Raccogliere i log degli eventi di minaccia di Jamf
Questo documento descrive come raccogliere i log degli eventi di minaccia di Jamf configurando un feed di Google Security Operations e come i campi dei log vengono mappati ai campi del modello di dati unificato (UDM) di Google SecOps. Questo documento elenca anche la versione di Jamf Threat Events supportata.
Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.
Un deployment tipico è costituito da eventi di minaccia Jamf e dal feed di Google SecOps configurato per inviare log a Google SecOps. Ogni implementazione del cliente può essere diversa e più complessa.
Il deployment contiene i seguenti componenti:
Jamf Protect: la piattaforma Jamf Protect, configurata con Jamf Security Cloud, in cui raccogli i log delle minacce alla rete.
Feed Google SecOps: il feed Google SecOps che recupera i log da Jamf Protect e li scrive in Google SecOps.
Google SecOps: Google SecOps conserva e analizza i log di Jamf Protect.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione JAMF_THREAT_EVENTS.
Prima di iniziare
- Assicurati di aver configurato Jamf Protect.
- Assicurati di utilizzare Jamf Protect 4.0.0 o versioni successive.
- Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.
Configura un feed in Google SecOps per importare i log degli eventi di minaccia di Jamf
Puoi utilizzare Amazon S3 o un webhook per configurare un feed di importazione in Google SecOps, ma ti consigliamo di utilizzare Amazon S3.
Configurare un feed di importazione utilizzando Amazon S3
- Nel menu di Google SecOps, seleziona Impostazioni > Feed > Aggiungi nuovo.
- Seleziona Amazon S3 come Tipo di origine.
- Per creare un feed per gli eventi di minaccia di Jamf, seleziona Eventi di minaccia di Jamf Protect come Tipo di log.
- Fai clic su Avanti.
- Salva il feed e poi fai clic su Invia.
- Copia l'ID feed dal nome del feed da utilizzare in Eventi di minaccia Jamf.
Configurare un feed di importazione utilizzando un webhook
- Nel menu di Google SecOps, seleziona Impostazioni > Feed > Aggiungi nuovo.
- Nel campo Nome feed, inserisci un nome per il feed.
- Nell'elenco Tipo di origine, seleziona Webhook.
- Per creare un feed per gli eventi di minaccia Jamf, seleziona Eventi di minaccia Jamf Protect come Tipo di log.
- Fai clic su Avanti.
- (Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
\n. - Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
- Fai clic su Avanti.
- Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
- Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
- Copia e memorizza la chiave segreta perché non potrai più visualizzarla. Puoi generare nuovamente una nuova chiave segreta, ma la rigenerazione della chiave segreta rende obsoleta la chiave segreta precedente.
- Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL dell'endpoint nell'applicazione Jamf Threat Events.
- Fai clic su Fine.
- Specifica l'URL dell'endpoint in Jamf Threat Events.
Creare una chiave API per un feed webhook
Vai alla console Google Cloud > Credenziali.
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso alla chiave API all'API Google Security Operations.
Configurare Jamf Security Cloud per un feed webhook
- Nell'applicazione Jamf Security Cloud, vai a Integrazioni > Stream di dati.
- Fai clic su Nuova configurazione.
- Seleziona Eventi di minaccia > HTTP generico > Continua.
- Nella sezione Configurazione connessione HTTP, seleziona https come protocollo predefinito.
- Inserisci il nome host del server nel campo Server Hostname/IP (Nome host/IP del server), ad esempio
us-chronicle.googleapis.com. - Inserisci la porta del server nel campo Porta, ad esempio
443. - Inserisci l'endpoint web nel campo Endpoint. Si tratta del campo Informazioni endpoint che hai copiato dalla configurazione del feed webhook. È già nel formato richiesto.
Nella sezione Intestazioni aggiuntive, inserisci le seguenti impostazioni, dove ogni intestazione è un'intestazione personalizzata sensibile alle maiuscole inserita manualmente:
- Nome intestazione: X-goog-api-key e fai clic su Crea opzione X-goog-api-key
- Inserimento del valore dell'intestazione: API_KEY (la chiave API per l'autenticazione in Google SecOps).
- Nome intestazione: X-Webhook-Access-Key e fai clic su Crea opzione X-Webhook-Access-Key
- Inserimento del valore dell'intestazione: SECRET (la chiave segreta generata per autenticare il feed).
Fai clic su Testa configurazione.
Se l'operazione va a buon fine, fai clic su Crea configurazione.
Per ulteriori informazioni sui feed di Google SecOps, vedi Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta l'API di configurazione dei feed.
Riferimento alla mappatura dei campi
La tabella seguente spiega come il parser di Google SecOps mappa i campi dei log degli eventi di minaccia di Jamf ai campi del modello di dati unificato (UDM) di Google SecOps.
Riferimento alla mappatura dei campi: identificatore evento a tipo di evento
Nella tabella seguente sono elencati i tipi di logJAMF_THREAT_EVENTS e i relativi tipi di eventi UDM corrispondenti.
| Event Identifier | Event Type | Security Category |
|---|---|---|
MALICIOUS_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
ADWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
BANKER_MALWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
POTENTIALLY_UNWANTED_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
RANSOMWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
ROOTING_MALWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
SMS_MALWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
SPYWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
TROJAN_MALWARE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
THIRD_PARTY_APP_STORES_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
ADMIN_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
SIDE_LOADED_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
VULNERABLE_APP_IN_INVENTORY |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS, SOFTWARE_PUA |
SSL_TRUST_COMPROMISE |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
JAILBREAK |
SCAN_UNCATEGORIZED |
EXPLOIT |
IOS_PROFILE |
SCAN_UNCATEGORIZED |
|
OUTDATED_OS |
SCAN_VULN_HOST |
SOFTWARE_MALICIOUS |
OUTDATED_OS_LOW |
SCAN_VULN_HOST |
SOFTWARE_MALICIOUS |
OUT_OF_DATE_OS |
SCAN_UNCATEGORIZED |
|
LOCK_SCREEN_DISABLED |
SCAN_UNCATEGORIZED |
|
STORAGE_ENCRYPTION_DISABLED |
SCAN_UNCATEGORIZED |
|
UNKNOWN_SOURCES_ENABLED |
SCAN_UNCATEGORIZED |
|
DEVELOPER_MODE_ENABLED |
SCAN_UNCATEGORIZED |
|
USB_DEBUGGING_ENABLED |
SCAN_UNCATEGORIZED |
|
USB_APP_VERIFICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
FIREWALL_DISABLED |
SCAN_UNCATEGORIZED |
POLICY_VIOLATION |
USER_PASSWORD_DISABLED |
SCAN_UNCATEGORIZED |
|
ANTIVIRUS_DISABLED |
SCAN_UNCATEGORIZED |
|
APP_INACTIVITY |
SCAN_UNCATEGORIZED |
|
MISSING_ANDROID_SECURITY_PATCHES |
SCAN_UNCATEGORIZED |
|
ACCESS_SPAM_HOST |
SCAN_HOST |
NETWORK_SUSPICIOUS |
ACCESS_PHISHING_HOST |
SCAN_HOST |
PHISHING |
ACCESS_BAD_HOST |
SCAN_HOST |
NETWORK_MALICIOUS |
RISKY_APP_DOWNLOAD |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
ACCESS_CRYPTOJACKING_HOST |
SCAN_HOST |
NETWORK_SUSPICIOUS |
SSL_MITM_TRUSTED_VALID_CERT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
SSL_MITM_UNTRUSTED_VALID_CERT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
SSL_STRIP_MITM |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SSL_MITM_UNTRUSTED_INVALID_CERT |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SSL_MITM_TRUSTED_INVALID_CERT |
SCAN_NETWORK |
NETWORK_MALICIOUS |
LEAK_CREDIT_CARD |
SCAN_UNCATEGORIZED |
ACL_VIOLATION |
LEAK_PASSWORD |
SCAN_UNCATEGORIZED |
ACL_VIOLATION |
LEAK_EMAIL |
SCAN_UNCATEGORIZED |
ACL_VIOLATION |
LEAK_USERID |
SCAN_UNCATEGORIZED |
ACL_VIOLATION |
LEAK_LOCATION |
SCAN_UNCATEGORIZED |
ACL_VIOLATION |
Riferimento alla mappatura dei campi: JAMF_THREAT_EVENTS
La tabella seguente elenca i campi del log del tipo di logJAMF_THREAT_EVENTS e i relativi campi UDM.
| Log field | UDM mapping | Logic |
|---|---|---|
event.account.parentId |
about.resource_ancestors.product_object_id |
|
event.account.name |
about.resource.name |
|
event.account.customerId |
about.resource.product_object_id |
|
|
is_alert |
The is_alert UDM field is set to TRUE. |
event.timestamp |
metadata.event_timestamp |
|
event.eventType.name |
metadata.product_event_type |
|
event.alertId |
metadata.product_log_id |
|
event.metadata.product |
metadata.product_name |
|
event.metadata.vendor |
metadata.vendor_name |
|
event.source.port |
princiap.port |
|
event.device.deviceName |
principal.asset.assetid |
|
event.location |
principal.asset.location.country_or_region |
|
|
principal.asset.platform_software.platform |
The platform_name is extracted from the event.device.deviceName log field using a Grok pattern.If the platform_name value is equal to Mac, then the principal.asset.platform_software.platform UDM field is set to MAC.
|
event.device.os |
principal.asset.platform_software.platform_version |
|
event.device.deviceId |
principal.asset.product_object_id |
|
event.source.ip |
principal.ip |
|
event.accessPointBssid |
principal.mac |
|
event.user.email |
principal.user.email_addresses |
|
event.user.name |
principal.user.user_display_name |
|
sourceUserName |
principal.user.user_display_name |
|
event.device.externalId |
principal.asset.attribute.labels [event_device_externalId] |
|
event.device.userDeviceName |
principal.asset.attribute.labels [event_device_userDeviceName] |
|
event.accessPoint |
principal.labels [event_accessPoint] |
|
event.action |
security_result.action |
The security_result.action UDM field is set to one of the following values:
|
event.action |
security_result.action_details |
|
event.eventType.name |
security_result.category_details |
|
event.eventType.description |
security_result.description |
|
event.severity |
security_result.severity_details |
|
event.eventType.id |
security_result.threat_id |
|
event.eventType.name |
security_result.threat_name |
|
event.eventUrl |
security_result.url_back_to_product |
|
event.destination.port |
target.port |
|
event.app.name |
target.application |
|
event.app.name |
target.file.full_path |
|
event.app.sha1 |
target.file.sha1 |
|
event.app.sha256 |
target.file.sha256 |
|
event.destination.ip |
target.ip |
|
event.destination.name |
target.url |
|
event.app.version |
target.labels [event_app_version] |
|
event.app.id |
target.labels [event_app_id] |
|
event.metadata.schemaVersion |
about.labels [event_metadata_schemaVersion] |
Passaggi successivi
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.