IBM QRadar に保存された Jamf Security Cloud CEF ログ拡張
所属する組織が Jamf Security Cloud で AWS S3 バケット用の認証情報を取得するための特権管理者のアクセスを所有していること
- QRadar の Admin (管理) タブの Data Sources (データソース) セクションで、Log Sources (ログソース) を選択します。
- Add (追加) をクリックし、新しい Jamf Security Cloud Log Source の構成を追加します。
- Jamf Security Cloud Log Source に以下の値を入力します。
Log Source Name (ログソース名)
WanderaSIEM
Log Source Type (ログソースタイプ)
Universal CEF
Protocol Configuration (プロトコル構成)
ログファイル
Log Source Identifier (ログソース ID)
wandera
サービスタイプ
AWS バケット名。Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
AWS Access Key (AWS アクセスキー)
Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
AWS シークレットキー
Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
リモートディレクトリ
/
FTP File Pattern (FTP ファイルパターン)
*?\.txt\.gz
開始時刻
12am
Recurrence (繰り返し)
15m
EPS Throttle (EPS スロットル)
Enabled (有効)
Processor (プロセッサ)
GZIP
Ignore Previously Processed File(s) (以前に処理したファイルを無視)
Disabled (無効)
Change Local Directory? (ローカルディレクトリを変更しますか?)
Disabled (無効)
イベントジェネレーター
LINEBYLINE
File Encoding (ファイルのエンコーディング)
UTF-8
Enabled (有効)
Enabled (有効)
Credibility (信頼性)
5
Target Event Collector (ターゲットイベントコレクター)
デフォルト
Coalescing Events (イベントの合体)
Disabled (無効)
Store Event Payload (イベントペイロードの保管)
Enabled (有効)
Log Source Extension (ログソース拡張)
UniversalCEF_ext
Extension Use Condition (拡張使用の条件)
Parsing Enhancement (構文解析の強化)
Groups (グループ)
Jamf Security Cloud を含める対象のグループを入力します
- 代わりに、以下のテーブルの値を入力することで、QRadar の最適化された AWS S3 Rest API を使用することができます。Note:
この機能を使用するには、QRadar アカウントに Amazon AWS S3 REST API プロトコルを構成している必要があります。これがない場合は、QRadar サポートに連絡してアクセスしてください。
Log Source Name (ログソース名)
WanderaSIEM
Log Source Type (ログソースタイプ)
Universal CEF
Protocol Configuration (プロトコル構成)
Amazon AWS S3 REST API
Log Source Identifier (ログソース ID)
wandera
Signature Version (署名バージョン)
AWSSIGNATUREV4
Region Name (リージョン名)
eu-west-1
Service Name (サービス名)
S3
Bucket Name (バケット名)
Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
Endpoint URL (エンドポイント URL)
https://s3.amazonaws.com/[AWS Access Key].Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
AWS シークレットキー
Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動して脅威イベントストリーム (Threat Events Stream) を選択し、ストリーミングターゲット (Streaming Target) 領域で AWS S3 をクリックします。
Directory Prefix (ディレクトリのプレフィックス)
/
FTP File Pattern (FTP ファイルパターン)
*?\.txt\.gz
Event Format (イベントのフォーマット)
LINEBYLINE
Use Proxy (プロキシの使用)
Disabled (無効)
Automatically Acquire Server Certificates (サーバ証明書を自動的に取得する)
いいえ
Recurrence (繰り返し)
15M
EPS Throttle (EPS スロットル)
5000
Enabled (有効)
Enabled (有効)
Credibility (信頼性)
5
Target Event Collector (ターゲットイベントコレクター)
デフォルト
Coalescing Events (イベントの合体)
Disabled (無効)
Store Event Payload (イベントペイロードの保管)
Enabled (有効)
Log Source Extension (ログソース拡張)
UniversalCEF_ext
Extension Use Condition (拡張使用の条件)
Parsing Enhancement (構文解析の強化)
Groups (グループ)
Jamf Security Cloud を含める対象のグループを入力します
- 保存 (Save) をクリックします。
- Admin (管理) タブの Deploy Changes (変更のデプロイ) をクリックします。
新しく作成された Jamf Security Cloud Log Source の Status (ステータス) 列に、"Success" の値が表示され、QRadar の Log Activity (ログアクティビティー) ビューにおいて、セキュリティイベントの実装が開始されます。
これが 1 時間以内に発生しない場合、Jamf サポート までご連絡ください。