HTTP イベントコレクターを使用して Splunk 用の Threat Events Stream を構成する

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP
Requirements

  • Jamf Protect アドオン をダウンロードして、インストールしてください。

  • Splunk で HEC トークンを設定します。詳しくは、Configure HTTP Event Collector on Splunk Cloud Platform (Splunk Cloud プラットフォームで HTTP イベントコレクタを構成する) を参照してください。
    Note:

    インデクサー確認を有効にする (Enable indexer acknowledgment) フィールドについては、Jamf Security Cloud はこの機能をサポートしていないため、HEC トークンの作成時にその選択を解除したままにしてください。

  • Jamf Security Cloud 内の該当するイベントデータタイプごとに、アクション構成を行います。

  1. Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動します。
  2. 新しい構成 (New configuration) をクリックします。
  3. データストリーム構成の作成 (Create data stream configuration) ページで 脅威イベント (Threat events) 切り替えボタンをクリックします。
  4. 全般 HTTP (Generic HTTP) 切り替えボタンをクリックします。
  5. Continue (続行) をクリックします。
  6. HTTP 接続構成 (HTTP connection configuration) セクションで以下を実行します。
    1. https または http をクリックして、プロトコル を設定します。
    2. サーバのホスト名/IP (Server Hostname/IP) フィールドに、Splunk のホスト名を入力します。
    3. ポート (Port) フィールドに以下のいずれかのポート値を入力します。

      • 8088 - Splunk Cloud Platform 無料体験版

      • 443 - Splunk Cloud Platform インスタンスのデフォルト

      • 8088 - Splunk Enterprise のデフォルト

    4. エンドポイント (Endpoint) フィールドに JSON 形式のイベントの HEC エンドポイントを入力します。

      これは通常、services/collector/event または services/collector/raw となります。

  7. オプションの追加ヘッダー (Additional headers) セクションで、以下を実行します。
    1. ヘッダー名 (Header name) フィールドに認証 (Authorization) を入力します。
    2. ヘッダー値 (Header value) フィールドに、以前作成した HEC トークンを Splunk {{Token}} 形式で入力します。
      Example:

      Splunk 49AAF28E-C799-49A7-BF4C-DE8A20880ACD

  8. Test Configuration (構成をテスト) をクリックします。
  9. テストが正常に完了したら、統合 (Integrations) > データストリーム (Data Streams) に移動し、ステータス (Status) フィールドの対応する切り替えボタンで、必要な構成名 (Configuration name) を有効にします。
  10. 保存 (Save) をクリックします。

これで、検出されたイベントは Splunk インスタンスにリアルタイムで送信されます。