Création d’une configuration d’action Mode de déploiement hors ligne

Documentation relative au déploiement hors ligne de Jamf Protect
Solution
Application
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Les configurations d’action vous permettent de contrôler le stockage et la collecte des types de données de sécurité de macOS.

Dans Mode de déploiement hors ligne, les configurations d’action définissent l’emplacement dans lequel les journaux unifiés et les données de télémétrie sont envoyés, par exemple la solution de gestion des informations et des événements de sécurité (SIEM) de votre organisation.
Note:

L’agent Mode de déploiement hors ligne Jamf Protect n’envoie aucune donnée à Jamf Protect Cloud.

Requirements

Avant de créer une configuration d’action, vous devez effectuer l’intégration à une solution SIEM ou identifier les informations relatives à votre point de terminaison de collecte distant. Pour plus d’informations, consultez la section Intégrations des données de sécurité de macOS par le fournisseur.

  1. Dans Jamf Protect, cliquez sur Actions.
  2. Cliquez sur Créer une action, en haut de l’écran.
  3. Donnez un nom et ajoutez une description à votre configuration Action.
  4. Configurez les points de terminaison de données en cliquant sur + Ajouter et en sélectionnant l’une des options suivantes :
    Jamf Protect Cloud
    Collecte et stocke les données dans Jamf Protect Cloud. Les données d’alerte sont visibles directement dans le portail de sécurité macOS. Pour afficher les données de télémétrie et des journaux unifiés stockées dans Jamf Protect Cloud, vous devez configurer le transfert des données.
    HTTP
    Envoie des données des ordinateurs macOS à une URL de point de terminaison HTTP disponible à partir d’une solution SIEM.
    Fichier journal
    Écrit toutes les données dans un fichier journal à un emplacement désigné sur les ordinateurs. Un seul point de terminaison dans le fichier journal est autorisé par configuration d’action.
    Syslog
    Envoie des données à un serveur Syslog. Protocole normalisé pour la réception de messages qui s’appuie sur l’agrégation des messages de divers systèmes consolidés dans un serveur de distribution centralisé. Les messages sont généralement utilisés pour la gestion du système, la surveillance et l’audit de sécurité. Les messages Syslog peuvent contenir différentes syntaxes, mais ils sont généralement formatés à partir d’une structure de base, par exemple l’en-tête, les degrés de gravité, le texte et l’horodatage du message. Les protocoles de transport Syslog peuvent utiliser le chiffrement.
    Kafka
    Envoie des données à un serveur Kafka. Plateforme distribuée de diffusion de données qui utilise un modèle de souscription pour écouter des sujets de données spécifiques à partir d’un cluster centralisé. Les messages Kafka sont constitués de journaux standardisés et peuvent également être chiffrés dans des formats tels que JSON et Avro. Les messages sont conçus pour un traitement en temps réel. Grâce à une conservation des données configurable et des redondances au sein du cluster pour les données persistantes, Kafka peut assurer une durabilité supplémentaire. Kafka peut utiliser le chiffrement des données avec des certificats x.509.
  5. Activez la collecte de données de Télémétrie sur un ou plusieurs points de terminaison de données.

    Pour plus d’informations, consultez Création d’une configuration de télémétrie.

  6. Activez la collecte de Journaux unifiés sur un ou plusieurs points de terminaison de données.

    Pour plus d’informations, consultez Création d’un filtre pour les journaux unifiés.

  7. Cliquez sur Enregistrer.
Sur la page Actions, la nouvelle configuration d’action apparaît dans la liste.
Note:

Dans Mode de déploiement hors ligne, aucun check-in n’a lieu entre les ordinateurs cibles et le cloud Jamf Protect à la recherche de mises à jour. Toute modification apportée à une configuration d’action, une configuration de télémétrie ou un plan doit être téléchargée et redéployée manuellement sur l’ordinateur cible.

Vous pouvez désormais ajouter votre configuration d’action à un plan en vue du déploiement. Pour plus d’informations, consultez la section Création d’un plan Mode de déploiement hors ligne.

Vous pouvez configurer les filtres dans Journaux unifiés. Pour plus d’informations, consultez la section Création d’un filtre pour les journaux unifiés.

Vous pouvez configurer les options des données de télémétrie dans Télémétrie. Pour plus d’informations, consultez la section Création d’une configuration de télémétrie.