收集 Jamf Protect 遥测 V2 日志
本文档介绍了如何配置 Jamf Protect,以使用 Webhook 或 Amazon S3 将遥测 V2 日志发送到 Google Security Operations。
Jamf Protect 的 Mac 端点遥测功能使用 Apple 的端点安全 API 从 macOS 计算机收集系统和用户事件日志数据。遥测数据可提供详细的端点活动审核轨迹,包括进程执行、文件操作、用户身份验证和系统更改,从而使安全团队能够检测威胁、调查事件并满足合规性要求。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 对 Jamf Protect macOS 安全门户的特权访问权限,并拥有管理员权限
- 在 Google SecOps 实例中配置的 Google Cloud 项目,并已启用 Chronicle API
- 对 Google Cloud 控制台的特权访问权限(用于创建 API 密钥)
- 已注册 Jamf Protect 并部署了 Jamf Protect 代理的 macOS 计算机
配置 Jamf Protect 遥测
在 Jamf Protect 中创建遥测配置,以定义要收集哪些 macOS 端点事件。
- 登录 Jamf Protect macOS 安全门户。
- 点击 Telemetry。
- 点击创建遥测。
- 在名称字段中,输入遥测配置的名称(例如
Google SecOps Telemetry)。 - 在说明字段中,输入说明(例如
Telemetry configuration for Google Security Operations integration)。 选择要纳入配置中的活动类别。可用的类别包括进程事件、文件事件、用户事件和系统事件。
(可选)选择文件哈希,以启用进程可执行文件的文件哈希计算和报告。
点击保存。
在 Google SecOps 中创建 Webhook Feed
创建 Feed
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如
Jamf Protect Telemetry V2)。 - 选择 Webhook 作为来源类型。
- 选择 Jamf 遥测 v2 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 拆分分隔符:输入
\n - 资产命名空间:资产命名空间
- 注入标签:要应用于此 Feed 中事件的标签
- 拆分分隔符:输入
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
生成并保存密钥
创建 Feed 后,您必须生成用于身份验证的密钥:
- 在 Feed 详情页面上,点击生成密钥。
- 系统会显示一个包含密钥的对话框。
- 复制并妥善保存此密钥。
重要提示:密钥只会显示一次,之后无法再检索。如果密钥丢失,您必须生成新的密钥。
获取 Feed 端点网址
- 前往相应 Feed 的详细信息标签页。
- 在端点信息部分,复制 Feed 端点网址。
网址格式为:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate保存此网址以供后续步骤使用。
点击完成。
创建 Google Cloud API 密钥
创建 API 密钥
- 前往 Google Cloud 控制台的“凭据”页面。
- 选择您的项目(与您的 Google SecOps 实例关联的项目)。
- 点击创建凭据 > API 密钥。
- 系统会创建一个 API 密钥,并在对话框中显示该密钥。
- 点击修改 API 密钥以限制密钥。
限制 API 密钥
- 在 API 密钥设置页面中:
- 名称:输入一个描述性名称(例如
Jamf Protect Webhook API Key)
- 名称:输入一个描述性名称(例如
- 在 API 限制下:
- 选择限制密钥。
- 在选择 API 下拉菜单中,搜索并选择 Google SecOps API。
- 点击保存。
- 从页面顶部的 API 密钥字段复制 API 密钥值。
安全地保存 API 密钥。
为 webhook 配置 Jamf Protect 操作配置
在 Jamf Protect 中创建或更新操作配置,以将遥测数据发送到 Google SecOps webhook Feed。
- 在 Jamf Protect 中,点击操作。
- 点击创建操作以创建新的操作配置,或选择现有操作配置并点击修改。
- 输入操作配置的名称(例如
Google SecOps Webhook)。 - 输入说明(例如
Sends telemetry data to Google Security Operations via webhook)。 - 在数据端点中,点击 + 添加。
- 选择 HTTP。
- 在 网址 字段中,输入 Google SecOps 提供的 Feed 端点网址。
- 点击 + 添加 HTTP 标头,然后输入以下标头:
- 第一个标头:
- 名称:
API_KEY - 值:您在 Google Cloud Console 中创建的 API 密钥
- 名称:
- 第二个标头:
- 名称:
SECRET - 值:您从 Google SecOps Feed 生成的密钥
- 名称:
- 第一个标头:
- 在收集提醒中,选择要收集的提醒级别。
- 在 Collect Logs 中,选择 Telemetry 以及要收集的任何其他 macOS 安全数据类型。
- 点击保存。
将操作配置分配给方案
- 在 Jamf Protect 中,点击方案。
- 选择现有方案,然后点击修改;或者点击创建方案以创建新方案。
- 在遥测弹出式菜单中,选择您创建的遥测配置(例如
Google SecOps Telemetry)。 - 在操作弹出式菜单中,选择您创建的操作配置(例如
Google SecOps Webhook)。 - 点击保存。
分配给此方案的计算机将开始向 Google SecOps 发送遥测数据。
(替代方案)使用 Amazon S3 配置数据提取
您还可以使用 Jamf Protect Cloud 中的 Amazon S3 数据转发功能,将 Jamf Protect 遥测数据发送到 Google SecOps。
将 Jamf Protect 数据转发到 Amazon S3
- 在 Jamf Protect 中,依次点击管理 > 数据。
- 使用 Amazon S3 转发开关启用数据转发。
- 选中加密转发的数据复选框,以确保从 Jamf Protect Cloud 转发的所有数据都经过加密。
- 输入要将数据发送到的 Amazon S3 存储桶的名称。
- (可选)输入要用于所有转发的 Jamf Protect 数据对象的前缀名称。
输入 Jamf Protect 在将数据转发到您的 Amazon S3 存储桶时将承担的 IAM 角色。此值必须采用 Amazon 资源名称 (ARN) 格式。
arn:aws:iam::123456789012:role/S3Access点击保存。
确保您的操作配置包含 Jamf Protect Cloud 作为数据端点,并且在收集日志下选择了遥测。
在 Google SecOps 中配置 Feed 以注入 Amazon S3 中的日志
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如
Jamf Protect Telemetry V2 S3)。 - 选择 Amazon S3 V2 作为来源类型。
- 选择 Jamf 遥测 v2 作为日志类型。
- 点击下一步,然后点击提交。
为以下字段指定值:
- S3 URI:
s3://<your-bucket-name>/<prefix>/ - 来源删除选项:根据您的偏好选择删除选项
- 文件存在时间上限:包含在过去指定天数内修改的文件(默认值为 180 天)
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥
- 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥
- 资产命名空间:资产命名空间
- 注入标签:要应用于此 Feed 中事件的标签
- S3 URI:
点击下一步,然后点击提交。
Webhook 限制和最佳实践
请求限制
| 限制 | 值 |
|---|---|
| 最大请求大小 | 4 MB |
| 最大 QPS(每秒查询次数) | 15000 |
| 请求超时 | 30 秒 |
| 重试行为 | 自动(使用指数退避算法) |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。