Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Peristiwa Ancaman Jamf

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Peristiwa Ancaman Jamf dengan menyiapkan feed Operasi Keamanan Google dan cara kolom log dipetakan ke kolom Unified Data Model (UDM) SecOps Google. Dokumen ini juga mencantumkan versi Peristiwa Ancaman Jamf yang didukung.

Untuk informasi selengkapnya, lihat Penambahan data ke Google SecOps.

Deployment standar terdiri dari Peristiwa Ancaman Jamf dan feed Google SecOps yang dikonfigurasi untuk mengirim log ke Google SecOps. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

Jamf Protect: Platform Jamf Protect, yang dikonfigurasi dengan Jamf Security Cloud, tempat Anda mengumpulkan log ancaman jaringan.
Feed Google SecOps: Feed Google SecOps yang mengambil log dari Jamf Protect dan menulis log ke Google SecOps.
Google SecOps: Google SecOps menyimpan dan menganalisis log dari Jamf Protect.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer JAMF_THREAT_EVENTS.

Sebelum memulai

Pastikan Anda telah menyiapkan Jamf Protect.
Pastikan Anda menggunakan Jamf Protect versi 4.0.0 atau yang lebih baru.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.

Mengonfigurasi feed di Google SecOps untuk menyerap log Peristiwa Ancaman Jamf

Anda dapat menggunakan Amazon S3 atau webhook untuk menyiapkan feed transfer di Google SecOps, tetapi sebaiknya gunakan Amazon S3.

Menyiapkan feed penyerapan menggunakan Amazon S3

Dari menu Google SecOps, pilih Setelan > Feed > Tambahkan Baru.
Pilih Amazon S3 sebagai Source Type.
Untuk membuat feed Peristiwa Ancaman Jamf, pilih Peristiwa Ancaman Jamf Protect sebagai Jenis Log.
Klik Berikutnya.
Simpan feed, lalu Kirim.
Salin ID Feed dari nama feed yang akan digunakan di Peristiwa Ancaman Jamf.

Menyiapkan feed transfer menggunakan webhook

Dari menu Google SecOps, pilih Setelan > Feed > Tambahkan Baru.
Di kolom Nama feed, masukkan nama untuk feed.
Dalam daftar Source Type, pilih Webhook.
Untuk membuat feed Peristiwa Ancaman Jamf, pilih Peristiwa Ancaman Jamf Protect sebagai Jenis Log.
Klik Berikutnya.
Opsional: Tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
Salin dan simpan kunci rahasia karena Anda tidak dapat melihat rahasia ini lagi. Anda dapat membuat kunci rahasia baru lagi, tetapi pembuatan ulang kunci rahasia akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda harus menentukan URL endpoint ini di aplikasi Jamf Threat Events.
Klik Selesai.
Tentukan URL endpoint di Peristiwa Ancaman Jamf.

Membuat kunci API untuk feed webhook

Buka Konsol Google Cloud > Kredensial.

Buka Kredensial
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.

Menyiapkan Jamf Security Cloud untuk feed webhook

Di aplikasi Jamf Security Cloud, buka Integrasi > Aliran Data.
Klik Konfigurasi Baru.
Pilih Peristiwa Ancaman > HTTP Umum > Lanjutkan.
Di bagian HTTP Connection Configuration, pilih https sebagai protokol default.
Masukkan nama host server Anda di kolom Server Hostname/IP, seperti us-chronicle.googleapis.com.
Masukkan port server Anda di kolom Port, seperti 443.
Masukkan endpoint web Anda di kolom Endpoint. (Ini adalah kolom Endpoint Information yang Anda salin dari penyiapan feed webhook. File sudah dalam format yang diperlukan.)
Di bagian Header tambahan, masukkan setelan berikut, dengan setiap header adalah header khusus yang peka huruf besar/kecil yang Anda masukkan secara manual:
- Nama header: X-goog-api-key, lalu klik Buat opsi X-goog-api-key
- Penyisipan nilai header: API_KEY (Kunci API untuk melakukan autentikasi ke Google SecOps.)
- Nama header: X-Webhook-Access-Key, lalu klik Create option X-Webhook-Access-Key
- Penyisipan nilai header: SECRET (Kunci rahasia yang Anda buat untuk mengautentikasi feed.)
Klik Test Configuration.
Jika berhasil, klik Create Configuration.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat Membuat dan mengelola feed menggunakan UI pengelolaan feed. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat API konfigurasi feed.

Referensi pemetaan kolom

Tabel berikut menjelaskan cara parser Google SecOps memetakan kolom log Peristiwa Ancaman Jamf ke kolom Unified Data Model (UDM) Google SecOps.

Referensi pemetaan kolom: ID Peristiwa ke Jenis Peristiwa

Tabel berikut mencantumkan jenis log JAMF_THREAT_EVENTS dan jenis peristiwa UDM yang sesuai.

Event Identifier	Event Type	Security Category
`MALICIOUS_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ADWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`BANKER_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`POTENTIALLY_UNWANTED_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`RANSOMWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ROOTING_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SMS_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SPYWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`TROJAN_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`THIRD_PARTY_APP_STORES_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ADMIN_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SIDE_LOADED_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`VULNERABLE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SSL_TRUST_COMPROMISE`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`JAILBREAK`	`SCAN_UNCATEGORIZED`	`EXPLOIT`
`IOS_PROFILE`	`SCAN_UNCATEGORIZED`
`OUTDATED_OS`	`SCAN_VULN_HOST`	`SOFTWARE_MALICIOUS`
`OUTDATED_OS_LOW`	`SCAN_VULN_HOST`	`SOFTWARE_MALICIOUS`
`OUT_OF_DATE_OS`	`SCAN_UNCATEGORIZED`
`LOCK_SCREEN_DISABLED`	`SCAN_UNCATEGORIZED`
`STORAGE_ENCRYPTION_DISABLED`	`SCAN_UNCATEGORIZED`
`UNKNOWN_SOURCES_ENABLED`	`SCAN_UNCATEGORIZED`
`DEVELOPER_MODE_ENABLED`	`SCAN_UNCATEGORIZED`
`USB_DEBUGGING_ENABLED`	`SCAN_UNCATEGORIZED`
`USB_APP_VERIFICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`FIREWALL_DISABLED`	`SCAN_UNCATEGORIZED`	`POLICY_VIOLATION`
`USER_PASSWORD_DISABLED`	`SCAN_UNCATEGORIZED`
`ANTIVIRUS_DISABLED`	`SCAN_UNCATEGORIZED`
`APP_INACTIVITY`	`SCAN_UNCATEGORIZED`
`MISSING_ANDROID_SECURITY_PATCHES`	`SCAN_UNCATEGORIZED`
`ACCESS_SPAM_HOST`	`SCAN_HOST`	`NETWORK_SUSPICIOUS`
`ACCESS_PHISHING_HOST`	`SCAN_HOST`	`PHISHING`
`ACCESS_BAD_HOST`	`SCAN_HOST`	`NETWORK_MALICIOUS`
`RISKY_APP_DOWNLOAD`	`SCAN_UNCATEGORIZED`	`SOFTWARE_SUSPICIOUS`
`ACCESS_CRYPTOJACKING_HOST`	`SCAN_HOST`	`NETWORK_SUSPICIOUS`
`SSL_MITM_TRUSTED_VALID_CERT`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`SSL_MITM_UNTRUSTED_VALID_CERT`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`SSL_STRIP_MITM`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`SSL_MITM_UNTRUSTED_INVALID_CERT`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`SSL_MITM_TRUSTED_INVALID_CERT`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`LEAK_CREDIT_CARD`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_PASSWORD`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_EMAIL`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_USERID`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_LOCATION`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`

Referensi pemetaan kolom: JAMF_THREAT_EVENTS

Tabel berikut mencantumkan kolom log dari jenis log JAMF_THREAT_EVENTS dan kolom UDM yang sesuai.

Log field	UDM mapping	Logic
`event.account.parentId`	`about.resource_ancestors.product_object_id`
`event.account.name`	`about.resource.name`
`event.account.customerId`	`about.resource.product_object_id`
	`is_alert`	The `is_alert` UDM field is set to `TRUE`.
`event.timestamp`	`metadata.event_timestamp`
`event.eventType.name`	`metadata.product_event_type`
`event.alertId`	`metadata.product_log_id`
`event.metadata.product`	`metadata.product_name`
`event.metadata.vendor`	`metadata.vendor_name`
`event.source.port`	`princiap.port`
`event.device.deviceName`	`principal.asset.assetid`
`event.location`	`principal.asset.location.country_or_region`
	`principal.asset.platform_software.platform`	`The platform_name` is extracted from the `event.device.deviceName` log field using a Grok pattern. If the `platform_name` value is equal to `Mac`, then the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`event.device.os`	`principal.asset.platform_software.platform_version`
`event.device.deviceId`	`principal.asset.product_object_id`
`event.source.ip`	`principal.ip`
`event.accessPointBssid`	`principal.mac`
`event.user.email`	`principal.user.email_addresses`
`event.user.name`	`principal.user.user_display_name`
`sourceUserName`	`principal.user.user_display_name`
`event.device.externalId`	`principal.asset.attribute.labels [event_device_externalId]`
`event.device.userDeviceName`	`principal.asset.attribute.labels [event_device_userDeviceName]`
`event.accessPoint`	`principal.labels [event_accessPoint]`
`event.action`	`security_result.action`	The `security_result.action` UDM field is set to one of the following values: `ALLOW` if the `event.action` log field value is equal to `Resolved` or `Detected`. `BLOCK` if the `event.action` log field value is equal to `Blocked`.
`event.action`	`security_result.action_details`
`event.eventType.name`	`security_result.category_details`
`event.eventType.description`	`security_result.description`
`event.severity`	`security_result.severity_details`
`event.eventType.id`	`security_result.threat_id`
`event.eventType.name`	`security_result.threat_name`
`event.eventUrl`	`security_result.url_back_to_product`
`event.destination.port`	`target.port`
`event.app.name`	`target.application`
`event.app.name`	`target.file.full_path`
`event.app.sha1`	`target.file.sha1`
`event.app.sha256`	`target.file.sha256`
`event.destination.ip`	`target.ip`
`event.destination.name`	`target.url`
`event.app.version`	`target.labels [event_app_version]`
`event.app.id`	`target.labels [event_app_id]`
`event.metadata.schemaVersion`	`about.labels [event_metadata_schemaVersion]`

Langkah berikutnya

Penyerapan data ke Google SecOps

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.