透過 HTTP 事件收集器配置 Splunk 的威脅事件流

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
Requirements

  • 下載並安裝Jamf Protect附加元件

  • 在Splunk中配置HEC代號。如需更多資訊,請參閱在Splunk Cloud平台配置HTTP事件收集器
    Note:

    由於此功能不支援Jamf Security Cloud,因此在建立HEC代號時,請將Enable indexer acknowledgment(啟用索引器確認)欄位保持在未選取狀態。

  • Jamf Security Cloud中每個適用的事件資料類型配置動作配置。

  1. Jamf Security Cloud中,前往Integrations(整合) > Data Streams(數據流)
  2. 按一下New configuration(新配置)
  3. Create data stream configuration(建立數據流配置)頁面,按一下威脅事件(Threat event)切換按鈕。
  4. 按一下Generic HTTP(通用HTTP)切換按鈕。
  5. 按一下Continue(繼續)
  6. HTTP connection configuration(HTTP連線配置)區段中,執行以下操作:
    1. 按一下httpshttp設定Protocol(通訊協定)
    2. Server Hostname/IP(伺服器主機名稱/IP)欄位中輸入您的Splunk主機名稱。
    3. Port(連接埠)欄位中,輸入以下其中一個連接埠值:

      • Splunk Cloud 平台免費試用版為 8088

      • Splunk Cloud 平台實例預設為 443

      • Splunk Enterprise 預設為 8088

    4. Endpoint(端點)欄位中,輸入JSON格式化事件的HEC端點。

      一般來說,這將是services/collector/eventservices/collector/raw

  7. Additional headers (optional)(附加標頭(可選用))區段,執行以下操作:
    1. Header name(標題名稱)欄位,輸入Authorization
    2. Header value(標題值)欄位,以Splunk {{Token}}格式輸入先前建立的HEC代號。
      Example:

      Splunk 49AAF28E-C799-49A7-BF4C-DE8A20880ACD

  8. 按一下Test Configuration(測試配置)
  9. 如果測試成功,您可以前往Integrations(整合) > Data Streams(數據流)啟用Jamf威脅事件流,並以Status(狀態)欄位中的個別切換按鈕啟用所需的Configuration name(配置名稱)
  10. 按一下儲存

系統會將偵測到的事件即時傳送到您的 Splunk 實例。