Wiele organizacji średnio-dużych wykorzystuje SIEM i/lub XDR w celu korelacji cyfrowych zdarzeń i aktywności generowanych na możliwie wielu punktach końcowych. Im więcej danych, tym większa szansa na możliwość zidentyfikowania wzorów, które mogą wskazywać na trwający atak. To luźno znane jako polowanie na zagrożenia.
Dzięki charakterze produktów bezpieczeństwa opartych na agentach i chmurze Jamf, produkty te uzyskują bogatego zestawu danych, który obejmuje zarówno sygnały na urządzeniach, jak i w sieci. Dane te są dostępne niezależnie od fizycznej lokalizacji urządzenia lub użytkowania sieci.
Zdarzenia bezpieczeństwa
Produkty bezpieczeństwa Jamf generują zdarzenia bezpieczeństwa, gdy zostaje wykryta aktywność, która narusza politykę zagrożeń lub analitykę. Te zdarzenia mogą być przesyłane do usługi SIEM/XDR/SOAR nasłuchującej w celu pozyskania i analizy.
W zależności od wdrożenia, te strumienie danych będą zawierać dla
Jamf Protect for macOS Data Forwarding
- Aktywność zagrożeń punktu końcowego macOS
- Alerts and Logs Dictionary
Jamf Threat Defense Threat Events Stream
- Aktywność zdarzeń punktu końcowego iOS/iPadOS i Android
- Aktywność zdarzeń sieciowych macOS, iOS/iPadOS, Android i Windows
Aktywność systemu
Jamf Protect dla macOS może uzyskać różne aktywności poziomu systemu i użytkownika w celu wzbogacenia widoku bezpieczeństwa. Istnieją dwie natywne funkcje agenta Jamf Protect macOS, które powinny być skonfigurowane do zbierania tych zdarzeń przed wysłaniem ich do wewnętrznej bazy danych SIEM/SOAR/XDR.
- Jamf Protect Telemetry for macOS
- Zdarzenia systemu i użytkownika punktu końcowego macOS
- Jamf Protect Unified Logging for macOS
- Przesyłanie dziennika zunifikowanego punktu końcowego macOS
Aktywność sieciowa
Jamf może przekazać surowy kanał całej aktywności sieciowej opartej na DNS lub HTTP (na podstawie wdrażania) generowanej przez zarządzane korporacyjnie lub BYO urządzenia (tylko aplikacje pracy/zarządzane) do repozytorium danych trzeciej strony.
Ten strumień danych jest niezwykle cenny dla organizacji do zbudowania sekwencji zdarzeń w sieci na dużej liczbie urządzeń, które mogły prowadzić do ataku. Można go również wykorzystać do wykrycia i sygnalizowania użytkownika Shadow IT w całej organizacji.
- Jamf Network Traffic Stream
- Aktywność sieciowa dla wszystkich platform z wdrażaniem DNS lub HTTP Proxy.
- Strumień dostępu Jamf Connect ZTNA jest teraz dostępny. Czytaj więcej