Jamf Concepts
Anleitungen

Anleitungen

SIEM & XDR Integration

~2 min read

Viele mittlere bis große Organisationen nutzen ein SIEM und/oder XDR, um digitale Ereignisse und Aktivitäten zu korrelieren, die auf so vielen Endpoints wie möglich generiert werden. Je mehr Daten vorhanden sind, desto besser sind die Chancen, Muster zu identifizieren, die auf einen laufenden Angriff hindeuten könnten. Dies wird umgangssprachlich als Threat Hunting bezeichnet.

Dank der Natur von Jamfs Agent- und Cloud-basierten Sicherheitsprodukten erfassen diese Produkte umfangreiche Daten, die sowohl gerätegebundene als auch netzwerkbasierte Signale enthalten. Diese Daten sind unabhängig vom physischen Standort des Geräts oder der Netzwerknutzung verfügbar.

Security Events

Jamf-Sicherheitsprodukte generieren Security Events, wenn Aktivitäten erkannt werden, die gegen eine Threat Policy oder Analytic verstoßen. Diese Events können an einen lauschenden SIEM/XDR/SOAR-Service gestreamt werden zur Erfassung und Analyse.

Je nach Bereitstellung enthalten diese Datenströme:

System Activity

Jamf Protect for macOS kann verschiedene System- und Benutzeraktivitäten erfassen, um Ihre Sicherheitssicht zu erweitern. Es gibt zwei native Funktionen des Jamf Protect macOS-Agenten, die konfiguriert werden sollten, um diese Events zu erfassen, bevor sie an Ihr SIEM/SOAR/XDR-Backend gesendet werden.

Network Activity

Jamf kann einen Raw-Feed aller DNS- oder HTTP-basierten Netzwerkaktivitäten (je nach Bereitstellung), die von unternehmensgeräten oder BYO-Geräten (nur Work/Managed Apps) generiert werden, an ein Drittanbieter-Daten-Repository weiterleiten.

Dieser Datenstrom ist für Organisationen extrem wertvoll, um die Abfolge von Ereignissen im Netzwerk über eine große Anzahl von Geräten zu erstellen, die zu einem Angriff geführt haben könnten. Er kann auch verwendet werden, um Shadow IT-Nutzung in der Organisation zu erkennen und zu signalisieren.