將 Jamf Security Cloud 事件匯入至 Splunk

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

若要從 AWS S3 貯體匯入 Jamf Security Cloud 事件,您必須變更 Splunk AWS inputs.conf 檔。

Requirements

確認您的 Splunk 實例存在以下檔案:$SPLUNK_HOME/etc/apps/Splunk_TA_aws/local/inputs.conf。如果不存在,必須先建立該檔案再開始此程序。

  1. 根據以下範本建立新的一節:
    [aws_s3://WanderaS3Bucket]
is_secure = true
host_name = s3-eu-west-1.amazonaws.com
aws_account = <Configuration_AWS_Account_Name>
bucket_name = <AWS_S3_Bucket_URL>
polling_interval = 1800
key_name = 
recursion_depth = -1
max_items = 10000
max_retries = 100
character_set = UTF-8
disabled = 0
ct_blacklist = ^$
initial_scan_datetime = default
interval = 30
sourcetype = aws:s3
  2. aws_accountbucket_name值設定為:
    • aws_accountJamf
    • bucket_name

      AWS S3 貯體的 URL。在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下AWS S3

    如果您想進一步變更此檔案中的值,請參閱 Splunk 的 Configure Generic S3 inputs for the Splunk Add-on for AWS (為適用於 AWS 的 Splunk 附加元件配置通用 S3 輸入) 文件。

  3. 儲存對檔案的變更。

新輸入將出現在輸入清單中。一旦新事件出現在 S3 貯體上,Splunk 就會靜默監視、匯入和索引這些事件。