Jamf Security Cloud イベントを Splunk にインポートする

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

AWS S3 バケットから Jamf Security Cloud イベントをインポートするには、Splunk AWS inputs.conf ファイルに変更を加える必要があります。

Requirements

次のファイルが Splunk インスタンスに存在していることを確認します。$SPLUNK_HOME/etc/apps/Splunk_TA_aws/local/inputs.conf。存在していない場合、このプロセスを開始する前に作成する必要があります。

  1. 以下のテンプレートに基づき、新しいスタンザを作成します。
    [aws_s3://WanderaS3Bucket]
is_secure = true
host_name = s3-eu-west-1.amazonaws.com
aws_account = <Configuration_AWS_Account_Name>
bucket_name = <AWS_S3_Bucket_URL>
polling_interval = 1800
key_name = 
recursion_depth = -1
max_items = 10000
max_retries = 100
character_set = UTF-8
disabled = 0
ct_blacklist = ^$
initial_scan_datetime = default
interval = 30
sourcetype = aws:s3
  2. aws_account および bucket_name の値を以下のように設定します。
    • aws_accountJamf
    • bucket_name

      AWS S3 バケットの URL。Jamf Security Cloud で、統合 (Integrations) > データストリーム (Data Streams) に移動し、脅威イベントストリーム (Threat Events Stream) を選択し、AWS S3 をクリックします。

    このファイルの値にさらに変更を加える場合、Splunk のドキュメント Configure Generic S3 inputs for the Splunk Add-on for AWS (Splunk Add-on for AWS の Generic S3 インプットを構成する) を参照してください。

  3. ファイルへの変更を保存します。

新しい入力内容が Inputs (入力) リストに表示されます。Splunk は、新しいイベントが S3 バケットに表示されると、直ちにそれらを静的にモニタリング、インポート、およびインデックス付けします。