Jamf Concepts
Handleidingen

Handleidingen

SIEM- en XDR-integratie

~2 min read

Veel middelgrote tot grote organisaties gebruiken een SIEM en/of XDR om digitale gebeurtenissen en activiteiten gegenereerd door zoveel mogelijk eindpunten te correleren. Hoe meer gegevens, hoe groter de kans om patronen te identificeren die kunnen wijzen op een lopende aanval. Dit staat losjes bekend als threat hunting.

Dankzij de aard van Jamf's agent- en cloudgebaseerde beveiligingsproducten verkrijgen deze producten een rijke set gegevens die zowel on-device als in-network signalen omvat. Deze gegevens zijn beschikbaar ongeacht de fysieke locatie of het netwerkgebruik van het apparaat.

Beveiligingsgebeurtenissen

Jamf-beveiligingsproducten genereren beveiligingsgebeurtenissen wanneer activiteit wordt gedetecteerd die een dreigingsbeleid of -analyse schendt. Deze gebeurtenissen kunnen worden gestreamd naar een luisterende SIEM/XDR/SOAR-service voor opname en analyse.

Afhankelijk van de implementatie bevatten deze gegevensstromen het volgende:

Systeemactiviteit

Jamf Protect voor macOS kan verschillende systeem- en gebruikersniveau-activiteiten verkrijgen voor het verrijken van uw beveiligingsoverzicht. Er zijn twee native functies van de Jamf Protect macOS-agent die moeten worden geconfigureerd om deze gebeurtenissen te verzamelen voordat ze naar uw SIEM/SOAR/XDR-backend worden verzonden.

Netwerkactiviteit

Jamf kan een ruwe feed van alle DNS- of HTTP-gebaseerde netwerkactiviteit (afhankelijk van de implementatie) gegenereerd door zakelijk beheerde of BYO-apparaten (alleen werk-/beheerde apps) doorsturen naar een externe gegevensrepository.

Deze gegevensstroom is uiterst waardevol voor organisaties om de volgorde van gebeurtenissen op het netwerk op te bouwen over een groot aantal apparaten die mogelijk tot een aanval hebben geleid. Het kan ook worden gebruikt om Shadow IT-gebruik in de organisatie te detecteren en te signaleren.