建立Splunk的Jamf Protect動作配置

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

在macOS安全性入口網站中,將來自Splunk的HTTP事件收集器,作為您想要收集的每一種macOS安全性資料類型的資料端點。

Requirements

Splunk中macOS安全性資料類型的HTTP事件收集器。如需更多資訊,請參閱在Splunk中建立HTTP事件收集器和代號

  1. Jamf Protect 中,按一下 動作
  2. 在現有動作配置上按一下編輯,或按一下Create Action (建立動作)以建立一個新的動作配置。
  3. 對於每種macOS安全性資料類型,新增一個新的資料端點:
    1. Data Endpoints(資料端點),按一下+Add (+新增)
    2. 選取HTTP
    3. URL欄位,輸入以下內容之一:
      Splunk Enterprise
      https://your-splunk-instance:8088/services/collector/raw
      Splunk Cloud
      https://your-splunk-instance:443/services/collector/raw
    4. 按一下+新增HTTP標題並輸入以下內容:
      名稱
      Authorization (授權)
      Splunk <HEC Token>
    5. 警示中,選取要收集的警示層級。
    6. 紀錄檔中,選取要收集的資料類型。
  4. (Optional) 重複上一步驟以新增其他資料端點。
  5. 按一下Save (儲存)

動作配置已更新,可新增至macOS安全性入口網站中的Jamf Protect方案。