Jamf Protect で複数のアクション構成を作成し、さまざまなプランで使用することができます。
Requirements
データを送信する予定のデータエンドポイント環境にアクセスする必要があります。
一般的な統合の詳細については、macOS セキュリティのデータ統合 を参照してください。
Kafka または syslog データエンドポイントを構成するには、コンピュータが Jamf Protect エージェントのバージョン6.1.1以降である必要があります。
- Jamf Protect で、アクション をクリックします。
- 画面の上部の アクションを作成 をクリックします。
- アクション構成の名前と説明を入力します。
- Jamf Protect Cloud のデータ収集を構成します。
Jamf Protect Cloud でデータを収集せず、データ転送を使用する予定がない場合は、Jamf Protect Cloud を削除できます。
- データエンドポイントを追加します。
- データエンドポイント (Data Endpoints) で 追加 をクリックします。
- データエンドポイントのタイプを選択します。
- Jamf Protect Cloud —データを収集して Jamf Protect Cloud に保存します。アラートデータは macOS セキュリティポータルで直接表示されます。Jamf Protect Cloud に保存されているテレメトリと統合ログデータを表示するには、データ転送を設定する必要があります。
- HTTP —macOS コンピュータからのデータを、SIEM ソリューションの使用可能な HTTP エンドポイント URL に送信します。
- ログファイル —すべてのデータをコンピュータ上の指定された場所にあるログファイルに書き込みます。アクション構成ごとに許可されるログファイルエンドポイントは1つのみです。
- Syslog —データを syslog サーバに送信します。これは、配信用に中央サーバに統合されたさまざまなシステムのメッセージの集合に依存する、メッセージ受信用の標準化されたプロトコルです。メッセージは通常、システム管理、監視、セキュリティ監査に使用されます。Syslog メッセージにはさまざまなログメッセージ構文を含めることができますが、通常はヘッダー、メッセージの重大度レベル、メッセージテキスト、タイムスタンプなどの基本構造を使用してフォーマットされます。Syslog トランスポートプロトコルは暗号化を使用できます。
- Kafka —データを Kafka サーバに送信します。これは、サブスクライバーモデルを使用して、中央クラスタから特定のデータトピックをリッスンする分散ストリーミングプラットフォームです。Kafka メッセージは標準化されたログで構成されており、JSON や Avro などのフォーマットを使用してエンコードすることもできます。メッセージはリアルタイム処理用に設計されています。Kafka は、永続化されたデータに対してクラスタ内で構成可能なデータ保持と冗長性を備え、追加の耐久性を提供します。Kafka は x.509証明書によるデータ暗号化を使用できます。
- 選択したデータエンドポイントの必須の値を構成します。
- アラートで、収集するアラートのレベルを選択します。
- ログで、収集するデータタイプを選択します。
- (Optional) アラートを収集するデータエンドポイントを構成した場合は、アラートデータ収集オプション を構成します。
さまざまなアラートイベントタイプについてすべてのデータ収集の冗長性レベルを制御できます。
- 保存 をクリックします。
これで Action 構成設定を導入する Plan に追加できます。アクション構成を編集する場合、変更内容はコンピュータに自動的に適用され、プランの一部としてアクションに割り当てられます。