Splunk の Jamf Protect アクション構成を作成する

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

macOS セキュリティポータルでは、収集する各 macOS セキュリティデータタイプのデータエンドポイントとして、Splunk の HTTP イベントコレクタを使用します。

Requirements

Splunk での macOS セキュリティデータタイプ用 HTTP イベントコレクタ。詳しくは、Splunk で HTTP イベントコレクタおよびトークンを作成する を参照してください。

  1. Jamf Protect で、アクション をクリックします。
  2. 既存のアクション構成で 編集 をクリックするか、アクションを作成 をクリックして新しいアクション構成を作成します。
  3. macOS セキュリティデータタイプごとに、新しいデータエンドポイントを追加します。
    1. データエンドポイント (Data Endpoints) 追加 をクリックします。
    2. HTTP を選択します。
    3. URL フィールドで、以下のいずれかを入力します。
      Splunk Enterprise
      https://your-splunk-instance:8088/services/collector/raw
      Splunk Cloud
      https://your-splunk-instance:443/services/collector/raw
    4. + HTTP ヘッダーを追加 をクリックして、以下を入力します。
      名称 (Name)
      Authorization (認証)
      Splunk <HEC Token>
    5. アラートで、収集するアラートのレベルを選択します。
    6. ログで、収集するデータタイプを選択します。
  4. (Optional) 前のステップを繰り返して、データエンドポイントを追加します。
  5. 保存 をクリックします。

これで、アクション構成がアップデートされ、macOS セキュリティポータルの Jamf Protect プランに追加できるようになりました。