Microsoft Sentinel

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

您可將Jamf Protect Cloud收集的macOS安全性資料轉寄到貴組織的Microsoft Sentinel工作空間。

為了存取精選手冊的範本、詳細的端點和事件資料,以及自動事件建立的分析規則,請安裝Microsoft Azure Marketplace或Microsoft Sentinel Content Hub上提供的Jamf Protect for Microsoft Sentinel整合。

Requirements

  • 配置為(透過動作配置)將資料傳送到Jamf ProtectCloud的電腦

  • 存取Microsoft Sentinel的Log Analytics工作空間

  1. 在Azure Marketplace中,完成以下步驟以取得配置和安裝最新的Jamf Protect for Microsoft Sentinel整合所需的值:
    1. 在Jamf Protect工作空間中,按一下Create(建立)
    2. 選取您的訂閱。
    3. 選取您的資源群組。
    4. Instance Details(物件實體詳細資訊)下,選取所需的工作空間。
    5. 檢視每個配置設定頁面以確保您的資訊正確,且資訊適用於正確的工作空間。
    6. 按一下Review and Create(檢視並建立)。Microsoft Sentinel整合將對所提供的資訊執行驗證。
    7. 如果驗證成功,請按一下Create(建立)

      部署可能需要幾分鐘。部署成功後,您將收到通知。

    8. 部署完成時,前往Microsoft Sentinel服務儀表板。
    9. 選擇Jamf Protect工作空間以檢視Jamf Protect Microsoft Sentinel「Overview(概述)」頁面。
    10. 前往「Content Hub(內容中心)」。
    11. 在搜尋欄中輸入Jamf Protect並按一下Enter鍵進行搜尋。
    12. 選取Jamf Protect內容列。

      有關整合的資訊將出現在側邊欄中。

    13. 在側邊欄中,按一下Manage(管理)

      「Content hub management(內容中心管理)」畫面顯示有關目前整合的資訊,以及缺少的任何配置資訊。

    14. 按一下Jamf Protect Push Connector(Jamf Protect推送連接器)。出現「Data connector(資料連接器)」頁面。
    15. 在側邊欄中,按一下Open connector page(開啟連接器頁面)
    16. 按一下Deploy Jamf Protect connector resources(部署Jamf Protect連接器資源)

      這可能需要幾分鐘的時間。您將看到「Push Connector(推送連接器)」的值重新填入了新的自訂值。

    17. 找到並記下以下值,之後需要將這些值複製並輸入到Jamf Protect

      • 租用戶ID(目錄ID)

      • Entra應用程式ID

      • Entra應用程式密碼

      • DCE Uri

      • DCR不可變ID

      • 任何相關的串流ID(遙測、警示、統一記錄檔)

  2. Jamf Protect 中,按一下 Administrative (管理) > Data (資料)
  3. 啟用Microsoft Sentinel切換以允許資料轉寄。
  4. 將先前從Azure Marketplace Microsoft Sentinel應用程式取得的值,輸入或貼到Jamf Protect中的對應欄位。
    Note:

    DCR不可變ID對於所有串流(警示/統一記錄檔/遙測)都是相同的。

  5. 按一下Save (儲存)

傳送到Jamf ProtectCloud 的任何資料現在都將轉寄到Microsoft Sentinel。

如果您正在使用Jamf Security Cloud入口網站,您也可以配置Jamf Security Cloud,將事件傳送到Microsoft Sentinel。如需更多資訊,請參閱使用Microsoft Sentinel配置Jamf Security Cloud資料串流