Jamf Protect
编辑Jamf Protect
编辑Jamf Protect 集成使用以下方法收集和解析从 Jamf Protect 收到的数据。
- HTTP 端点模式 - Jamf Protect 将日志直接流式传输到由您的 Elastic Agent 托管的 HTTP 端点。
- AWS S3 轮询模式 - Jamf Protect 将数据转发到 S3,Elastic Agent 通过列出其内容和读取新文件来轮询 S3 存储桶。
- AWS S3 SQS 模式 - Jamf Protect 将数据写入 S3,S3 将新对象通知推送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。在这种模式下可以使用多个代理。
使用 Jamf Protect 集成来收集您机器上的日志。然后在 Kibana 中可视化该数据,创建警报以在出现问题时通知您,并在排除问题时引用数据。
数据流
编辑Jamf Protect 集成收集 4 种类型的事件:警报、遥测、Web 威胁事件和 Web 流量事件。
警报 帮助您记录使用 Jamf Protect 的端点上发生的警报和统一日志。
遥测 帮助您记录使用 Jamf Protect 的端点上发生的审计事件。
Web 威胁事件 帮助您记录使用 Jamf Protect 的端点上发生的 Web 威胁事件。
Web 流量事件 帮助您记录使用 Jamf Protect 的端点上发生的内容过滤和网络请求。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
设置
编辑要使用此集成,您还需要
- 在 Elastic 中启用集成
-
配置 Jamf Protect (macOS Security) 以将日志发送到 AWS S3 或 Elastic Agent (HTTP 端点)
- 警报
- 统一日志
- 遥测
-
配置 Jamf Protect (Jamf Security Cloud) 以将日志发送到 AWS S3 或 Elastic Agent (HTTP 端点)
- 威胁事件流
- 网络流量流
在 Elastic 中启用集成
编辑有关如何在 Elastic 中设置新集成的分步说明,请参阅入门指南。在设置集成时,您将选择通过 S3 或 HTTP 端点收集日志。
使用 HTTP 端点配置 Jamf Protect
编辑验证设置后,您可以配置 Jamf Protect 以将事件发送到 Elastic。有关配置 Jamf Protect 的更多信息,请参阅
然后,根据您要发送到 Elastic 的事件,配置一个或多个 HTTP 端点
远程警报收集端点:
- 在 URL 字段中,使用以下格式输入包含端口的完整 URL:
http[s]://{ELASTICAGENT_ADDRESS}:{AGENT_PORT}。
统一日志收集端点:
- 在 URL 字段中,使用以下格式输入包含端口的完整 URL:
http[s]://{ELASTICAGENT_ADDRESS}:{AGENT_PORT}。
遥测收集端点:
- 在 URL 字段中,使用以下格式输入包含端口的完整 URL:
http[s]://{ELASTICAGENT_ADDRESS}:{AGENT_PORT}。
威胁事件流:
- 在服务器主机名或 IP 字段中,使用以下格式输入包含端口的完整 URL:
http[s]://{ELASTICAGENT_ADDRESS}:{AGENT_PORT}。
网络流量流:
- 在服务器主机名或 IP 字段中,使用以下格式输入包含端口的完整 URL:
http[s]://{ELASTICAGENT_ADDRESS}:{AGENT_PORT}。
使用 AWS S3 配置 Jamf Protect
编辑验证设置后,您可以配置 Jamf Protect 以将事件发送到 AWS S3。有关配置 Jamf Protect 的更多信息,请参阅
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑- 如果尚未配置数据转发到 AWS S3 存储桶,则首先按照上述文档中所述设置 AWS S3 存储桶。
-
对已启用的每个数据流执行以下步骤
注意
- 每个启用的数据流都需要单独的 SQS 队列和 S3 存储桶通知。
- 上述 AWS S3 存储桶和 SQS 队列的权限应根据 Filebeat S3 输入文档进行配置
- 上述 AWS S3 和 SQS 输入类型的凭据应使用 链接进行配置。
- 在这种情况下,通过 AWS S3 存储桶和 AWS SQS 进行数据收集是互斥的。
版权所有 (c) 2024, Jamf Software, LLC. 保留所有权利。
日志参考
编辑警报
编辑这是 警报 数据集。
示例
警报 的示例事件如下所示
{
"@timestamp": "2024-10-29T15:33:09.283Z",
"agent": {
"ephemeral_id": "671ffaef-2f9c-40c3-bc44-8f7dd8f41bf3",
"id": "fffef289-536c-44b3-8a3a-7edce9a79be4",
"name": "elastic-agent-79065",
"type": "filebeat",
"version": "8.14.3"
},
"data_stream": {
"dataset": "jamf_protect.alerts",
"namespace": "64311",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "fffef289-536c-44b3-8a3a-7edce9a79be4",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": "CustomURLHandlerCreation",
"agent_id_status": "verified",
"category": [
"host",
"file"
],
"dataset": "jamf_protect.alerts",
"id": "6bdb0697-6d07-47bc-a37d-6c3348a5d953",
"ingested": "2024-10-29T15:33:10Z",
"kind": "alert",
"provider": "Jamf Protect",
"reason": "Application that uses custom url handler created",
"severity": 0,
"start": "2023-11-21T11:32:44.184Z",
"type": [
"change"
]
},
"file": {
"code_signature": {
"status": "code object is not signed at all"
},
"gid": "0",
"inode": "19478271",
"mode": "16804",
"path": "/Applications/.Microsoft Teams (work or school).app.installBackup",
"size": 96,
"uid": "0"
},
"group": {
"id": "0",
"name": "wheel"
},
"host": {
"hostname": "LMAC-ZW0GTLVDL",
"id": "32EC79C5-26DC-535A-85F7-986F063297E2",
"ip": [
"175.16.199.1"
],
"os": {
"family": "macos",
"full": "Version 14.2 (Build 23C5030f)"
}
},
"input": {
"type": "http_endpoint"
},
"process": {
"args": [
"/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper",
"XPC_SERVICE_NAME=com.microsoft.autoupdate.helper",
"PATH=/usr/bin:/bin:/usr/sbin:/sbin",
"XPC_FLAGS=1",
"pfz=0x7ffffff12000",
"stack_guard=0x94bec1a9eb9800ea",
"malloc_entropy=0x7777a3bc060946c0,0x6f95455435250cbc",
"ptr_munge=0x749c1515ccadfca",
"main_stack=0x7ff7bf6da000,0x800000,0x7ff7bb6da000,0x4000000",
"executable_file=0x1a01000009,0x12f5060",
"dyld_file=0x1a01000009,0xfffffff000982f7",
"executable_cdhash=262df85f4455ca182cb45671afb26c9ad9dff13b",
"executable_boothash=1fc9ca7065a4d7a9c299cc51414c052e5d7025d7",
"th_port=0x103"
],
"code_signature": {
"signing_id": "com.microsoft.autoupdate.helper",
"status": "No error.",
"team_id": "UBF8T346G9"
},
"entity_id": "b8cd6fa5-e8c3-4f05-88a0-68469d04806c",
"executable": "/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper",
"group_leader": {
"executable": "/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper",
"name": "com.microsoft.autoupdate.helper",
"pid": 15910,
"real_group": {
"id": "0"
},
"real_user": {
"id": "0"
},
"start": "2023-11-21T11:32:44Z",
"user": {
"id": "0"
}
},
"hash": {
"sha1": "5ddcd49004e66cead79ca82991f1b4d4a8ba52d9",
"sha256": "8fd91d9d1ca53ef93921c8072e12ec082c9eba62bf93f0f900e71b6aa4fa0ed8"
},
"name": "com.microsoft.autoupdate.helper",
"parent": {
"pid": 15910
},
"pid": 15910,
"real_group": {
"id": "0"
},
"real_user": {
"id": "0"
},
"start": "2023-11-21T11:32:44Z",
"user": {
"id": "0"
}
},
"related": {
"hash": [
"5ddcd49004e66cead79ca82991f1b4d4a8ba52d9",
"8fd91d9d1ca53ef93921c8072e12ec082c9eba62bf93f0f900e71b6aa4fa0ed8"
],
"ip": [
"175.16.199.1"
],
"user": [
"root"
]
},
"rule": {
"description": "Application that uses custom url handler created",
"name": "CustomURLHandlerCreation"
},
"tags": [
"Visibility"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
jamf_protect.alerts.timestamp_nanoseconds |
以 Epoch 纳秒为单位的时间戳。 |
date |
log.offset |
日志偏移量 |
long |
observer.product |
观察者的产品名称。 |
constant_keyword |
observer.vendor |
观察者的供应商名称。 |
constant_keyword |
volume.bus_type |
keyword |
|
volume.file_system_type |
keyword |
|
volume.nt_name |
keyword |
|
volume.product_id |
keyword |
|
volume.product_name |
keyword |
|
volume.removable |
boolean |
|
volume.serial_number |
keyword |
|
volume.size |
long |
|
volume.vendor_id |
keyword |
|
volume.vendor_name |
keyword |
|
volume.writable |
boolean |
遥测
编辑这是 遥测 数据集。
示例
遥测 的示例事件如下所示
{
"@timestamp": "2024-10-29T15:34:50.724Z",
"agent": {
"ephemeral_id": "15f81264-c6eb-4699-bab6-6aa64dfd43aa",
"id": "f70df138-4dc9-4972-8510-57226731f5a0",
"name": "elastic-agent-91650",
"type": "filebeat",
"version": "8.14.3"
},
"data_stream": {
"dataset": "jamf_protect.telemetry",
"namespace": "55238",
"type": "logs"
},
"device": {
"id": "123ABC456DJ",
"manufacturer": "Apple"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f70df138-4dc9-4972-8510-57226731f5a0",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": "exec",
"agent_id_status": "verified",
"category": [
"process"
],
"code": "9",
"dataset": "jamf_protect.telemetry",
"id": "CDB31202-8CB4-4C72-A9C6-7F494CD5F598",
"ingested": "2024-10-29T15:34:51Z",
"kind": "event",
"provider": "Jamf Protect",
"reason": "A new process has been executed",
"sequence": 202,
"start": "2024-05-31T09:47:12.436Z",
"type": [
"info",
"start"
]
},
"host": {
"hostname": "MacBookPro",
"id": "00006030-001E301C0228001C",
"ip": [
"192.168.11.251",
"192.168.64.1",
"192.168.11.232"
],
"name": "macbookpro",
"os": {
"family": "macos",
"full": "14.5 (Build 23F79)",
"name": "macOS",
"type": "macos",
"version": "14.5"
}
},
"input": {
"type": "http_endpoint"
},
"jamf_protect": {
"telemetry": {
"code_directory_hash": "23c70bd9b41017f9878af49bc2c46f7c8a70680b",
"es_client": false,
"event_allowed_by_esclient": false,
"platform_binary": true
}
},
"observer": {
"product": "Jamf Protect",
"type": "Endpoint Security",
"vendor": "Jamf",
"version": "5.5.0.6"
},
"process": {
"args": [
"/bin/zsh",
"-c",
"/var/folders/fm/j970swbn73dfnkjgsqjxxvj40000gp/T/eicar"
],
"args_count": 3,
"code_signature": {
"signing_id": "com.apple.zsh"
},
"entity_id": "1278137C-15D6-53CE-AB0A-FC9499BC8E05",
"env_vars": [
"USER=jappleseed",
"COMMAND_MODE=unix2003",
"__CFBundleIdentifier=com.txhaflaire.JamfCheck",
"PATH=/usr/bin:/bin:/usr/sbin:/sbin",
"LOGNAME=jappleseed",
"SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.Ah3WvMOC65/Listeners",
"HOME=/Users/jappleseed",
"SHELL=/bin/zsh",
"TMPDIR=/var/folders/fm/j970swbn73dfnkjgsqjxxvj40000gp/T/",
"__CF_USER_TEXT_ENCODING=0x1F6:0x0:0x0",
"XPC_SERVICE_NAME=application.com.txhaflaire.JamfCheck.30852344.30852350",
"XPC_FLAGS=0x0"
],
"executable": "/bin/zsh",
"group_leader": {
"entity_id": "A7EDC884-C034-50E7-A3AA-2E281B3E0777",
"pid": 64632,
"real_group": {
"id": "20"
},
"real_user": {
"id": "502"
},
"user": {
"id": "502"
}
},
"interactive": false,
"name": "zsh",
"parent": {
"entity_id": "A7EDC884-C034-50E7-A3AA-2E281B3E0777",
"pid": 64632,
"real_group": {
"id": "20"
},
"real_user": {
"id": "502"
},
"user": {
"id": "502"
}
},
"pid": 91306,
"start": "2024-05-31T09:47:12.000Z",
"thread": {
"id": 5215860
},
"working_directory": "/"
},
"related": {
"hosts": [
"MacBookPro"
],
"ip": [
"192.168.11.251",
"192.168.64.1",
"192.168.11.232"
]
},
"tags": [
"forwarded",
"jamf_protect-telemetry"
],
"user": {
"effective": {
"id": [
"502"
]
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
jamf_protect.telemetry.account_type |
定义是用户还是组 |
keyword |
jamf_protect.telemetry.attribute_name |
设置的属性的名称 |
keyword |
jamf_protect.telemetry.attribute_value |
设置的属性的值 |
keyword |
jamf_protect.telemetry.authentication_auto_unlock_type |
定义是否使用 Apple Watch 解锁机器或批准授权提示 |
keyword |
jamf_protect.telemetry.authentication_method |
用于身份验证的方法 |
keyword |
jamf_protect.telemetry.authentication_result_type |
定义源地址类型 |
keyword |
jamf_protect.telemetry.authentication_token_kerberos_principal |
与身份验证事件关联的 kerberos 主体用户名 |
keyword |
jamf_protect.telemetry.authentication_touchid_mode |
定义是否使用 TouchID 在锁定屏幕或应用程序上验证用户,或者用于识别以执行特权操作 |
keyword |
jamf_protect.telemetry.authentication_type |
用于验证用户的身份验证类型 |
keyword |
jamf_protect.telemetry.authorization_judgement_results |
授权判断的结果 |
object |
jamf_protect.telemetry.authorization_petition_flags |
与授权请求关联的标志 |
integer |
jamf_protect.telemetry.authorization_petition_right_count |
授权请求中的权限计数 |
integer |
jamf_protect.telemetry.authorization_petition_rights |
与授权请求关联的权限 |
keyword |
jamf_protect.telemetry.bios_firmware_version |
BIOS 固件的版本 |
keyword |
jamf_protect.telemetry.bios_system_firmware_version |
BIOS 中系统固件的版本 |
keyword |
jamf_protect.telemetry.btm_executable_path |
BTM 中可执行文件的路径 |
keyword |
jamf_protect.telemetry.btm_item_app_url |
BTM 项目中应用程序的 URL |
keyword |
jamf_protect.telemetry.btm_item_is_legacy |
指示 BTM 项目是否为旧版 |
boolean |
jamf_protect.telemetry.btm_item_is_managed |
指示 BTM 项目是否为托管 |
boolean |
jamf_protect.telemetry.btm_item_type |
BTM 项目的类型 |
keyword |
jamf_protect.telemetry.btm_item_url |
BTM 项目的 URL |
keyword |
jamf_protect.telemetry.btm_item_user_uid |
与 BTM 项目关联的用户的 UID |
keyword |
jamf_protect.telemetry.code_directory_hash |
应用程序捆绑包的代码目录哈希 |
keyword |
jamf_protect.telemetry.env_count |
环境变量计数 |
integer |
jamf_protect.telemetry.error_message |
包含特定于事件的错误消息 |
keyword |
jamf_protect.telemetry.es_client |
如果该进程是 Endpoint Security 客户端,则设置为 true |
boolean |
jamf_protect.telemetry.event_allowed_by_esclient |
指示事件是被允许还是被拒绝的值 |
boolean |
jamf_protect.telemetry.existing_session |
如果附加到现有用户会话,则为 true |
boolean |
jamf_protect.telemetry.failure_reason |
包含事件失败原因的原因 |
keyword |
jamf_protect.telemetry.from_username |
发起操作的用户名 |
keyword |
jamf_protect.telemetry.graphical_authentication_username |
用于身份验证的用户名 |
keyword |
jamf_protect.telemetry.graphical_session_id |
图形会话的 ID |
keyword |
jamf_protect.telemetry.identifier |
实体或操作的标识符 |
keyword |
jamf_protect.telemetry.log_entries |
事件中收集的日志条目 |
object |
jamf_protect.telemetry.platform_binary |
对于所有随 macOS 提供的二进制文件,此项设置为 true |
boolean |
jamf_protect.telemetry.profile_display_name |
配置文件的显示名称 |
keyword |
jamf_protect.telemetry.profile_identifier |
配置文件的标识符 |
keyword |
jamf_protect.telemetry.profile_install_source |
配置文件安装的来源 |
keyword |
jamf_protect.telemetry.profile_is_updated |
指示配置文件是否已更新 |
boolean |
jamf_protect.telemetry.profile_organization |
与配置文件关联的组织 |
keyword |
jamf_protect.telemetry.profile_scope |
配置文件的范围 |
keyword |
jamf_protect.telemetry.profile_uuid |
配置文件的 UUID |
keyword |
jamf_protect.telemetry.record_name |
记录的名称 |
keyword |
jamf_protect.telemetry.record_type |
记录的类型 |
keyword |
jamf_protect.telemetry.session_username |
登录窗口会话的用户名 |
keyword |
jamf_protect.telemetry.shell |
与用户或进程关联的 Shell |
keyword |
jamf_protect.telemetry.source_address_type |
定义源地址类型 |
keyword |
jamf_protect.telemetry.system_performance.bytes_received |
任务接收的字节数 |
long |
jamf_protect.telemetry.system_performance.bytes_received_per_s |
任务每秒接收的字节数 |
double |
jamf_protect.telemetry.system_performance.bytes_sent |
任务发送的字节数 |
long |
jamf_protect.telemetry.system_performance.bytes_sent_per_s |
任务每秒发送的字节数 |
double |
jamf_protect.telemetry.system_performance.cputime_ms_per_s |
任务每秒的 CPU 时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.cputime_ns |
任务的 CPU 时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.cputime_sample_ms_per_s |
任务每秒的 CPU 采样时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.cputime_userland_ratio |
任务的用户级 CPU 时间比率 |
double |
jamf_protect.telemetry.system_performance.diskio_bytesread |
任务通过磁盘 I/O 读取的字节数 |
long |
jamf_protect.telemetry.system_performance.diskio_bytesread_per_s |
任务通过磁盘 I/O 每秒读取的字节数 |
double |
jamf_protect.telemetry.system_performance.diskio_byteswritten |
任务通过磁盘 I/O 写入的字节数 |
long |
jamf_protect.telemetry.system_performance.diskio_byteswritten_per_s |
任务通过磁盘 I/O 每秒写入的字节数 |
double |
jamf_protect.telemetry.system_performance.energy_impact |
任务的能耗影响 |
double |
jamf_protect.telemetry.system_performance.energy_impact_per_s |
任务每秒的能耗影响 |
double |
jamf_protect.telemetry.system_performance.idle_wakeups |
任务的空闲唤醒次数 |
long |
jamf_protect.telemetry.system_performance.interval_ns |
时间间隔(纳秒) |
long |
jamf_protect.telemetry.system_performance.intr_wakeups_per_s |
任务每秒的中断唤醒次数 |
double |
jamf_protect.telemetry.system_performance.name |
任务的名称 |
keyword |
jamf_protect.telemetry.system_performance.packets_received |
任务接收的数据包 |
long |
jamf_protect.telemetry.system_performance.packets_received_per_s |
任务每秒接收的数据包 |
double |
jamf_protect.telemetry.system_performance.packets_sent |
任务发送的数据包 |
long |
jamf_protect.telemetry.system_performance.packets_sent_per_s |
任务每秒发送的数据包 |
double |
jamf_protect.telemetry.system_performance.pageins |
任务的页面调入 |
long |
jamf_protect.telemetry.system_performance.pageins_per_s |
任务每秒的页面调入 |
double |
jamf_protect.telemetry.system_performance.pid |
任务的进程 ID |
long |
jamf_protect.telemetry.system_performance.qos_background_ms_per_s |
任务每秒的 QoS 后台时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_background_ns |
任务的 QoS 后台时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_default_ms_per_s |
任务每秒的 QoS 默认时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_default_ns |
任务的 QoS 默认时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_disabled_ms_per_s |
任务每秒的 QoS 禁用时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_disabled_ns |
任务的 QoS 禁用时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_maintenance_ms_per_s |
任务每秒的 QoS 维护时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_maintenance_ns |
任务的 QoS 维护时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_user_initiated_ms_per_s |
任务每秒的 QoS 用户启动时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_user_initiated_ns |
任务的 QoS 用户启动时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_user_interactive_ms_per_s |
任务每秒的 QoS 用户交互时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_user_interactive_ns |
任务的 QoS 用户交互时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.qos_utility_ms_per_s |
任务每秒的 QoS 实用工具时间(毫秒) |
double |
jamf_protect.telemetry.system_performance.qos_utility_ns |
任务的 QoS 实用工具时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.started_abstime_ns |
任务的绝对开始时间(纳秒) |
long |
jamf_protect.telemetry.system_performance.timer_wakeups |
任务的定时器唤醒 |
nested |
jamf_protect.telemetry.system_performance.timer_wakeups.wakeups |
唤醒次数 |
long |
jamf_protect.telemetry.to_username |
操作指向的用户名 |
keyword |
jamf_protect.telemetry.tty |
与进程关联的软件终端设备文件 |
keyword |
log.offset |
日志偏移量 |
long |
volume.bus_type |
keyword |
|
volume.device_name |
keyword |
|
volume.file_system_type |
keyword |
|
volume.mount_name |
keyword |
|
volume.nt_name |
keyword |
|
volume.product_id |
keyword |
|
volume.product_name |
keyword |
|
volume.removable |
boolean |
|
volume.serial_number |
keyword |
|
volume.size |
long |
|
volume.vendor_id |
keyword |
|
volume.vendor_name |
keyword |
|
volume.writable |
boolean |
威胁事件流
编辑这是 威胁事件流 数据集。
示例
web_threat_events 的示例事件如下所示
{
"@timestamp": "2024-10-29T15:41:26.096Z",
"agent": {
"ephemeral_id": "e88ac039-e2c1-4189-b7ef-f8fa987d1edc",
"id": "e64da853-f2f4-4421-b48f-87613b992b84",
"name": "elastic-agent-68255",
"type": "filebeat",
"version": "8.14.3"
},
"data_stream": {
"dataset": "jamf_protect.web_threat_events",
"namespace": "25188",
"type": "logs"
},
"destination": {
"address": "ip",
"domain": "host",
"port": 80
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e64da853-f2f4-4421-b48f-87613b992b84",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": "Detected",
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "jamf_protect.web_threat_events",
"id": "013b15c9-8f62-4bf1-948a-d82367af2a10",
"ingested": "2024-10-29T15:41:27Z",
"kind": "alert",
"provider": "Jamf Protect",
"reason": "Sideloaded App",
"severity": 6,
"start": "2020-01-30T17:47:41.767Z",
"url": "https://radar.wandera.com/security/events/detail/013b15c9-8f62-4bf1-948a-d82367af2a10.SIDE_LOADED_APP_IN_INVENTORY?createdUtcMs=1580406461767"
},
"file": {
"hash": {
"sha1": "16336078972773bc6c8cef69d722c8c093ba727ddc5bb31eb2",
"sha256": "16336078978a306dc23b67dae9df18bc2a0205e3ff0cbf97c46e76fd670f93fd142d7042"
},
"name": "Books"
},
"host": {
"geo": {
"country_iso_code": "gb"
},
"hostname": "Apple iPhone 11",
"id": "09f81436-de17-441e-a631-0461252c629b",
"os": {
"full": "IOS 11.2.5"
}
},
"input": {
"type": "http_endpoint"
},
"observer": {
"product": "Jamf Protect",
"type": "Endpoint Security",
"vendor": "Jamf"
},
"organization": {
"id": "fb4567b6-4ee2-3c4c-abb9-4c78ec463b25"
},
"rule": {
"description": "Sideloaded App",
"name": "SIDE_LOADED_APP_IN_INVENTORY"
},
"source": {
"port": 3025
},
"tags": [
"forwarded",
"jamf_protect-web-threat-events"
],
"user": {
"email": "[email protected]",
"name": "John Doe"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移量 |
long |
volume.bus_type |
keyword |
|
volume.file_system_type |
keyword |
|
volume.nt_name |
keyword |
|
volume.product_id |
keyword |
|
volume.product_name |
keyword |
|
volume.removable |
boolean |
|
volume.serial_number |
keyword |
|
volume.size |
long |
|
volume.vendor_id |
keyword |
|
volume.vendor_name |
keyword |
|
volume.writable |
boolean |
网络流量流
编辑这是 网络流量流 数据集。
示例
web_traffic_events 的示例事件如下所示
{
"@timestamp": "2024-10-29T15:44:14.195Z",
"agent": {
"ephemeral_id": "8e610613-0597-4898-8f02-f6ee4bca6af8",
"id": "a93c9dd6-0141-4441-8f5e-c6d1999c4351",
"name": "elastic-agent-59905",
"type": "filebeat",
"version": "8.14.3"
},
"data_stream": {
"dataset": "jamf_protect.web_traffic_events",
"namespace": "79225",
"type": "logs"
},
"dns": {
"answers": {
"ttl": 101,
"type": "HTTPS"
},
"question": {
"name": "s.youtube.com",
"registered_domain": "youtube",
"top_level_domain": "com"
},
"response_code": "NOERROR"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a93c9dd6-0141-4441-8f5e-c6d1999c4351",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": "DNS Lookup",
"agent_id_status": "verified",
"category": [
"host",
"network"
],
"dataset": "jamf_protect.web_traffic_events",
"ingested": "2024-10-29T15:44:15Z",
"kind": "event",
"outcome": [
"success"
],
"provider": "Jamf Protect",
"reason": "CLEAN",
"start": "2024-02-02T06:26:04.273Z",
"type": [
"connection"
]
},
"host": {
"id": "3453be41-0f2d-4d43-9ec2-a53f39fff93c",
"os": {
"type": [
"ios"
]
}
},
"input": {
"type": "http_endpoint"
},
"observer": {
"product": "Jamf Protect",
"type": "Endpoint Security",
"vendor": "Jamf"
},
"organization": {
"id": "9608556b-0c3a-4a9c-9b4a-d714d8a028a1"
},
"rule": {
"name": "DNS Lookup"
},
"tags": [
"forwarded",
"jamf_protect-web-traffic-events"
],
"user": {
"email": "[email protected]",
"name": "07a5a2ae-16de-4767-831e-0ea8b7c3abe4"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移量 |
long |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.7.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.4 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.0 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) 增强功能 (查看拉取请求) 缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.0 |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) 增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.4.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.0 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |