Jamf-Protokolle zu Sicherheitsereignissen erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Jamf-Ereignisprotokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten. Außerdem wird erläutert, wie Protokollfelder den Feldern des Unified Data Model (UDM) von Google SecOps zugeordnet werden. In diesem Dokument wird auch die unterstützte Version von Jamf-Sicherheitsereignissen aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Eine typische Bereitstellung besteht aus Jamf-Bedrohungsereignissen und dem Google SecOps-Feed, der so konfiguriert ist, dass Protokolle an Google SecOps gesendet werden. Jede Kundenimplementierung kann sich unterscheiden und möglicherweise komplexer sein.

Die Bereitstellung umfasst die folgenden Komponenten:

  • Jamf Protect: Die Jamf Protect-Plattform, die mit Jamf Security Cloud konfiguriert ist und in der Sie Protokolle zu Netzwerkbedrohungen erfassen.

  • Google SecOps-Feed: Der Google SecOps-Feed, über den Protokolle aus Jamf Protect abgerufen und in Google SecOps geschrieben werden.

  • Google SecOps: Google SecOps speichert und analysiert die Protokolle von Jamf Protect.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel JAMF_THREAT_EVENTS.

Hinweise

  • Sie müssen Jamf Protect eingerichtet haben.
  • Sie müssen Jamf Protect Version 4.0.0 oder höher verwenden.
  • Alle Systeme in der Bereitstellungsarchitektur müssen mit der Zeitzone UTC konfiguriert sein.

Feed in Google SecOps konfigurieren, um Jamf-Protokolle zu Sicherheitsereignissen zu übernehmen

Sie können entweder Amazon S3 oder einen Webhook verwenden, um einen Datenaufnahmefeed in Google SecOps einzurichten. Wir empfehlen jedoch Amazon S3.

Datenaufnahmefeed mit Amazon S3 einrichten

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Feeds > Neu hinzufügen aus.
  2. Wählen Sie als Quelltyp Amazon S3 aus.
  3. Wenn Sie einen Feed für Jamf-Sicherheitsereignisse erstellen möchten, wählen Sie Jamf Protect-Sicherheitsereignisse als Protokolltyp aus.
  4. Klicken Sie auf Weiter.
  5. Speichern Sie den Feed und klicken Sie dann auf Senden.
  6. Kopieren Sie die Feed-ID aus dem Feednamen, um sie in Jamf-Sicherheitsereignisse zu verwenden.

Datenaufnahmefeed mit einem Webhook einrichten

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Feeds > Neu hinzufügen aus.
  2. Geben Sie im Feld Feedname einen Namen für den Feed ein.
  3. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
  4. Wenn Sie einen Feed für Jamf-Sicherheitsereignisse erstellen möchten, wählen Sie Jamf Protect-Sicherheitsereignisse als Protokolltyp aus.
  5. Klicken Sie auf Weiter.
  6. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  7. Klicken Sie auf Weiter.
  8. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  9. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  10. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Generierung eines neuen geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
  11. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in der Jamf Threat Events-Anwendung angeben.
  12. Klicken Sie auf Fertig.
  13. Geben Sie die Endpunkt-URL in Jamf-Sicherheitsereignissen an.

API-Schlüssel für einen Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Jamf Security Cloud für einen Webhook-Feed einrichten

  1. Klicken Sie in der Jamf Security Cloud-Anwendung auf Integrationen > Datenstreams.
  2. Klicken Sie auf Neue Konfiguration.
  3. Wählen Sie Bedrohungsereignisse > Generischer HTTP-Traffic > Weiter aus.
  4. Wählen Sie im Abschnitt HTTP-Verbindungskonfiguration https als Standardprotokoll aus.
  5. Geben Sie den Hostnamen Ihres Servers in das Feld Server Hostname/IP (Server-Hostname/IP) ein, z. B. us-chronicle.googleapis.com.
  6. Geben Sie im Feld Port den Serverport ein, z. B. 443.
  7. Geben Sie Ihren Webendpunkt in das Feld Endpunkt ein. Das ist das Feld Endpunktinformationen, das Sie aus der Einrichtung des Webhook-Feeds kopiert haben. Es ist bereits im erforderlichen Format.)

  8. Geben Sie im Abschnitt Zusätzliche Header die folgenden Einstellungen ein. Dabei handelt es sich bei jedem Header um einen benutzerdefinierten, groß- und kleinschreibungssensitiven Header, den Sie manuell eingeben:

    • Header-Name: X-Goog-Api-Key und klicken Sie auf Option „X-Goog-Api-Key“ erstellen.
    • Eingefügter Headerwert: API_KEY (API-Schlüssel für die Authentifizierung bei Google SecOps)
    • Header-Name: X-Webhook-Access-Key und klicken Sie auf Option „X-Webhook-Access-Key“ erstellen.
    • Einfügen des Headerwerts: SECRET (Der geheime Schlüssel, den Sie zum Authentifizieren des Feeds generiert haben)

  9. Klicken Sie auf Konfiguration testen.

  10. Klicken Sie bei Erfolg auf Konfiguration erstellen.

Weitere Informationen zu Google SecOps-Feeds finden Sie unter Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfigurations-API.

Referenz für die Feldzuordnung

In der folgenden Tabelle wird erläutert, wie der Google SecOps-Parser Jamf-Ereignisprotokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zuordnet.

Feldzuordnung: Ereignis-ID zu Ereignistyp

In der folgenden Tabelle sind die JAMF_THREAT_EVENTS-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.

Event Identifier Event Type Security Category
MALICIOUS_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ADWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
BANKER_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
POTENTIALLY_UNWANTED_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
RANSOMWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ROOTING_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SMS_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SPYWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
TROJAN_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
THIRD_PARTY_APP_STORES_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ADMIN_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SIDE_LOADED_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
VULNERABLE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SSL_TRUST_COMPROMISE SCAN_NETWORK NETWORK_SUSPICIOUS
JAILBREAK SCAN_UNCATEGORIZED EXPLOIT
IOS_PROFILE SCAN_UNCATEGORIZED
OUTDATED_OS SCAN_VULN_HOST SOFTWARE_MALICIOUS
OUTDATED_OS_LOW SCAN_VULN_HOST SOFTWARE_MALICIOUS
OUT_OF_DATE_OS SCAN_UNCATEGORIZED
LOCK_SCREEN_DISABLED SCAN_UNCATEGORIZED
STORAGE_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
UNKNOWN_SOURCES_ENABLED SCAN_UNCATEGORIZED
DEVELOPER_MODE_ENABLED SCAN_UNCATEGORIZED
USB_DEBUGGING_ENABLED SCAN_UNCATEGORIZED
USB_APP_VERIFICATION_DISABLED SCAN_UNCATEGORIZED
FIREWALL_DISABLED SCAN_UNCATEGORIZED POLICY_VIOLATION
USER_PASSWORD_DISABLED SCAN_UNCATEGORIZED
ANTIVIRUS_DISABLED SCAN_UNCATEGORIZED
APP_INACTIVITY SCAN_UNCATEGORIZED
MISSING_ANDROID_SECURITY_PATCHES SCAN_UNCATEGORIZED
ACCESS_SPAM_HOST SCAN_HOST NETWORK_SUSPICIOUS
ACCESS_PHISHING_HOST SCAN_HOST PHISHING
ACCESS_BAD_HOST SCAN_HOST NETWORK_MALICIOUS
RISKY_APP_DOWNLOAD SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
ACCESS_CRYPTOJACKING_HOST SCAN_HOST NETWORK_SUSPICIOUS
SSL_MITM_TRUSTED_VALID_CERT SCAN_NETWORK NETWORK_SUSPICIOUS
SSL_MITM_UNTRUSTED_VALID_CERT SCAN_NETWORK NETWORK_SUSPICIOUS
SSL_STRIP_MITM SCAN_NETWORK NETWORK_MALICIOUS
SSL_MITM_UNTRUSTED_INVALID_CERT SCAN_NETWORK NETWORK_MALICIOUS
SSL_MITM_TRUSTED_INVALID_CERT SCAN_NETWORK NETWORK_MALICIOUS
LEAK_CREDIT_CARD SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_PASSWORD SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_EMAIL SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_USERID SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_LOCATION SCAN_UNCATEGORIZED ACL_VIOLATION

Referenz für die Feldzuordnung: JAMF_THREAT_EVENTS

In der folgenden Tabelle sind die Protokollfelder des JAMF_THREAT_EVENTS-Protokolltyps und die zugehörigen UDM-Felder aufgeführt.
Log field UDM mapping Logic
event.account.parentId about.resource_ancestors.product_object_id
event.account.name about.resource.name
event.account.customerId about.resource.product_object_id
is_alert The is_alert UDM field is set to TRUE.
event.timestamp metadata.event_timestamp
event.eventType.name metadata.product_event_type
event.alertId metadata.product_log_id
event.metadata.product metadata.product_name
event.metadata.vendor metadata.vendor_name
event.source.port princiap.port
event.device.deviceName principal.asset.assetid
event.location principal.asset.location.country_or_region
principal.asset.platform_software.platform The platform_name is extracted from the event.device.deviceName log field using a Grok pattern.

If the platform_name value is equal to Mac, then the principal.asset.platform_software.platform UDM field is set to MAC.
event.device.os principal.asset.platform_software.platform_version
event.device.deviceId principal.asset.product_object_id
event.source.ip principal.ip
event.accessPointBssid principal.mac
event.user.email principal.user.email_addresses
event.user.name principal.user.user_display_name
sourceUserName principal.user.user_display_name
event.device.externalId principal.asset.attribute.labels [event_device_externalId]
event.device.userDeviceName principal.asset.attribute.labels [event_device_userDeviceName]
event.accessPoint principal.labels [event_accessPoint]
event.action security_result.action The security_result.action UDM field is set to one of the following values:
  • ALLOW if the event.action log field value is equal to Resolved or Detected.
  • BLOCK if the event.action log field value is equal to Blocked.
event.action security_result.action_details
event.eventType.name security_result.category_details
event.eventType.description security_result.description
event.severity security_result.severity_details
event.eventType.id security_result.threat_id
event.eventType.name security_result.threat_name
event.eventUrl security_result.url_back_to_product
event.destination.port target.port
event.app.name target.application
event.app.name target.file.full_path
event.app.sha1 target.file.sha1
event.app.sha256 target.file.sha256
event.destination.ip target.ip
event.destination.name target.url
event.app.version target.labels [event_app_version]
event.app.id target.labels [event_app_id]
event.metadata.schemaVersion about.labels [event_metadata_schemaVersion]

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten