Jamf Concepts
Guides

Guides

Intégration SIEM et XDR

~2 min read

De nombreuses organisations de taille moyenne à grande utilisent un SIEM et/ou XDR pour corréler les événements numériques et l'activité générés sur autant de terminaux que possible. Plus les données sont nombreuses, plus grandes sont les chances d'identifier des modèles qui pourraient indiquer une attaque en cours. Ceci est vaguement connu sous le nom de « threat hunting ».

Grâce à la nature des produits de sécurité basés sur agent et dans le cloud de Jamf, ces produits obtiennent un ensemble riche de données incluant des signaux à la fois sur l'appareil et en réseau. Ces données sont disponibles quel que soit l'emplacement physique de l'appareil ou l'utilisation du réseau.

Événements de sécurité

Les produits de sécurité Jamf génèrent des événements de sécurité lorsqu'une activité est détectée qui viole une politique de menace ou une analyse. Ces événements peuvent être transmis en continu à un service SIEM/XDR/SOAR en écoute pour ingestion et analyse.

Selon le déploiement, ces flux de données contiendront

Activité système

Jamf Protect pour macOS peut obtenir diverses activités au niveau système et utilisateur pour enrichir votre vue de sécurité. Il existe deux fonctions natives de l'agent Jamf Protect macOS qui doivent être configurées pour collecter ces événements avant qu'ils ne soient envoyés à votre backend SIEM/SOAR/XDR.

Activité réseau

Jamf peut transférer un flux brut de toute l'activité réseau basée sur DNS ou HTTP (selon le déploiement) générée par les appareils gérés par l'entreprise ou les appareils « apportez votre propre appareil » (applications de travail/gérées uniquement) vers un référentiel de données tiers.

Ce flux de données est extrêmement précieux pour les organisations afin de créer la séquence d'événements sur le réseau sur un grand nombre d'appareils qui auraient pu mener à une attaque. Il peut également être utilisé pour détecter et signaler l'utilisation d'IT fantôme dans l'organisation.