersebut.
  2. Di bagian Endpoint Information, salin Feed endpoint URL.

  3. Format URL-nya adalah:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. Simpan URL ini untuk langkah berikutnya.

  5. Klik Done.

Membuat kunci Google Cloud API

Buat kunci API

  1. Buka halaman Credentials Google Cloud Console.
  2. Pilih project Anda (project yang terkait dengan instance Google SecOps Anda).
  3. Klik Create credentials > API key.
  4. Kunci API dibuat dan ditampilkan dalam dialog.
  5. Klik Edit API key untuk membatasi kunci.

Membatasi kunci API

  1. Di halaman setelan kunci API:
    • Nama: Masukkan nama deskriptif (misalnya, Jamf Protect Webhook API Key)
  2. Di bagian Pembatasan API:
    1. Pilih Restrict key.
    2. Di drop-down Select APIs, telusuri dan pilih Google SecOps API.
  3. Klik Simpan.
  4. Salin nilai kunci API dari kolom Kunci API di bagian atas halaman.

  5. Simpan kunci API dengan aman.

Mengonfigurasi konfigurasi tindakan Jamf Protect untuk webhook

Buat atau perbarui konfigurasi tindakan di Jamf Protect untuk mengirim data telemetri ke feed webhook Google SecOps.

  1. Di Jamf Protect, klik Actions.
  2. Klik Buat Tindakan untuk membuat konfigurasi tindakan baru, atau pilih konfigurasi tindakan yang ada, lalu klik Edit.
  3. Masukkan Nama untuk konfigurasi tindakan (misalnya, Google SecOps Webhook).
  4. Masukkan Deskripsi (misalnya, Sends telemetry data to Google Security Operations via webhook).
  5. Di Endpoint Data, klik + Tambahkan.
  6. Pilih HTTP.
  7. Di kolom URL, masukkan URL endpoint feed dari Google SecOps.
  8. Klik + Add HTTP Header, lalu masukkan header berikut:
    • Header pertama:
      • Nama: API_KEY
      • Nilai: Kunci API yang Anda buat di Google Cloud Console
    • Header kedua:
      • Nama: SECRET
      • Nilai: Kunci rahasia yang Anda buat dari feed Google SecOps
  9. Dari Kumpulkan Pemberitahuan, pilih tingkat pemberitahuan yang ingin Anda kumpulkan.
  10. Dari Collect Logs, pilih Telemetry dan jenis data keamanan macOS tambahan yang akan dikumpulkan.
  11. Klik Simpan.

Menetapkan konfigurasi tindakan ke rencana

  1. Di Jamf Protect, klik Plans.
  2. Pilih rencana yang ada, lalu klik Edit, atau klik Buat Rencana untuk membuat rencana baru.
  3. Dari menu pop-up Telemetry, pilih konfigurasi telemetri yang Anda buat (misalnya, Google SecOps Telemetry).
  4. Dari menu pop-up Tindakan, pilih konfigurasi tindakan yang Anda buat (misalnya, Google SecOps Webhook).
  5. Klik Simpan.

Komputer yang ditetapkan ke paket ini akan mulai mengirimkan data telemetri ke Google SecOps.

(Alternatif) Mengonfigurasi penyerapan menggunakan Amazon S3

Anda juga dapat mengirim data telemetri Jamf Protect ke Google SecOps menggunakan penerusan data Amazon S3 dari Jamf Protect Cloud.

Mengonfigurasi penerusan data Jamf Protect ke Amazon S3

  1. Di Jamf Protect, klik Data Administratif > Data.
  2. Gunakan tombol Penerusan Amazon S3 untuk mengaktifkan penerusan data.
  3. Centang kotak Encrypt Forwarded Data untuk memastikan semua data yang diteruskan dari Jamf Protect Cloud dienkripsi.
  4. Masukkan nama bucket Amazon S3 untuk mengirim data.
  5. (Opsional) Masukkan nama awalan yang akan digunakan untuk semua objek data Jamf Protect yang diteruskan.

  6. Masukkan IAM Role yang akan diasumsikan Jamf Protect saat meneruskan data ke bucket Amazon S3 Anda. Nilai ini harus dalam format Amazon Resource Name (ARN).

    arn:aws:iam::123456789012:role/S3Access

  7. Klik Simpan.

  8. Pastikan konfigurasi tindakan Anda menyertakan Jamf Protect Cloud sebagai endpoint data dan Telemetry dipilih di bagian Collect Logs.

Mengonfigurasi feed di Google SecOps untuk memproses log dari Amazon S3

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Jamf Protect Telemetry V2 S3).
  5. Pilih Amazon S3 V2 sebagai Jenis sumber.
  6. Pilih Jamf Telemetry v2 sebagai Jenis log.
  7. Klik Berikutnya, lalu klik Kirim.

  8. Tentukan nilai untuk kolom berikut:

    • URI S3: s3://<your-bucket-name>/<prefix>/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda
    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3
    • Namespace aset: Namespace aset
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini

  9. Klik Berikutnya, lalu klik Kirim.

Batasan dan praktik terbaik webhook

Batas permintaan

Batas Nilai
Ukuran permintaan maksimum 4 MB
QPS Maks (kueri per detik) 15.000
Waktu tunggu permintaan 30 seconds
Perilaku percobaan ulang Otomatis dengan backoff eksponensial

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.