Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros de telemetria V2 do Jamf Protect

Compatível com:

Google SecOps SIEM

Este documento descreve como configurar o Jamf Protect para enviar registros de telemetria V2 ao Google Security Operations usando webhooks ou o Amazon S3.

A telemetria de endpoints do Mac do Jamf Protect coleta dados de log de eventos do sistema e do usuário de computadores macOS usando a API Endpoint Security da Apple. Os dados de telemetria fornecem trilhas de auditoria detalhadas da atividade de endpoints, incluindo execução de processos, operações de arquivos, autenticação de usuários e mudanças no sistema, permitindo que as equipes de segurança detectem ameaças, investiguem incidentes e atendam aos requisitos de conformidade.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Acesso privilegiado ao portal de segurança do macOS do Jamf Protect com permissões de administrador
Um projeto Google Cloud configurado na sua instância do Google SecOps com a API Chronicle ativada
Acesso privilegiado ao Console do Google Cloud (para criação de chaves de API)
Computadores macOS registrados no Jamf Protect com o agente do Jamf Protect implantado

Configurar a telemetria do Jamf Protect

Crie uma configuração de telemetria no Jamf Protect para definir quais eventos de endpoints do macOS serão coletados.

Faça login no portal de segurança do macOS do Jamf Protect.
Clique em Telemetria.
Clique em Criar telemetria.
No campo Nome, insira um nome para a configuração de telemetria (por exemplo, Google SecOps Telemetry).
No campo Descrição, insira uma descrição (por exemplo, Telemetry configuration for Google Security Operations integration).
Selecione as categorias de eventos a serem incluídas na configuração. As categorias disponíveis incluem eventos de processo, eventos de arquivo, eventos de usuário e eventos do sistema.

Observação: para um monitoramento de segurança abrangente, selecione todas as categorias de eventos disponíveis. Você pode refinar a seleção mais tarde com base nos requisitos da sua organização.
(Opcional) Selecione Hashes de arquivo para ativar a computação e a geração de relatórios de hashes de arquivo para arquivos executáveis de processos.
Clique em Salvar.

Criar feed de webhook no Google SecOps

Criar o feed

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Jamf Protect Telemetry V2).
Selecione Webhook como o Tipo de origem.
Selecione Jamf Telemetry v2 como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: insira \n
- Namespace do recurso: o namespace do recurso
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed
Clique em Próxima.
Revise a nova configuração de feed na tela Finalizar e clique em Enviar.

Gerar e salvar a chave secreta

Depois de criar o feed, gere uma chave secreta para autenticação:

Na página de detalhes do feed, clique em Gerar chave secreta.
Uma caixa de diálogo mostra a chave secreta.
Copie e salve a chave secreta com segurança.

Importante: a chave secreta é mostrada apenas uma vez e não pode ser recuperada mais tarde. Se você perder a chave, gere uma nova.

Acessar o URL do endpoint do feed

Acesse a guia Detalhes do feed.
Na seção Informações do endpoint, copie o URL do endpoint do feed.

O formato do URL é:

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Salve esse URL para as próximas etapas.
Clique em Concluído.

Criar chave de API do Google Cloud

Criar a chave de API

Acesse a página Credenciais do console do Google Cloud.
Selecione seu projeto (o projeto associado à sua instância do Google SecOps).
Clique em Criar credenciais > Chave de API.
Uma chave de API é criada e mostrada em uma caixa de diálogo.
Clique em Editar chave de API para restringir a chave.

Restringir a chave de API

Na página de configurações da chave de API :
- Nome: insira um nome descritivo (por exemplo, Jamf Protect Webhook API Key)
Em Restrições de API:
1. Selecione Restringir chave.
2. Na lista suspensa Selecionar APIs, pesquise e selecione API Google SecOps.
Clique em Salvar.
Copie o valor da chave de API do campo Chave de API na parte de cima da página.
Salve a chave de API com segurança.

**Observação** :restringir a chave de API garante que ela só possa ser usada com a API Chronicle, reduzindo o risco de segurança se a chave for comprometida.

Configurar a configuração de ação do Jamf Protect para webhook

Crie ou atualize uma configuração de ação no Jamf Protect para enviar dados de telemetria ao feed de webhook do Google SecOps.

No Jamf Protect, clique em Ações.
Clique em Criar ação para criar uma nova configuração de ação ou selecione uma configuração de ação atual e clique em Editar.
Insira um Nome para a configuração de ação (por exemplo, Google SecOps Webhook).
Insira uma Descrição (por exemplo, Sends telemetry data to Google Security Operations via webhook).
Em Endpoints de dados, clique em + Adicionar.
Selecione HTTP.
No campo URL, insira o URL do endpoint do feed do Google SecOps.
Clique em + Adicionar cabeçalho HTTP e insira os seguintes cabeçalhos:
- Primeiro cabeçalho:
  - Nome: API_KEY
  - Valor: a chave de API criada no Console do Google Cloud
- Segundo cabeçalho:
  - Nome: SECRET
  - Valor: a chave secreta gerada no feed do Google SecOps
Em Coletar alertas, selecione os níveis de alerta que você quer coletar.
Em Coletar registros, selecione Telemetria e outros tipos de dados de segurança do macOS a serem coletados.
Clique em Salvar.

Atribuir a configuração de ação a um plano

No Jamf Protect, clique em Planos.
Selecione um plano atual e clique em Editar ou clique em Criar plano para criar um novo.
No menu pop-up Telemetria, selecione a configuração de telemetria criada (por exemplo, Google SecOps Telemetry).
No menu pop-up Ação, selecione a configuração de ação criada (por exemplo, Google SecOps Webhook).
Clique em Salvar.

Os computadores atribuídos a esse plano vão começar a enviar dados de telemetria ao Google SecOps.

(Alternativa) Configurar a ingestão usando o Amazon S3

Você também pode enviar dados de telemetria do Jamf Protect ao Google SecOps usando o encaminhamento de dados do Amazon S3 do Jamf Protect Cloud.

Configurar o encaminhamento de dados do Jamf Protect para o Amazon S3

No Jamf Protect, clique em Administrativo > Dados.
Use a opção Encaminhamento do Amazon S3 para ativar o encaminhamento de dados.
Marque a caixa de seleção Criptografar dados encaminhados para garantir que todos os dados encaminhados do Jamf Protect Cloud sejam criptografados.
Insira o nome de um bucket do Amazon S3 para enviar dados.
(Opcional) Insira um nome de prefixo a ser usado para todos os objetos de dados encaminhados do Jamf Protect.
Insira o papel do IAM que o Jamf Protect vai assumir ao encaminhar dados para o bucket do Amazon S3. Esse valor precisa estar no formato de nome de recurso da Amazon (ARN, na sigla em inglês).
```
arn:aws:iam::123456789012:role/S3Access
```
Clique em Salvar.

Observação: o Jamf Protect fornece um ID externo a ser usado ao configurar o encaminhamento do Amazon S3. O valor ExternalId é exclusivo para cada locatário e está incluído na solicitação para assumir o papel usado para gravar dados no bucket do S3.
Verifique se as configurações de ação incluem o Jamf Protect Cloud como um endpoint de dados e se a Telemetria está selecionada em Coletar registros.

Configurar um feed no Google SecOps para ingerir registros do Amazon S3

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Jamf Protect Telemetry V2 S3).
Selecione Amazon S3 V2 como o Tipo de origem.
Selecione Jamf Telemetry v2 como o Tipo de registro.
Clique em Próxima e em Enviar.
Especifique valores para os campos a seguir:
- URI do S3: s3://<your-bucket-name>/<prefix>/
- Opção de exclusão de origem: selecione a opção de exclusão de acordo com sua preferência
- Idade máxima do arquivo: inclua arquivos modificados no último número de dias (o padrão é 180 dias)
- ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3
- Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3
- Namespace do recurso: o namespace do recurso
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed
Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
Clique em Próxima e em Enviar.

Limites e práticas recomendadas de webhook

Limites de solicitações

Limite	Valor
Tamanho máximo da solicitação	4 MB
QPS máximo (consultas por segundo)	15.000
Tempo limite da solicitação	30 segundos
Comportamento de repetição	Automático com espera exponencial

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.