Raccogliere i log degli eventi di minaccia Jamf

Questo documento descrive come raccogliere i log degli eventi di minaccia Jamf configurando un feed Google Security Operations e come i campi dei log vengono mappati ai campi Unified Data Model (UDM) di Google SecOps. Questo documento elenca anche la versione supportata di Jamf Threat Events.

Per saperne di più, consulta Importazione dei dati in Google SecOps.

Un deployment tipico è costituito da eventi di minaccia Jamf e dal feed Google SecOps configurato per inviare i log a Google SecOps. Ogni implementazione del cliente può variare e potrebbe essere più complessa.

Il deployment contiene i seguenti componenti:

• Jamf Protect: la piattaforma Jamf Protect, configurata con Jamf Security Cloud, in cui raccogli i log delle minacce di rete.

• Feed Google SecOps: il feed Google SecOps che recupera i log da Jamf Protect e li scrive in Google SecOps.

• Google SecOps: Google SecOps conserva e analizza i log di Jamf Protect.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione JAMF_THREAT_EVENTS.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Una configurazione di Jamf Protect Telemetry
• Jamf Protect versione 4.0.0 o successive
• Tutti i sistemi nell'architettura di deployment sono configurati con il fuso orario UTC.

Configurare i feed da Impostazioni SIEM > Feed

Puoi utilizzare Amazon S3 V2 o un webhook per configurare un feed di importazione in Google SecOps.

Configurare un feed di importazione utilizzando Amazon S3 V2

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic sul pacchetto di feed JAMF.
4. Individua il feed Eventi di minaccia di Jamf Protect.
5. Seleziona Amazon S3 V2 come Tipo di origine.

6. Specifica i valori per i seguenti campi.

   • URI S3: l'URI del bucket.
     • s3://your-log-bucket-name/
       • Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
   • Età massima dei file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
   • ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
   • Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.

   Opzioni avanzate

   • Nome feed: un valore precompilato che identifica il feed.
   • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
   • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

7. Fai clic su Crea feed.

Configurare un feed di importazione utilizzando un webhook

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic sul pacchetto di feed JAMF.
4. Individua il feed Eventi di minaccia di Jamf Protect.
5. Nell'elenco Tipo di origine, seleziona Webhook.
6. Specifica i valori per i seguenti campi
   • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
7. Fai clic su Crea feed.

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Crea una chiave API per un feed webhook

1. Vai alla consoleGoogle Cloud > Credenziali.

   Vai a credenziali

2. Fai clic su Crea credenziali e poi seleziona Chiave API.

3. Limita l'accesso della chiave API all'API Google Security Operations.

Configurare Jamf Security Cloud per un feed webhook

1. Nell'applicazione Jamf Security Cloud, vai a Integrazioni > Stream di dati.
2. Fai clic su Nuova configurazione.
3. Seleziona Eventi di minaccia > HTTP generico > Continua.
4. Nella sezione Configurazione connessione HTTP, seleziona https come protocollo predefinito.
5. Inserisci il nome host del server nel campo Nome host/IP del server, ad esempio us-chronicle.googleapis.com.
6. Nel campo Porta, inserisci la porta del server, ad esempio 443.
7. Inserisci l'endpoint web nel campo Endpoint. Si tratta del campo Endpoint Information (Informazioni sull'endpoint) che hai copiato dalla configurazione del feed webhook. È già nel formato richiesto.)

8. Nella sezione Intestazioni aggiuntive, inserisci le seguenti impostazioni, dove ogni intestazione è un'intestazione personalizzata sensibile alle maiuscole che inserisci manualmente:

   • Nome intestazione: X-goog-api-key e fai clic su Crea opzione X-goog-api-key
   • Inserimento del valore dell'intestazione: API_KEY (la chiave API per l'autenticazione a Google SecOps).
   • Nome intestazione: X-Webhook-Access-Key e fai clic su Crea opzione X-Webhook-Access-Key.
   • Inserimento del valore dell'intestazione: SECRET (la chiave segreta che hai generato per autenticare il feed).

9. Fai clic su Testa configurazione.

10. Se l'operazione va a buon fine, fai clic su Crea configurazione.

Per ulteriori informazioni sui feed Google SecOps, consulta Creare e gestire i feed utilizzando l'UI di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta la API di configurazione dei feed.

Formati dei log di Jamf Threat Events supportati

Il parser degli eventi di minaccia Jamf supporta i log in formato JSON.

Log di esempio degli eventi di minacce Jamf supportati

• JSON

  {
    "event": {
      "metadata": {
        "schemaVersion": "1.0",
        "vendor": "Jamf",
        "product": "Threat Events Stream"
      },
      "timestamp": "2023-01-11T13:10:40.410Z",
      "alertId": "debd2e4b-9da1-454e-952d-18a00b42ffce",
      "account": {
        "customerId": "dummycustomerid",
        "parentId": "dummyparentid",
        "name": "Jamf Internal Test Accounts (root) - Jamf - CE Security Team"
      },
      "device": {
        "deviceId": "e9671102-5ccf-4e66-a6b3-b117ba257d5f",
        "os": "UNKNOWN 13.2.1",
        "deviceName": "Mac (13.2.1)",
        "userDeviceName": "darrow",
        "externalId": "0c221ae4-50af-5e39-8275-4424cc87ab8e"
      },
      "eventType": {
        "id": "303",
        "description": "Risky Host/Domain - Malware",
        "name": "ACCESS_BAD_HOST"
      },
      "app": {
        "id": "ru.freeapps.calc",
        "name": "MyFreeCalculator",
        "version": "10.4",
        "sha1": "c3499c2729730a7f807efb8676a92dcb6f8a3f8f",
        "sha256": "50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545"
      },
      "destination": {
        "name": "dummy.domain.org",
        "ip": "0000:1111:2222:3333:4444:5",
        "port": "80"
      },
      "source": {
        "ip": "198.51.100.1",
        "port": "243"
      },
      "location": "GB",
      "accessPoint": null,
      "accessPointBssid": "23:8f:cf:00:9d:23",
      "severity": 8,
      "user": {
        "email": "test.user@domain.io",
        "name": "Test User"
      },
      "eventUrl": "dummy.domain.com",
      "action": "Blocked"
    }
  }
  

Riferimento alla mappatura dei campi

La tabella seguente spiega come il parser Google SecOps mappa i campi dei log degli eventi di minaccia Jamf ai campi del modello UDM (Unified Data Model) di Google SecOps.

Riferimento alla mappatura dei campi: identificatore evento e tipo di evento

La tabella seguente elenca i tipi di log JAMF_THREAT_EVENTS e i relativi tipi di eventi UDM.

Riferimento per la mappatura dei campi: JAMF_THREAT_EVENTS

La tabella seguente elenca i campi di log del tipo di log JAMF_THREAT_EVENTS e i relativi campi UDM.

Passaggi successivi

• Importazione dei dati in Google SecOps

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.