많은 중대형 조직은 가능한 한 많은 엔드포인트에서 생성된 디지털 이벤트 및 활동을 상관관계 지으므로 SIEM 및/또는 XDR을 활용합니다. 더 많은 데이터일수록 진행 중인 공격을 나타낼 수 있는 패턴을 식별할 수 있을 가능성이 더 높습니다. 이를 느슨하게 위협 사냥(threat hunting)이라고 합니다.
Jamf의 에이전트 및 클라우드 기반 보안 제품의 특성 덕분에 이러한 제품은 온디바이스 및 네트워크 내 신호를 모두 포함하는 풍부한 데이터 세트를 얻습니다. 이 데이터는 장치의 실제 위치나 네트워크 사용과 관계없이 사용 가능합니다.
보안 이벤트
Jamf 보안 제품은 위협 정책 또는 분석을 위반하는 활동이 감지되면 보안 이벤트를 생성합니다. 이러한 이벤트는 수집 및 분석을 위해 SIEM/XDR/SOAR 서비스에 수신 대기 중인 서비스로 스트리밍될 수 있습니다.
배포에 따라 이러한 데이터 스트림에는 다음이 포함됩니다
-
- macOS 엔드포인트 위협 활동
- 경고 및 로그 사전
-
- iOS/iPadOS 및 Android 엔드포인트 이벤트 활동
- macOS, iOS/iPadOS, Android 및 Windows 네트워크 이벤트 활동
시스템 활동
macOS용 Jamf Protect는 보안 보기를 강화하기 위한 다양한 시스템 및 사용자 수준 활동을 얻을 수 있습니다. 이 이벤트들이 SIEM/SOAR/XDR 백엔드로 전송되기 전에 수집하도록 구성해야 하는 macOS용 Jamf Protect 에이전트의 두 가지 기본 기능이 있습니다.
- macOS용 Jamf Protect 원격 분석
- macOS 엔드포인트 시스템 및 사용자 이벤트
- macOS용 Jamf Protect 통합 로깅
- macOS 엔드포인트 통합 로그 스트리밍
네트워크 활동
Jamf는 배포 기반(DNS 또는 HTTP 기반)에 따라 회사 관리 또는 BYO 장치(업무/관리 앱만 해당)에서 생성되는 모든 DNS 또는 HTTP 기반 네트워크 활동의 원본 피드를 제3자 데이터 저장소로 전달할 수 있습니다.
이 데이터 스트림은 조직이 공격으로 이어졌을 수 있는 많은 수의 장치에서 네트워크 전반의 이벤트 시퀀스를 구축하는 데 매우 중요합니다. 또한 조직 전체의 섀도우 IT 사용을 감지하고 신호하는 데도 사용할 수 있습니다.
- Jamf 네트워크 트래픽 스트림
- DNS 또는 HTTP 프록시 벡터링이 배포된 모든 플랫폼의 네트워크 활동
- Jamf Connect ZTNA 접근 스트림이 이제 사용 가능합니다. 자세히 알아보기