Recopila registros de eventos de amenazas de Jamf

Compatible con:

En este documento, se describe cómo puedes recopilar registros de eventos de amenazas de Jamf configurando un feed de Google Security Operations y cómo los campos de registro se asignan a los campos del modelo de datos unificados (UDM) de Google Security Operations. En este documento, también se indica la versión de Jamf Threat Events compatible.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una implementación típica consta de eventos de amenazas de Jamf y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

  • Jamf Protect. La plataforma de Jamf Protect desde la que recopilas registros

  • Feed de Google Security Operations. El feed de Google Security Operations que recupera registros de Jamf Protect y escribe registros en Google Security Operations.

  • Google Security Operations. Google Security Operations retiene y analiza los registros de Jamf Protect.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia JAMF_THREAT_EVENTS.

Antes de comenzar

  • Asegúrate de usar la versión 4.0.0 o una posterior de Jamf Protect.
  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados con la zona horaria UTC.

Configura un feed en Google Security Operations para transferir los registros de eventos de amenazas de Jamf

Puedes usar Amazon S3 o un webhook para configurar un feed de transferencia en Google Security Operations, pero te recomendamos que uses Amazon S3.

Configura un feed de transferencia con Amazon S3

  1. En el menú de Operaciones de seguridad de Google, selecciona Configuración > Feeds > Agregar uno nuevo.
  2. Selecciona Amazon S3 como el Tipo de fuente.
  3. Para crear un feed para los eventos de amenazas de Jamf, selecciona Eventos de amenazas de Jamf Protect como Tipo de registro.
  4. Haz clic en Siguiente.
  5. Guarda el feed y, luego, haz clic en Enviar.
  6. Copia el ID del feed del nombre del feed para usarlo en Eventos de amenazas de Jamf.

Configura un feed de transferencia con un webhook

  1. En el menú de Operaciones de seguridad de Google, selecciona Configuración > Feeds > Agregar uno nuevo.
  2. En el campo Nombre del feed, ingresa un nombre para el feed.
  3. En la lista Tipo de fuente, selecciona Webhook.
  4. Para crear un feed para los eventos de amenazas de Jamf, selecciona Eventos de amenazas de Jamf Protect como Tipo de registro.
  5. Haz clic en Siguiente.
  6. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  7. Haz clic en Siguiente.
  8. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  9. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
  10. Copia y almacena la clave secreta, ya que no podrás volver a ver este secreto. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
  11. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en la aplicación de eventos de amenazas de Jamf.
  12. Haz clic en Listo.
  13. Especifica la URL del extremo en Eventos de amenazas de Jamf.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Referencia de la asignación de campos

En la siguiente tabla, se explica cómo el analizador de Google Security Operations asigna los campos de los registros de eventos de amenazas de Jamf a los campos del modelo de datos unificado (UDM) de Google Security Operations.

Referencia de asignación de campos: identificador de evento a tipo de evento

En la siguiente tabla, se enumeran los tipos de registro de JAMF_THREAT_EVENTS y sus correspondientes tipos de eventos de la AUA.

Event Identifier Event Type Security Category
MALICIOUS_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ADWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
BANKER_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
POTENTIALLY_UNWANTED_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
RANSOMWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ROOTING_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SMS_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SPYWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
TROJAN_MALWARE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
THIRD_PARTY_APP_STORES_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
ADMIN_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SIDE_LOADED_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
VULNERABLE_APP_IN_INVENTORY SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS, SOFTWARE_PUA
SSL_TRUST_COMPROMISE SCAN_NETWORK NETWORK_SUSPICIOUS
JAILBREAK SCAN_UNCATEGORIZED EXPLOIT
IOS_PROFILE SCAN_UNCATEGORIZED
OUTDATED_OS SCAN_VULN_HOST SOFTWARE_MALICIOUS
OUTDATED_OS_LOW SCAN_VULN_HOST SOFTWARE_MALICIOUS
OUT_OF_DATE_OS SCAN_UNCATEGORIZED
LOCK_SCREEN_DISABLED SCAN_UNCATEGORIZED
STORAGE_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
UNKNOWN_SOURCES_ENABLED SCAN_UNCATEGORIZED
DEVELOPER_MODE_ENABLED SCAN_UNCATEGORIZED
USB_DEBUGGING_ENABLED SCAN_UNCATEGORIZED
USB_APP_VERIFICATION_DISABLED SCAN_UNCATEGORIZED
FIREWALL_DISABLED SCAN_UNCATEGORIZED POLICY_VIOLATION
USER_PASSWORD_DISABLED SCAN_UNCATEGORIZED
ANTIVIRUS_DISABLED SCAN_UNCATEGORIZED
APP_INACTIVITY SCAN_UNCATEGORIZED
MISSING_ANDROID_SECURITY_PATCHES SCAN_UNCATEGORIZED
ACCESS_SPAM_HOST SCAN_HOST NETWORK_SUSPICIOUS
ACCESS_PHISHING_HOST SCAN_HOST PHISHING
ACCESS_BAD_HOST SCAN_HOST NETWORK_MALICIOUS
RISKY_APP_DOWNLOAD SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
ACCESS_CRYPTOJACKING_HOST SCAN_HOST NETWORK_SUSPICIOUS
SSL_MITM_TRUSTED_VALID_CERT SCAN_NETWORK NETWORK_SUSPICIOUS
SSL_MITM_UNTRUSTED_VALID_CERT SCAN_NETWORK NETWORK_SUSPICIOUS
SSL_STRIP_MITM SCAN_NETWORK NETWORK_MALICIOUS
SSL_MITM_UNTRUSTED_INVALID_CERT SCAN_NETWORK NETWORK_MALICIOUS
SSL_MITM_TRUSTED_INVALID_CERT SCAN_NETWORK NETWORK_MALICIOUS
LEAK_CREDIT_CARD SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_PASSWORD SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_EMAIL SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_USERID SCAN_UNCATEGORIZED ACL_VIOLATION
LEAK_LOCATION SCAN_UNCATEGORIZED ACL_VIOLATION

Referencia de asignación de campos: JAMF_THREAT_EVENTS

En la siguiente tabla, se enumeran los campos de registro del tipo de registro JAMF_THREAT_EVENTS y sus campos de UDM correspondientes.
Log field UDM mapping Logic
event.account.parentId about.resource_ancestors.product_object_id
event.account.name about.resource.name
event.account.customerId about.resource.product_object_id
is_alert The is_alert UDM field is set to TRUE.
event.timestamp metadata.event_timestamp
event.eventType.name metadata.product_event_type
event.alertId metadata.product_log_id
event.metadata.product metadata.product_name
event.metadata.vendor metadata.vendor_name
event.source.port princiap.port
event.device.deviceName principal.asset.assetid
event.location principal.asset.location.country_or_region
principal.asset.platform_software.platform The platform_name is extracted from the event.device.deviceName log field using a Grok pattern.

If the platform_name value is equal to Mac, then the principal.asset.platform_software.platform UDM field is set to MAC.
event.device.os principal.asset.platform_software.platform_version
event.device.deviceId principal.asset.product_object_id
event.source.ip principal.ip
event.accessPointBssid principal.mac
event.user.email principal.user.email_addresses
event.user.name principal.user.user_display_name
sourceUserName principal.user.user_display_name
event.device.externalId principal.asset.attribute.labels [event_device_externalId]
event.device.userDeviceName principal.asset.attribute.labels [event_device_userDeviceName]
event.accessPoint principal.labels [event_accessPoint]
event.action security_result.action The security_result.action UDM field is set to one of the following values:
  • ALLOW if the event.action log field value is equal to Resolved or Detected.
  • BLOCK if the event.action log field value is equal to Blocked.
event.action security_result.action_details
event.eventType.name security_result.category_details
event.eventType.description security_result.description
event.severity security_result.severity_details
event.eventType.id security_result.threat_id
event.eventType.name security_result.threat_name
event.eventUrl security_result.url_back_to_product
event.destination.port target.port
event.app.name target.application
event.app.name target.file.full_path
event.app.sha1 target.file.sha1
event.app.sha256 target.file.sha256
event.destination.ip target.ip
event.destination.name target.url
event.app.version target.labels [event_app_version]
event.app.id target.labels [event_app_id]
event.metadata.schemaVersion about.labels [event_metadata_schemaVersion]

¿Qué sigue?