Raccogli i log di telemetria V2 di Jamf Protect

Supportato in:

Questo documento descrive come configurare Jamf Protect per inviare i log di telemetria V2 a Google Security Operations utilizzando webhook o Amazon S3.

La telemetria degli endpoint Mac di Jamf Protect raccoglie i dati dei log degli eventi di sistema e utente dai computer macOS utilizzando l'API Endpoint Security di Apple. I dati di telemetria forniscono audit trail dettagliati dell'attività degli endpoint, tra cui l'esecuzione dei processi, le operazioni sui file, l'autenticazione degli utenti e le modifiche del sistema, consentendo ai team di sicurezza di rilevare le minacce, indagare sugli incidenti e soddisfare i requisiti di conformità.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso con privilegi al portale di sicurezza macOS Jamf Protect con autorizzazioni di amministratore
  • Un progetto Google Cloud configurato nella tua istanza Google SecOps con l'API Chronicle abilitata
  • Accesso con privilegi a console Google Cloud (per la creazione della chiave API)
  • Computer macOS registrati in Jamf Protect con l'agente Jamf Protect di cui è stato eseguito il deployment

Configura la telemetria di Jamf Protect

Crea una configurazione di telemetria in Jamf Protect per definire gli eventi degli endpoint macOS da raccogliere.

  1. Accedi al portale di sicurezza macOS Jamf Protect.
  2. Fai clic su Telemetria.
  3. Fai clic su Crea telemetria.
  4. Nel campo Nome, inserisci un nome per la configurazione di telemetria (ad esempio, Google SecOps Telemetry).
  5. Nel campo Descrizione, inserisci una descrizione (ad esempio, Telemetry configuration for Google Security Operations integration).

  6. Seleziona le categorie di eventi da includere nella configurazione. Le categorie disponibili includono eventi di processo, eventi di file, eventi utente ed eventi di sistema.

  7. (Facoltativo) Seleziona Hash file per abilitare il calcolo e la generazione di report degli hash dei file per i file eseguibili dei processi.

  8. Fai clic su Salva.

Crea un feed webhook in Google SecOps

Crea il feed

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Jamf Protect Telemetry V2).
  5. Seleziona Webhook come Tipo di origine.
  6. Seleziona Jamf Telemetry v2 come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Delimitatore di divisione: inserisci \n
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed
  9. Fai clic su Avanti.
  10. Esamina la nuova configurazione del feed nella schermata Finalizza, quindi fai clic su Invia.

Genera e salva la chiave segreta

Dopo aver creato il feed, devi generare una chiave segreta per l'autenticazione:

  1. Nella pagina dei dettagli del feed, fai clic su Genera chiave segreta.
  2. Viene visualizzata una finestra di dialogo con la chiave segreta.
  3. Copia e salva la chiave segreta in modo sicuro.

Importante: la chiave segreta viene visualizzata una sola volta e non può essere recuperata in un secondo momento. Se la perdi, devi generare una nuova chiave segreta.

Recupera l'URL dell'endpoint del feed

  1. Vai alla scheda Dettagli del feed.
  2. Nella sezione Informazioni sull'endpoint, copia l'URL dell'endpoint del feed.

  3. Il formato dell'URL è:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. Salva questo URL per i passaggi successivi.

  5. Fai clic su Fine.

Crea una chiave API Google Cloud

Crea la chiave API

  1. Vai alla pagina Credenziali di Google Cloud Console.
  2. Seleziona il tuo progetto (il progetto associato alla tua istanza Google SecOps).
  3. Fai clic su Crea credenziali > Chiave API.
  4. Viene creata una chiave API e visualizzata in una finestra di dialogo.
  5. Fai clic su Modifica chiave API per limitare la chiave.

Limita la chiave API

  1. Nella pagina delle impostazioni della chiave API :
    • Nome: inserisci un nome descrittivo (ad esempio, Jamf Protect Webhook API Key)
  2. In Limitazioni API:
    1. Seleziona Limita chiave.
    2. Nel menu a discesa Seleziona API, cerca e seleziona API Google SecOps.
  3. Fai clic su Salva.
  4. Copia il valore della chiave API dal campo Chiave API nella parte superiore della pagina.

  5. Salva la chiave API in modo sicuro.

Configura la configurazione delle azioni di Jamf Protect per il webhook

Crea o aggiorna una configurazione delle azioni in Jamf Protect per inviare i dati di telemetria al feed webhook di Google SecOps.

  1. In Jamf Protect, fai clic su Azioni.
  2. Fai clic su Crea azione per creare una nuova configurazione delle azioni oppure seleziona una configurazione delle azioni esistente e fai clic su Modifica.
  3. Inserisci un Nome per la configurazione delle azioni (ad esempio, Google SecOps Webhook).
  4. Inserisci una Descrizione (ad esempio, Sends telemetry data to Google Security Operations via webhook).
  5. In Endpoint dati, fai clic su + Aggiungi.
  6. Seleziona HTTP.
  7. Nel campo URL, inserisci l'URL dell'endpoint del feed di Google SecOps.
  8. Fai clic su + Aggiungi intestazione HTTP e inserisci le seguenti intestazioni:
    • Prima intestazione:
      • Nome: API_KEY
      • Valore: la chiave API che hai creato nella Google Cloud Console
    • Seconda intestazione:
      • Nome: SECRET
      • Valore: la chiave segreta che hai generato dal feed Google SecOps
  9. In Raccogli avvisi, seleziona i livelli di avviso che vuoi raccogliere.
  10. In Raccogli log, seleziona Telemetria e tutti i tipi di dati di sicurezza macOS aggiuntivi da raccogliere.
  11. Fai clic su Salva.

Assegna la configurazione delle azioni a un piano

  1. In Jamf Protect, fai clic su Piani.
  2. Seleziona un piano esistente e fai clic su Modifica oppure fai clic su Crea piano per creare un nuovo piano.
  3. Dal menu popup Telemetria, seleziona la configurazione di telemetria che hai creato (ad esempio, Google SecOps Telemetry).
  4. Dal menu popup Azione, seleziona la configurazione delle azioni che hai creato (ad esempio, Google SecOps Webhook).
  5. Fai clic su Salva.

I computer assegnati a questo piano inizieranno a inviare i dati di telemetria a Google SecOps.

(Alternativa) Configura l'importazione utilizzando Amazon S3

Puoi anche inviare i dati di telemetria di Jamf Protect a Google SecOps utilizzando l'inoltro dei dati di Amazon S3 da Jamf Protect Cloud.

Configura l'inoltro dei dati di Jamf Protect ad Amazon S3

  1. In Jamf Protect, fai clic su Amministrazione > Dati.
  2. Utilizza l'opzione di attivazione/disattivazione Inoltro Amazon S3 per abilitare l'inoltro dei dati.
  3. Seleziona la casella di controllo Cripta i dati inoltrati per assicurarti che tutti i dati inoltrati da Jamf Protect Cloud siano criptati.
  4. Inserisci il nome di un bucket Amazon S3 a cui inviare i dati.
  5. (Facoltativo) Inserisci un nome prefisso da utilizzare per tutti gli oggetti dati di Jamf Protect inoltrati.

  6. Inserisci il ruolo IAM che Jamf Protect assumerà quando inoltrerà i dati al tuo bucket Amazon S3. Questo valore deve essere nel formato Amazon Resource Name (ARN).

    arn:aws:iam::123456789012:role/S3Access

  7. Fai clic su Salva.

  8. Assicurati che le configurazioni delle azioni includano Jamf Protect Cloud come endpoint dati e che Telemetria sia selezionata in Raccogli log.

Configura un feed in Google SecOps per importare i log da Amazon S3

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Jamf Protect Telemetry V2 S3).
  5. Seleziona Amazon S3 V2 come Tipo di origine.
  6. Seleziona Jamf Telemetry v2 come Tipo di log.
  7. Fai clic su Avanti e poi su Invia.

  8. Specifica i valori per i seguenti campi:

    • URI S3: s3://<your-bucket-name>/<prefix>/
    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3
    • Chiave di accesso segreta: chiave segreta utente con accesso al bucket S3
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

  9. Fai clic su Avanti e poi su Invia.

Limiti e best practice per i webhook

Limiti per le richieste

Limite Valore
Dimensioni massime della richiesta 4 MB
QPS max (query al secondo) 15.000
Timeout richieste 30 secondi
Comportamento di nuovi tentativi Automatico con backoff esponenziale

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.