许多中大型组织利用 SIEM 和/或 XDR 来关联跨尽可能多的端点生成的数字事件和活动。数据越多,越有可能识别出可能表明正在进行的攻击的模式。这被松散地称为威胁猎杀。
由于 Jamf 代理和基于云的安全产品的特性,这些产品获得了丰富的数据集,包括设备端和网络内的信号。无论设备的物理位置或网络使用情况如何,此数据都可用。
安全事件
当检测到违反威胁策略或分析的活动时,Jamf 安全产品会生成安全事件。这些事件可以流式传输到正在侦听的 SIEM/XDR/SOAR 服务以进行摄取和分析。
根据部署情况,这些数据流将包含
-
- macOS 端点威胁活动
- 警报和日志字典
-
- iOS/iPadOS 和 Android 端点事件活动
- macOS、iOS/iPadOS、Android 和 Windows 网络事件活动
系统活动
Jamf Protect for macOS 可以获取各种系统和用户级别的活动,以丰富您的安全视图。 在将事件发送到 SIEM/SOAR/XDR 后端之前,应配置 Jamf Protect macOS 代理的两个本机功能来收集这些事件。
- Jamf Protect macOS 遥测
- macOS 端点系统和用户事件
- Jamf Protect macOS 统一日志
- macOS 端点统一日志流
网络活动
Jamf 可以将所有 DNS 或基于 HTTP 的网络活动的原始数据流(基于部署情况)转发到第三方数据存储库,这些活动由企业管理的设备或 BYO 设备(仅限工作/托管应用)生成。
这个数据流对于组织来说极其宝贵,可以用来构建可能导致攻击的大量设备在网络上的事件序列。它还可以用于检测和标记组织内的影子 IT 使用情况。
- Jamf 网络流量流
- 所有部署了 DNS 或 HTTP 代理向量的平台的网络活动。
- Jamf Connect ZTNA 访问流现已推出。了解更多