Création d’une Jamf Protect configuration d’action pour Splunk

Documentation relative au déploiement hors ligne de Jamf Protect
Solution
Application
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Dans le portail de sécurité macOS, utilisez les collecteurs d’événements HTTP Splunk comme points de terminaison des données pour chaque type de données de sécurité macOS que vous voulez collecter.

Requirements

Collecteurs d’événements HTTP pour les types de données de sécurité macOS dans Splunk. Pour plus d’informations, consultez la section Création des collecteurs d’événements HTTP et des jetons dans Splunk.

  1. Dans Jamf Protect, cliquez sur Actions.
  2. Cliquez sur le bouton Modifier correspondant à une configuration d’action existante ou cliquez sur Créer une action pour en créer une nouvelle.
  3. Pour chaque type de données de sécurité macOS, ajoutez un nouveau point de terminaison des données :
    1. Dans Points de terminaison de données, cliquez sur + Ajouter.
    2. Sélectionnez HTTP.
    3. Dans le champ URL, saisissez l’une des valeurs suivantes :
      Splunk Enterprise
      https://your-splunk-instance:8088/services/collector/raw
      Splunk Cloud
      https://your-splunk-instance:443/services/collector/raw
    4. Cliquez sur +Ajouter un en-tête HTTP et saisissez les informations suivantes :
      Nom
      Authorization (Autorisation)
      Valeur
      Splunk <HEC Token>
    5. Dans Logs (Journaux), sélectionnez les types de données que vous voulez collecter.
  4. (Optional) Pour ajouter d’autres points de terminaison des données, répétez l’étape précédente.
  5. Cliquez sur Enregistrer.

La configuration d’action est mise à jour et peut être ajoutée aux plans Jamf Protect dans le portail de sécurité macOS.