Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Jamf Protect 원격 분석 V2 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 웹훅 또는 Amazon S3를 사용하여 원격 분석 V2 로그를 Google Security Operations로 전송하도록 Jamf Protect를 구성하는 방법을 설명합니다.

Jamf Protect의 Mac 엔드포인트 원격 분석은 Apple의 엔드포인트 보안 API를 사용하여 macOS 컴퓨터에서 시스템 및 사용자 이벤트 로그 데이터를 수집합니다. 원격 분석 데이터는 프로세스 실행, 파일 작업, 사용자 인증, 시스템 변경 등 엔드포인트 활동에 대한 상세한 감사 추적을 제공하여 보안팀이 위협을 감지하고, 사고를 조사하고, 규정 준수 요구사항을 충족할 수 있도록 지원합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
관리자 권한이 있는 Jamf Protect macOS 보안 포털에 대한 액세스 권한
Chronicle API가 사용 설정된 Google SecOps 인스턴스에 구성된 Google Cloud 프로젝트
Google Cloud 콘솔에 대한 권한 있는 액세스 (API 키 생성용)
Jamf Protect 에이전트가 배포되어 Jamf Protect에 등록된 macOS 컴퓨터

Jamf Protect 원격 분석 구성

Jamf Protect에서 원격 분석 구성을 만들어 수집할 macOS 엔드포인트 이벤트를 정의합니다.

Jamf Protect macOS 보안 포털에 로그인합니다.
원격 분석을 클릭합니다.
원격 분석 만들기를 클릭합니다.
이름 필드에 원격 분석 구성의 이름을 입력합니다 (예: Google SecOps Telemetry).
설명 필드에 설명을 입력합니다 (예: Telemetry configuration for Google Security Operations integration).
구성에 포함할 이벤트 카테고리를 선택합니다. 사용 가능한 카테고리에는 프로세스 이벤트, 파일 이벤트, 사용자 이벤트, 시스템 이벤트가 있습니다.

참고: 포괄적인 보안 모니터링을 위해 사용 가능한 모든 이벤트 카테고리를 선택하세요. 나중에 조직의 요구사항에 따라 선택사항을 수정할 수 있습니다.
(선택사항) 프로세스 실행 파일의 파일 해시 계산 및 보고를 사용 설정하려면 파일 해시를 선택합니다.
저장을 클릭합니다.

Google SecOps에서 웹훅 피드 만들기

피드 만들기

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Jamf Protect Telemetry V2).
소스 유형으로 웹훅을 선택합니다.
로그 유형으로 Jamf 원격 분석 v2를 선택합니다.
다음을 클릭합니다.
다음 입력 파라미터의 값을 지정합니다.
- 분할 구분 기호: \n을 입력합니다.
- 애셋 네임스페이스: 애셋 네임스페이스
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

보안 비밀 키 생성 및 저장

피드를 만든 후 인증을 위한 보안 비밀 키를 생성해야 합니다.

피드 세부정보 페이지에서 보안 비밀 키 생성을 클릭합니다.
대화상자에 보안 비밀 키가 표시됩니다.
보안 비밀번호를 안전하게 복사하여 저장합니다.

중요: 비밀 키는 한 번만 표시되며 나중에 검색할 수 없습니다. 분실할 경우 새 비밀번호 키를 생성해야 합니다.

피드 엔드포인트 URL 가져오기

피드의 세부정보 탭으로 이동합니다.
엔드포인트 정보 섹션에서 피드 엔드포인트 URL을 복사합니다.

URL 형식은 다음과 같습니다.

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

다음 단계를 위해 이 URL을 저장합니다.
완료를 클릭합니다.

Google Cloud API 키 만들기

API 키 만들기

Google Cloud 콘솔 사용자 인증 정보 페이지로 이동합니다.
프로젝트 (Google SecOps 인스턴스와 연결된 프로젝트)를 선택합니다.
사용자 인증 정보 만들기 API 키를 클릭합니다.
API 키가 생성되어 대화상자에 표시됩니다.
API 키 수정을 클릭하여 키를 제한합니다.

API 키 제한

API 키 설정 페이지에서 다음을 수행합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예: Jamf Protect Webhook API Key).
API 제한사항에서 다음을 수행합니다.
1. 키 제한을 선택합니다.
2. API 선택 드롭다운에서 Google SecOps API를 검색하여 선택합니다.
저장을 클릭합니다.
페이지 상단의 API 키 필드에서 API 키 값을 복사합니다.
API 키를 안전하게 저장합니다.

참고: API 키를 제한하면 Chronicle API에서만 사용할 수 있으므로 키가 손상된 경우 보안 위험이 줄어듭니다.

웹훅용 Jamf Protect 작업 구성

Jamf Protect에서 작업 구성을 만들어 원격 분석 데이터를 Google SecOps 웹훅 피드로 전송합니다.

Jamf Protect에서 작업을 클릭합니다.
액션 만들기를 클릭하여 새 액션 구성을 만들거나 기존 액션 구성을 선택하고 수정을 클릭합니다.
작업 구성의 이름을 입력합니다 (예: Google SecOps Webhook).
설명 (예: Sends telemetry data to Google Security Operations via webhook)을 입력합니다.
데이터 엔드포인트에서 + 추가를 클릭합니다.
HTTP를 선택합니다.
URL 필드에 Google SecOps의 피드 엔드포인트 URL을 입력합니다.
+ HTTP 헤더 추가를 클릭하고 다음 헤더를 입력합니다.
- 첫 번째 헤더:
  - 이름: API_KEY
  - 값: Google Cloud 콘솔에서 만든 API 키
- 두 번째 헤더:
  - 이름: SECRET
  - 값: Google SecOps 피드에서 생성한 보안 비밀 키
알림 수집에서 수집할 알림 수준을 선택합니다.
로그 수집에서 원격 분석과 수집할 추가 macOS 보안 데이터 유형을 선택합니다.
저장을 클릭합니다.

계획에 작업 구성 할당

Jamf Protect에서 계획을 클릭합니다.
기존 요금제를 선택하고 수정을 클릭하거나 요금제 만들기를 클릭하여 새 요금제를 만듭니다.
원격 분석 팝업 메뉴에서 생성한 원격 분석 구성을 선택합니다 (예: Google SecOps Telemetry).
작업 팝업 메뉴에서 생성한 작업 구성 (예: Google SecOps Webhook)을 선택합니다.
저장을 클릭합니다.

이 요금제에 할당된 컴퓨터는 텔레메트리 데이터를 Google SecOps로 전송하기 시작합니다.

(대안) Amazon S3를 사용하여 수집 구성

Jamf Protect Cloud에서 Amazon S3 데이터 전달을 사용하여 Jamf Protect 원격 분석 데이터를 Google SecOps로 전송할 수도 있습니다.

Amazon S3로 Jamf Protect 데이터 전달 구성

Jamf Protect에서 관리 > 데이터를 클릭합니다.
Amazon S3 전달 스위치를 사용하여 데이터 전달을 사용 설정합니다.
Jamf Protect Cloud에서 전달된 모든 데이터가 암호화되도록 하려면 전달된 데이터 암호화 체크박스를 선택합니다.
데이터를 전송할 Amazon S3 버킷의 이름을 입력합니다.
(선택사항) 전달된 모든 Jamf Protect 데이터 객체에 사용할 접두사 이름을 입력합니다.
Jamf Protect가 Amazon S3 버킷으로 데이터를 전달할 때 사용할 IAM 역할을 입력합니다. 이 값은 Amazon 리소스 이름 (ARN) 형식이어야 합니다.
```
arn:aws:iam::123456789012:role/S3Access
```
저장을 클릭합니다.

참고: Jamf Protect는 Amazon S3 전달을 구성할 때 사용할 외부 ID를 제공합니다. ExternalId 값은 테넌트마다 고유하며 S3 버킷에 데이터를 쓰는 데 사용되는 역할을 가정하는 요청에 포함됩니다.
작업 구성에 Jamf Protect Cloud가 데이터 엔드포인트로 포함되어 있고 로그 수집에서 원격 분석이 선택되어 있는지 확인합니다.

Amazon S3에서 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Jamf Protect Telemetry V2 S3).
소스 유형으로 Amazon S3 V2를 선택합니다.
로그 유형으로 Jamf 원격 분석 v2를 선택합니다.
다음을 클릭한 후 제출을 클릭합니다.
다음 필드의 값을 지정합니다.
- S3 URI: s3://<your-bucket-name>/<prefix>/
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다 (기본값은 180일).
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키
- 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키
- 애셋 네임스페이스: 애셋 네임스페이스
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
참고: Delete transferred files 또는 Delete transferred files and empty directories 옵션을 선택하는 경우 서비스 계정에 적절한 권한을 부여했는지 확인하세요.
다음을 클릭한 후 제출을 클릭합니다.

웹훅 한도 및 권장사항

요청 한도

한도	값
최대 요청 크기	4MB
최대 QPS (초당 쿼리 수)	15,000
요청 제한 시간	30초
재시도 동작	지수 백오프를 사용한 자동

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.