Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Peristiwa Ancaman Jamf

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Peristiwa Ancaman Jamf dengan menyiapkan feed Google Security Operations dan cara pemetaan kolom log ke kolom Model Data Terpadu (UDM) Google SecOps. Dokumen ini juga mencantumkan versi Jamf Threat Events yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.

Deployment umum terdiri dari Jamf Threat Events dan feed Google SecOps yang dikonfigurasi untuk mengirim log ke Google SecOps. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

Jamf Protect: Platform Jamf Protect, yang dikonfigurasi dengan Jamf Security Cloud, tempat Anda mengumpulkan log ancaman jaringan.
Feed Google SecOps: Feed Google SecOps yang mengambil log dari Jamf Protect dan menulis log ke Google SecOps.
Google SecOps: Google SecOps menyimpan dan menganalisis log dari Jamf Protect.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan JAMF_THREAT_EVENTS.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Telemetri Jamf Protect yang disiapkan
Jamf Protect versi 4.0.0 atau yang lebih baru
Semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Anda dapat menggunakan Amazon S3 atau webhook untuk menyiapkan feed penyerapan di Google SecOps, tetapi sebaiknya gunakan Amazon S3.

Menyiapkan feed penyerapan menggunakan Amazon S3

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Jamf Threat Events Logs.
Pilih Amazon S3 sebagai Jenis Sumber.
Untuk membuat feed untuk Peristiwa Ancaman Jamf, pilih Peristiwa Ancaman Jamf Protect sebagai Jenis Log.
Klik Berikutnya.
Simpan feed, lalu Kirim.
Salin ID Feed dari nama feed untuk digunakan di Peristiwa Ancaman Jamf.

Menyiapkan feed penyerapan menggunakan webhook

Khusus pelanggan terpadu Google Security Operations:
Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam rangkaian produk ini, lihat Mengonfigurasi beberapa feed.

Untuk semua pelanggan:
Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed. Lewati langkah ini jika Anda menggunakan platform mandiri SIEM Google SecOps.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Jamf Threat Events Logs.
Dalam daftar Jenis Sumber, pilih Webhook.
Untuk membuat feed untuk Peristiwa Ancaman Jamf, pilih Peristiwa Ancaman Jamf Protect sebagai Jenis Log.
Klik Berikutnya.
Opsional: Tentukan nilai untuk parameter input berikut:
- Pembatas pemisahan: Pembatas yang digunakan untuk memisahkan baris log, seperti \n.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
Salin dan simpan kunci rahasia karena Anda tidak dapat melihat rahasia ini lagi. Anda dapat membuat kunci rahasia baru lagi, tetapi pembuatan ulang kunci rahasia akan membuat kunci rahasia sebelumnya tidak berlaku.
Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda harus menentukan URL endpoint ini di aplikasi Jamf Threat Events.
Klik Selesai.
Tentukan URL endpoint di Jamf Threat Events.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Region: Region tempat bucket Amazon S3 berada.
URI S3: URI bucket.
- s3://your-log-bucket-name/
  - Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.
URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori, bergantung pada struktur bucket Anda.
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
ID Kunci Akses: Kunci akses pengguna dengan izin untuk membaca dari bucket S3.
Kunci Akses Rahasia: Kunci rahasia pengguna dengan izin untuk membaca dari bucket S3.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Membuat kunci API untuk feed webhook

Buka konsolGoogle Cloud > Kredensial.

Buka Kredensial
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.

Menyiapkan Jamf Security Cloud untuk feed webhook

Di aplikasi Jamf Security Cloud, buka Integrations > Data Streams.
Klik New Configuration.
Pilih Peristiwa Ancaman > HTTP Generik > Lanjutkan.
Di bagian HTTP Connection Configuration, pilih https sebagai protokol default.
Masukkan nama host server Anda di kolom Server Hostname/IP, seperti us-chronicle.googleapis.com.
Masukkan port server Anda di kolom Port, seperti 443.
Masukkan endpoint web Anda di kolom Endpoint. (Ini adalah kolom Endpoint Information yang Anda salin dari penyiapan feed webhook. Sudah dalam format yang diperlukan.)
Di bagian Header tambahan, masukkan setelan berikut, dengan setiap header adalah header kustom peka huruf besar/kecil yang Anda masukkan secara manual:
- Nama header: X-goog-api-key, lalu klik Create option X-goog-api-key
- Penyisipan nilai header: API_KEY (Kunci API untuk melakukan autentikasi ke Google SecOps.)
- Nama header: X-Webhook-Access-Key, lalu klik Create option X-Webhook-Access-Key
- Penyisipan nilai header: SECRET (Kunci rahasia yang Anda buat untuk mengautentikasi feed.)
Klik Test Configuration.
Jika berhasil, klik Buat Konfigurasi.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat Membuat dan mengelola feed menggunakan UI pengelolaan feed. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Feed configuration API.

Format log Peristiwa Ancaman Jamf yang didukung

Parser Peristiwa Ancaman Jamf mendukung log dalam format JSON.

Contoh log Peristiwa Ancaman Jamf yang didukung

JSON

{
  "event": {
    "metadata": {
      "schemaVersion": "1.0",
      "vendor": "Jamf",
      "product": "Threat Events Stream"
    },
    "timestamp": "2023-01-11T13:10:40.410Z",
    "alertId": "debd2e4b-9da1-454e-952d-18a00b42ffce",
    "account": {
      "customerId": "dummycustomerid",
      "parentId": "dummyparentid",
      "name": "Jamf Internal Test Accounts (root) - Jamf - CE Security Team"
    },
    "device": {
      "deviceId": "e9671102-5ccf-4e66-a6b3-b117ba257d5f",
      "os": "UNKNOWN 13.2.1",
      "deviceName": "Mac (13.2.1)",
      "userDeviceName": "darrow",
      "externalId": "0c221ae4-50af-5e39-8275-4424cc87ab8e"
    },
    "eventType": {
      "id": "303",
      "description": "Risky Host/Domain - Malware",
      "name": "ACCESS_BAD_HOST"
    },
    "app": {
      "id": "ru.freeapps.calc",
      "name": "MyFreeCalculator",
      "version": "10.4",
      "sha1": "c3499c2729730a7f807efb8676a92dcb6f8a3f8f",
      "sha256": "50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545"
    },
    "destination": {
      "name": "dummy.domain.org",
      "ip": "0000:1111:2222:3333:4444:5",
      "port": "80"
    },
    "source": {
      "ip": "198.51.100.1",
      "port": "243"
    },
    "location": "GB",
    "accessPoint": null,
    "accessPointBssid": "23:8f:cf:00:9d:23",
    "severity": 8,
    "user": {
      "email": "test.user@domain.io",
      "name": "Test User"
    },
    "eventUrl": "dummy.domain.com",
    "action": "Blocked"
  }
}

Referensi pemetaan kolom

Tabel berikut menjelaskan cara parser Google SecOps memetakan kolom log Peristiwa Ancaman Jamf ke kolom Model Data Terpadu (UDM) Google SecOps.

Referensi pemetaan kolom: ID Peristiwa ke Jenis Peristiwa

Tabel berikut mencantumkan jenis log JAMF_THREAT_EVENTS dan jenis peristiwa UDM yang sesuai.

Event Identifier	Event Type	Security Category
`MALICIOUS_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ADWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`BANKER_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`POTENTIALLY_UNWANTED_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`RANSOMWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ROOTING_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SMS_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SPYWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`TROJAN_MALWARE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`THIRD_PARTY_APP_STORES_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`ADMIN_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SIDE_LOADED_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`VULNERABLE_APP_IN_INVENTORY`	`SCAN_UNCATEGORIZED`	`SOFTWARE_MALICIOUS, SOFTWARE_PUA`
`SSL_TRUST_COMPROMISE`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`JAILBREAK`	`SCAN_UNCATEGORIZED`	`EXPLOIT`
`IOS_PROFILE`	`SCAN_UNCATEGORIZED`
`OUTDATED_OS`	`SCAN_VULN_HOST`	`SOFTWARE_MALICIOUS`
`OUTDATED_OS_LOW`	`SCAN_VULN_HOST`	`SOFTWARE_MALICIOUS`
`OUT_OF_DATE_OS`	`SCAN_UNCATEGORIZED`
`LOCK_SCREEN_DISABLED`	`SCAN_UNCATEGORIZED`
`STORAGE_ENCRYPTION_DISABLED`	`SCAN_UNCATEGORIZED`
`UNKNOWN_SOURCES_ENABLED`	`SCAN_UNCATEGORIZED`
`DEVELOPER_MODE_ENABLED`	`SCAN_UNCATEGORIZED`
`USB_DEBUGGING_ENABLED`	`SCAN_UNCATEGORIZED`
`USB_APP_VERIFICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`FIREWALL_DISABLED`	`SCAN_UNCATEGORIZED`	`POLICY_VIOLATION`
`USER_PASSWORD_DISABLED`	`SCAN_UNCATEGORIZED`
`ANTIVIRUS_DISABLED`	`SCAN_UNCATEGORIZED`
`APP_INACTIVITY`	`SCAN_UNCATEGORIZED`
`MISSING_ANDROID_SECURITY_PATCHES`	`SCAN_UNCATEGORIZED`
`ACCESS_SPAM_HOST`	`SCAN_HOST`	`NETWORK_SUSPICIOUS`
`ACCESS_PHISHING_HOST`	`SCAN_HOST`	`PHISHING`
`ACCESS_BAD_HOST`	`SCAN_HOST`	`NETWORK_MALICIOUS`
`RISKY_APP_DOWNLOAD`	`SCAN_UNCATEGORIZED`	`SOFTWARE_SUSPICIOUS`
`ACCESS_CRYPTOJACKING_HOST`	`SCAN_HOST`	`NETWORK_SUSPICIOUS`
`SSL_MITM_TRUSTED_VALID_CERT`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`SSL_MITM_UNTRUSTED_VALID_CERT`	`SCAN_NETWORK`	`NETWORK_SUSPICIOUS`
`SSL_STRIP_MITM`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`SSL_MITM_UNTRUSTED_INVALID_CERT`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`SSL_MITM_TRUSTED_INVALID_CERT`	`SCAN_NETWORK`	`NETWORK_MALICIOUS`
`LEAK_CREDIT_CARD`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_PASSWORD`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_EMAIL`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_USERID`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`
`LEAK_LOCATION`	`SCAN_UNCATEGORIZED`	`ACL_VIOLATION`

Referensi pemetaan kolom: JAMF_THREAT_EVENTS

Tabel berikut mencantumkan kolom log jenis log JAMF_THREAT_EVENTS dan kolom UDM yang sesuai.

Log field	UDM mapping	Logic
`event.account.parentId`	`about.resource_ancestors.product_object_id`
`event.account.name`	`about.resource.name`
`event.account.customerId`	`about.resource.product_object_id`
	`is_alert`	The `is_alert` UDM field is set to `TRUE`.
`event.timestamp`	`metadata.event_timestamp`
`event.eventType.name`	`metadata.product_event_type`
`event.alertId`	`metadata.product_log_id`
`event.metadata.product`	`metadata.product_name`
`event.metadata.vendor`	`metadata.vendor_name`
`event.source.port`	`princiap.port`
`event.device.deviceName`	`principal.asset.assetid`
`event.location`	`principal.asset.location.country_or_region`
	`principal.asset.platform_software.platform`	`The platform_name` is extracted from the `event.device.deviceName` log field using a Grok pattern. If the `platform_name` value is equal to `Mac`, then the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`event.device.os`	`principal.asset.platform_software.platform_version`
`event.device.deviceId`	`principal.asset.product_object_id`
`event.source.ip`	`principal.ip`
`event.accessPointBssid`	`principal.mac`
`event.user.email`	`principal.user.email_addresses`
`event.user.name`	`principal.user.user_display_name`
`sourceUserName`	`principal.user.user_display_name`
`event.device.externalId`	`principal.asset.attribute.labels [event_device_externalId]`
`event.device.userDeviceName`	`principal.asset.attribute.labels [event_device_userDeviceName]`
`event.accessPoint`	`principal.labels [event_accessPoint]`
`event.action`	`security_result.action`	The `security_result.action` UDM field is set to one of the following values: `ALLOW` if the `event.action` log field value is equal to `Resolved` or `Detected`. `BLOCK` if the `event.action` log field value is equal to `Blocked`.
`event.action`	`security_result.action_details`
`event.eventType.name`	`security_result.category_details`
`event.eventType.description`	`security_result.description`
`event.severity`	`security_result.severity_details`
`event.eventType.id`	`security_result.threat_id`
`event.eventType.name`	`security_result.threat_name`
`event.eventUrl`	`security_result.url_back_to_product`
`event.destination.port`	`target.port`
`event.app.name`	`target.application`
`event.app.name`	`target.file.full_path`
`event.app.sha1`	`target.file.sha1`
`event.app.sha256`	`target.file.sha256`
`event.destination.ip`	`target.ip`
`event.destination.name`	`target.url`
`event.app.version`	`target.labels [event_app_version]`
`event.app.id`	`target.labels [event_app_id]`
`event.metadata.schemaVersion`	`about.labels [event_metadata_schemaVersion]`

Langkah berikutnya

Penyerapan data ke Google SecOps

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.