Muchas organizaciones medianas y grandes utilizan un SIEM y/o XDR para correlacionar eventos digitales y actividad generada en la mayor cantidad posible de endpoints. Cuantos más datos, mayor es la probabilidad de poder identificar patrones que podrían indicar un ataque en curso. Esto se conoce vagamente como threat hunting.
Gracias a la naturaleza de los productos de seguridad basados en agentes y en la nube de Jamf, estos productos obtienen un conjunto de datos enriquecido que incluye tanto señales en el dispositivo como en la red. Estos datos están disponibles independientemente de la ubicación física del dispositivo o el uso de la red.
Eventos de seguridad
Los productos de seguridad de Jamf generan eventos de seguridad cuando se detecta actividad que viola una política de amenaza o un análisis. Estos eventos se pueden transmitir a un servicio SIEM/XDR/SOAR de escucha para su ingesta y análisis.
Dependiendo de la implementación, estos flujos de datos contendrán
Reenvío de datos de Jamf Protect para macOS
- Actividad de amenaza del endpoint macOS
- Diccionario de alertas y registros
Flujo de eventos de amenaza de Jamf Threat Defense
- Actividad de eventos del endpoint iOS/iPadOS y Android
- Actividad de eventos de red en macOS, iOS/iPadOS, Android y Windows
Actividad del sistema
Jamf Protect para macOS puede obtener varias actividades a nivel del sistema y del usuario para enriquecer su vista de seguridad. Hay dos funciones nativas del agente Jamf Protect macOS que deben configurarse para recopilar estos eventos antes de enviarlos a su backend SIEM/SOAR/XDR.
- Telemetría de Jamf Protect para macOS
- Eventos del sistema y del usuario del endpoint macOS
- Registro unificado de Jamf Protect para macOS
- Transmisión de registro unificado del endpoint macOS
Actividad de red
Jamf puede reenviar un flujo sin procesar de toda la actividad de red basada en DNS o HTTP (según la implementación) generada por dispositivos corporativos administrados o BYOD (solo aplicaciones de trabajo/administradas) a un repositorio de datos de terceros.
Este flujo de datos es extremadamente valioso para las organizaciones para construir la secuencia de eventos en la red en una gran cantidad de dispositivos que podrían haber llevado a un ataque. También se puede utilizar para detectar e indicar el uso de Shadow IT en toda la organización.
- Flujo de tráfico de red de Jamf
- Actividad de red para todas las plataformas con DNS o enrutamiento de proxy HTTP implementado.
- El flujo de acceso ZTNA de Jamf Connect ya está disponible. Obtenga más información