多くの中堅から大規模な組織は、SIEM または XDR を利用して、可能な限り多くのエンドポイント全体で生成されるデジタルイベントとアクティビティを相関させています。データが多いほど、進行中の攻撃を示す可能性のあるパターンを特定できる可能性が高くなります。これは脅威ハンティングとして知られています。
Jamf のエージェントおよびクラウドベースのセキュリティ製品の性質により、これらの製品はデバイス上とネットワーク内の両方のシグナルを含む豊富なデータセットを取得します。このデータは、デバイスの物理的な位置またはネットワーク使用状況に関係なく利用可能です。
セキュリティイベント
Jamf セキュリティ製品は、脅威ポリシーまたは分析に違反するアクティビティが検出されたときにセキュリティイベントを生成します。これらのイベントは、リッスンしている SIEM/XDR/SOAR サービスにストリーミングして、取り込みと分析を行うことができます。
展開に応じて、これらのデータストリームには以下が含まれます
-
- macOS エンドポイント脅威アクティビティ
- アラートとログ辞書
Jamf Threat Defense 脅威イベントストリーム
- iOS/iPadOS と Android エンドポイントイベントアクティビティ
- macOS、iOS/iPadOS、Android、Windows ネットワークイベントアクティビティ
システムアクティビティ
Jamf Protect for macOS は、セキュリティビューを充実させるためにさまざまなシステムおよびユーザーレベルのアクティビティを取得できます。 これらのイベントを SIEM/SOAR/XDR バックエンドに送信する前に、Jamf Protect macOS エージェントの 2 つのネイティブ機能を設定する必要があります。
- Jamf Protect Telemetry for macOS
- macOS エンドポイントのシステムおよびユーザーイベント
- Jamf Protect Unified Logging for macOS
- macOS エンドポイント統合ログストリーミング
ネットワークアクティビティ
Jamf は、企業が管理するデバイスまたは BYO デバイス(マネージドアプリのみ)によって生成されるすべての DNS または HTTP ベースのネットワークアクティビティの生フィード(展開に基づく)をサードパーティのデータリポジトリに転送できます。
このデータストリームは、攻撃につながった可能性のある大量のデバイス全体のネットワーク上のイベントの順序を構築するために、組織にとって非常に価値があります。また、組織全体のシャドウ IT の使用を検出してシグナルするために使用することもできます。
- Jamf Network Traffic Stream
- DNS または HTTP プロキシベクトリングがデプロイされているすべてのプラットフォームのネットワークアクティビティ。
- Jamf Connect ZTNA アクセスストリームが利用可能になりました。詳細を参照