Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Jamf Protect Telemetry V2 のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Webhook または Amazon S3 を使用して、Jamf Protect から Google Security Operations にテレメトリー V2 ログを送信するように構成する方法について説明します。

Jamf Protect の Mac エンドポイントテレメトリーは、Apple の Endpoint Security API を使用して、macOS コンピュータからシステムイベントとユーザーイベントのイベントログデータを収集します。テレメトリーデータは、プロセス実行、ファイル操作、ユーザー認証、システム変更など、エンドポイントアクティビティの詳細な監査証跡を提供します。これにより、セキュリティチームは脅威の検出、インシデントの調査、コンプライアンス要件の遵守が可能になります。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
管理者権限で Jamf Protect macOS Security ポータルにアクセスできる
Chronicle API が有効になっている Google SecOps インスタンスで構成された Google Cloud プロジェクト
Google Cloud コンソール への特権アクセス（API キーの作成用）
Jamf Protect に登録され、Jamf Protect エージェントがデプロイされている macOS コンピュータ

Jamf Protect テレメトリーを構成する

Jamf Protect でテレメトリー構成を作成して、収集する macOS エンドポイントイベントを定義します。

Jamf Protect macOS Security ポータルにログインします。
[テレメトリー] をクリックします。
[テレメトリーを作成] をクリックします。
[名前] フィールドに、テレメトリー構成の名前を入力します（例: Google SecOps Telemetry）。
[説明] フィールドに、説明を入力します（例: Telemetry configuration for Google Security Operations integration）。
構成に含めるイベントカテゴリを選択します。使用可能なカテゴリには、プロセスイベント、ファイルイベント、ユーザーイベント、システムイベントがあります。

注: 包括的なセキュリティモニタリングを行うには、使用可能なすべてのイベントカテゴリを選択します。選択内容は、組織の要件に基づいて後で調整できます。
（省略可）[ファイルハッシュ] を選択すると、プロセス実行可能ファイルのファイルハッシュの計算とレポート作成を有効にできます。
[保存] をクリックします。

Google SecOps で Webhook フィードを作成する

フィードを作成する

[SIEM 設定] > [フィード] に移動します。
[新しいフィードを追加] をクリックします。
次のページで [単一のフィードを構成] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Jamf Protect Telemetry V2）。
[ソースタイプ] として [Webhook] を選択します。
[ログタイプ] として [Jamf Telemetry v2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- 分割区切り文字: \nと入力します。
- アセットの名前空間: アセットの名前空間
- 取り込みラベル: このフィードのイベントに適用されるラベル
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

秘密鍵を生成して保存する

フィードを作成したら、認証用の秘密鍵を生成する必要があります。

フィードの詳細ページで、[秘密鍵を生成する] をクリックします。
ダイアログに秘密鍵が表示されます。
秘密鍵をコピーして安全に保存 します。

重要: 秘密鍵は一度しか表示されず、後で取得することはできません。秘密鍵を紛失した場合は、新しい秘密鍵を生成する必要があります。

フィードエンドポイントの URL を取得する

フィードの [詳細] タブに移動します。
[エンドポイント情報] セクションで、フィードエンドポイントの URL をコピーします。

URL の形式は次のとおりです。

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

次の手順で使用するため、この URL を保存します。
[完了] をクリックします。

Google Cloud API キーを作成する

API キーを作成する

[Google Cloud コンソール認証情報] ページに移動します。
プロジェクト（Google SecOps インスタンスに関連付けられているプロジェクト）を選択します。
[認証情報を作成] > [API キー] をクリックします。
API キーが作成され、ダイアログに表示されます。
[API キーを編集] をクリックして、キーを制限します。

API キーを制限する

[API キー] 設定ページで、次の操作を行います。
- 名前: わかりやすい名前を入力します（例: Jamf Protect Webhook API Key）
[API の制限]:
1. [キーを制限] を選択します。
2. [API の選択] プルダウンで [Google SecOps API] を検索して選択します。
[保存] をクリックします。
ページ上部の [API キー] フィールドから API キーの値をコピー します。
API キーを安全に保存します。

**注:** API キーを制限すると、Chronicle API でのみ使用できるようになり、キーが侵害された場合のセキュリティリスクを軽減できます。

Webhook 用に Jamf Protect アクション構成を構成する

Jamf Protect でアクション構成を作成または更新して、テレメトリーデータを Google SecOps Webhook フィードに送信します。

[Jamf Protect] で [アクション] をクリックします。
[アクションを作成] をクリックして新しいアクション構成を作成するか、既存のアクション構成を選択して [編集] をクリックします。
アクション構成の名前を入力します（例: Google SecOps Webhook）。
説明を入力します（例: Sends telemetry data to Google Security Operations via webhook）。
[**データエンドポイント**] で [**\+ 追加**] をクリックします。
[HTTP] を選択します。
[URL] フィールドに、Google SecOps のフィードエンドポイントの URL を入力します。
- 最初のヘッダー:
  - 名前: API_KEY
  - 値: Google Cloud コンソールで作成した API キー
- 2 つ目のヘッダー:
  - 名前: SECRET
  - 値: Google SecOps フィードから生成した秘密鍵
[アラートを収集] で、収集するアラートレベルを選択します。
[ログを収集] で、[テレメトリー] と、収集する追加の macOS セキュリティデータタイプを選択します。
[保存] をクリックします。

アクション構成をプランに割り当てる

[Jamf Protect] で [プラン] をクリックします。
既存のプランを選択して [編集] をクリックするか、[プランを作成] をクリックして新しいプランを作成します。
[テレメトリー] ポップアップメニューから、作成したテレメトリー構成（例: Google SecOps Telemetry）を選択します。
[アクション] ポップアップメニューから、作成したアクション構成（例: Google SecOps Webhook）を選択します。
[保存] をクリックします。

このプランに割り当てられたコンピュータは、Google SecOps にテレメトリーデータの送信を開始します。

（代替）Amazon S3 を使用して取り込みを構成する

Jamf Protect Cloud から Amazon S3 へのデータ転送を使用して、Jamf Protect テレメトリーデータを Google SecOps に送信することもできます。

Jamf Protect から Amazon S3 へのデータ転送を構成する

Jamf Protect で [管理 > データ] をクリックします。
[Amazon S3 転送] スイッチを使用して、データ転送を有効にします。
[転送されたデータを暗号化する] チェックボックスをオンにして、Jamf Protect Cloud から転送されるすべてのデータが暗号化されるようにします。
データを送信するAmazon S3 バケット の名前を入力します。
（省略可）転送されるすべての Jamf Protect データオブジェクトに使用する接頭辞名 を入力します。
Jamf Protect が Amazon S3 バケットにデータを転送するときに想定するIAM ロール を入力します。この値は、Amazon リソース名（ARN）形式にする必要があります。
```
arn:aws:iam::123456789012:role/S3Access
```
[保存] をクリックします。

注: Jamf Protect には、Amazon S3 転送の構成時に使用する外部 ID が用意されています。ExternalId の値はテナントごとに一意であり、S3 バケットへのデータの書き込みに使用されるロールを想定するリクエストに含まれています。
アクション構成にデータエンドポイントとして Jamf Protect Cloud が含まれており、[ログを収集] で [テレメトリー] が選択されていることを確認します。

Amazon S3 からログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しいフィードを追加] をクリックします。
次のページで [単一のフィードを構成] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Jamf Protect Telemetry V2 S3）。
[ソースタイプ] として [Amazon S3 V2] を選択します。
[ログタイプ] として [Jamf Telemetry v2] を選択します。
[次へ] をクリックしてから、[送信] をクリックします。
次のフィールドの値を指定します。
- S3 URI: s3://<your-bucket-name>/<prefix>/
- ソース削除オプション: 必要に応じて削除オプションを選択します。
- ファイルの最大経過時間: 過去数日以内に変更されたファイルを含めます（デフォルトは 180 日）。
- アクセスキー ID: S3 バケットにアクセスできるユーザーアクセスキー
- シークレットアクセスキー: S3 バケットにアクセスできるユーザーのシークレットキー
- アセットの名前空間: アセットの名前空間
- 取り込みラベル: このフィードのイベントに適用されるラベル
注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
[次へ] をクリックしてから、[送信] をクリックします。

Webhook の上限とおすすめの方法

リクエストに関する上限

上限	値
リクエストの最大サイズ	4 MB
最大 QPS（秒間クエリ数）	15,000
リクエストのタイムアウト	30 秒
再試行の動作	指数バックオフによる自動

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。