您可以在Jamf Protect中建立多個動作配置以用於不同的方案。
- 在 Jamf Protect 中,按一下 動作。
- 在視窗頂部按一下Create Action (建立動作)。
- 輸入動作配置的名稱和說明。
- 為Jamf Protect Cloud配置資料收集。
如果不想使用Jamf Protect Cloud收集資料,且不打算使用資料轉寄,則可以刪除Jamf Protect Cloud。
- 新增資料端點:
- 在Data Endpoints(資料端點),按一下+Add (+新增)。
- 選取資料端點類型:
- Jamf Protect Cloud —在Jamf Protect Cloud中收集並儲存資料。可直接在macOS安全性入口網站中查看警示資料。若要檢視儲存在Jamf Protect Cloud中的遙測和統一記錄檔資料,您必須設定資料轉寄。
- HTTP —將資料從macOS電腦傳送到SIEM解決方案中的可用HTTP端點URL。
- 記錄檔 —將所有資料寫入電腦上指定位置的記錄檔。每個動作配置只允許一個記錄檔端點。
- Syslog —將資料傳送到Syslog伺服器是一種用於接收訊息的標準化通訊協定,該通訊協定依賴併入中央伺服器以進行發佈的各種系統訊息之彙總。訊息通常用於系統管理、監控和安全性稽核。Syslog訊息可以包含多種記錄檔訊息語法,但通常使用標頭、訊息嚴重性等級、訊息文字和時間戳記等基本結構進行格式化。Syslog傳輸通訊協定可以使用加密。
- Kafka —將資料傳送到Kafka伺服器是一種分散式串流平台,其使用訂閱者模式監聽來自集中式叢集的特定資料主題。Kafka訊息由標準化記錄檔組成,也可以使用JSON和Avro等格式進行編碼。訊息是為即時處理而設計的。Kafka透過可配置的資料保留和叢集內的持久性資料冗餘,提供額外的持久性。Kafka可以使用x.509憑證進行資料加密。
- 配置所選資料端點的必要值。
- 從警示中,選取要收集的警示層級。
- 從紀錄檔中,選取要收集的資料類型。
- (Optional) 如果您配置了任何資料端點來收集警示,請配置警示資料收集選項。
您可以控制不同警示事件類型的所有資料收集的詳細程度。
- 按一下Save (儲存)。
您現在可以將動作配置新增到部署計劃中。如果您編輯動作配置,被指派至該動作做為其方案組成部分的電腦,會自動套用這些變更。