收集 Jamf Protect Telemetry V2 記錄
本文說明如何設定 Jamf Protect,透過 Webhook 或 Amazon S3 將遙測 V2 記錄檔傳送至 Google Security Operations。
Jamf Protect 的 Mac 端點遙測功能會使用 Apple 的 Endpoint Security API,從 macOS 電腦收集系統和使用者事件記錄資料。遙測資料提供端點活動的詳細稽核追蹤記錄,包括程序執行、檔案作業、使用者驗證和系統變更,有助於安全團隊偵測威脅、調查事件及符合法規遵循規定。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 具備管理員權限,可存取 Jamf Protect macOS 安全性入口網站
- 在 Google SecOps 執行個體中設定的 Google Cloud 雲端專案,並啟用 Chronicle API
- Google Cloud Platform Console 的特殊權限 (用於建立 API 金鑰)
- 已註冊 Jamf Protect 並部署 Jamf Protect 代理程式的 macOS 電腦
設定 Jamf Protect 遙測
在 Jamf Protect 中建立遙測設定,定義要收集哪些 macOS 端點事件。
- 登入 Jamf Protect macOS 安全性入口網站。
- 按一下「遙測」。
- 按一下「建立遙測」。
- 在「Name」(名稱) 欄位中,輸入遙測設定的名稱 (例如
Google SecOps Telemetry)。 - 在「Description」(說明) 欄位輸入說明 (例如
Telemetry configuration for Google Security Operations integration)。 選取要納入設定的事件類別。可用類別包括程序事件、檔案事件、使用者事件和系統事件。
(選用) 選取「檔案雜湊」,即可啟用程序執行檔的檔案雜湊運算和回報功能。
按一下 [儲存]。
在 Google SecOps 中建立 Webhook 動態饋給
建立動態饋給
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Jamf Protect Telemetry V2)。 - 選取「Webhook」做為「來源類型」。
- 選取「Jamf Telemetry v2」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 分割分隔符號:輸入
\n - 資產命名空間:資產命名空間
- 擷取標籤:要套用至這個動態饋給事件的標籤
- 分割分隔符號:輸入
- 點選「下一步」。
- 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
產生並儲存密鑰
建立動態饋給後,您必須產生用於驗證的密鑰:
- 在動態饋給詳細資料頁面中,按一下「產生密鑰」。
- 對話方塊會顯示密鑰。
- 複製並妥善儲存密鑰。
重要事項:密鑰只會顯示一次,之後便無法擷取,如果遺失,請產生新的密鑰。
取得動態消息端點網址
- 前往動態消息的「詳細資料」分頁。
- 在「端點資訊」部分,複製「動態消息端點網址」。
網址格式為:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate請儲存這個網址,以供後續步驟使用。
按一下 [完成]。
建立 Google Cloud API 金鑰
建立 API 金鑰
- 前往 Google Cloud 控制台的「憑證」頁面。
- 選取專案 (與 Google SecOps 執行個體相關聯的專案)。
- 依序按一下「建立憑證」>「API 金鑰」。
- 系統會建立 API 金鑰,並在對話方塊中顯示。
- 按一下「編輯 API 金鑰」即可限制金鑰。
限制 API 金鑰
- 在「API 金鑰」設定頁面中:
- 名稱:輸入描述性名稱 (例如
Jamf Protect Webhook API Key)
- 名稱:輸入描述性名稱 (例如
- 在「API 限制」下方:
- 選取「Restrict key」(限制金鑰)。
- 在「選取 API」下拉式選單中,搜尋並選取「Google SecOps API」。
- 按一下 [儲存]。
- 從頁面頂端的「API key」(API 金鑰) 欄位複製 API 金鑰值。
安全地儲存 API 金鑰。
設定 Webhook 的 Jamf Protect 動作設定
在 Jamf Protect 中建立或更新動作設定,將遙測資料傳送至 Google SecOps 網路鉤子動態饋給。
- 在 Jamf Protect 中,按一下「動作」。
- 按一下「建立動作」即可建立新的動作設定,或是選取現有的動作設定並按一下「編輯」。
- 輸入動作設定的名稱 (例如
Google SecOps Webhook)。 - 輸入「說明」 (例如
Sends telemetry data to Google Security Operations via webhook)。 - 在「資料端點」中,按一下「+ 新增」。
- 選取「HTTP」HTTP。
- 在「URL」欄位中,輸入 Google SecOps 的「動態饋給端點網址」。
- 按一下「+ Add HTTP Header」(+ 新增 HTTP 標頭),然後輸入下列標頭:
- 第一個標頭:
- Name (名稱):
API_KEY - 值:您在 Google Cloud 控制台中建立的 API 金鑰
- Name (名稱):
- 第二個標頭:
- Name (名稱):
SECRET - 值:您從 Google SecOps 資訊動態產生的密鑰
- Name (名稱):
- 第一個標頭:
- 在「收集快訊」中,選取要收集的快訊層級。
- 在「Collect Logs」中,選取「Telemetry」和要收集的任何其他 macOS 安全性資料類型。
- 按一下 [儲存]。
將動作設定指派給方案
- 在 Jamf Protect 中,按一下「方案」。
- 選取現有企劃書並按一下「編輯」,或按一下「建立企劃書」來建立新企劃書。
- 在「遙測」彈出式選單中,選取您建立的遙測設定 (例如
Google SecOps Telemetry)。 - 在「動作」彈出式選單中,選取您建立的動作設定 (例如
Google SecOps Webhook)。 - 按一下 [儲存]。
指派給這項計畫的電腦會開始將遙測資料傳送至 Google SecOps。
(替代做法) 使用 Amazon S3 設定擷取作業
您也可以使用 Jamf Protect Cloud 的 Amazon S3 資料轉送功能,將 Jamf Protect 遙測資料傳送至 Google SecOps。
設定將 Jamf Protect 資料轉送至 Amazon S3
- 在 Jamf Protect 中,依序點選「Administrative」> Data」。
- 使用「Amazon S3 轉送」切換鈕啟用資料轉送。
- 選取「加密轉送的資料」核取方塊,確保從 Jamf Protect Cloud 轉送的所有資料都會加密。
- 輸入要傳送資料的 Amazon S3 值區名稱。
- (選用) 輸入要用於所有轉送 Jamf Protect 資料物件的前置字串名稱。
輸入 Jamf Protect 將資料轉送至 Amazon S3 值區時使用的 IAM 角色。這個值必須採用 Amazon 資源名稱 (ARN) 格式。
arn:aws:iam::123456789012:role/S3Access按一下 [儲存]。
請確認動作設定包含 Jamf Protect Cloud 做為資料端點,且「收集記錄」下方已選取「遙測」。
在 Google SecOps 中設定資訊提供,從 Amazon S3 擷取記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Jamf Protect Telemetry V2 S3)。 - 選取「Amazon S3 V2」做為「來源類型」。
- 選取「Jamf Telemetry v2」做為「記錄類型」。
- 依序點按「繼續」和「提交」。
為下列欄位指定值:
- S3 URI:
s3://<your-bucket-name>/<prefix>/ - 來源刪除選項:根據偏好設定選取刪除選項
- 檔案存在時間上限:包含在過去天數內修改的檔案 (預設為 180 天)
- 存取金鑰 ID:可存取 S3 儲存貯體的使用者存取金鑰
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰
- 資產命名空間:資產命名空間
- 擷取標籤:要套用至這個動態饋給事件的標籤
- S3 URI:
依序點按「繼續」和「提交」。
Webhook 限制和最佳做法
要求限制
| 限制 | 值 |
|---|---|
| 要求大小上限 | 4 MB |
| 每秒查詢次數 (QPS) 上限 | 15,000 |
| 要求逾時 | 30 秒 |
| 重試行為 | 自動重試 (指數輪詢) |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。