許多中大型組織使用 SIEM 和/或 XDR 來關聯在盡可能多的端點裝置上產生的數位事件和活動。資料量越多,就越有機會識別可能表示正在進行的攻擊的模式。這大致被稱為威脅搜索。
由於 Jamf 代理程式和雲端安全產品的特性,這些產品取得豐富的資料集,包括設備上和網路內的訊號。無論設備的實體位置或網路使用情況如何,都可以使用此資料。
安全事件
Jamf 安全產品在偵測到違反威脅原則或分析的活動時會產生安全事件。這些事件可能被串流到監聽中的 SIEM/XDR/SOAR 服務以進行擷取和分析。
根據部署情況,這些資料流將包含
-
- macOS 端點裝置威脅活動
- 警示和日誌字典
-
- iOS/iPadOS 和 Android 端點裝置事件活動
- macOS、iOS/iPadOS、Android 和 Windows 網路事件活動
系統活動
Jamf Protect for macOS 可以取得各種系統和使用者層級的活動以豐富您的安全視圖。 Jamf Protect macOS 代理程式有兩個原生功能應該被配置為在事件被送至您的 SIEM/SOAR/XDR 後端之前蒐集這些事件。
- Jamf Protect Telemetry for macOS
- macOS 端點裝置系統和使用者事件
- Jamf Protect Unified Logging for macOS
- macOS 端點裝置統一日誌串流
網路活動
Jamf 可以將所有 DNS 或基於 HTTP 的網路活動的原始饋送(基於部署)由公司受管或自帶設備(僅限工作/受管應用程式)產生的內容轉送至第三方資料存放庫。
此資料流對組織非常有價值,可以在大量可能導致攻擊的設備上建構網路上的事件順序。它也可以用於偵測和發出組織內 Shadow IT 使用的訊號。
- Jamf Network Traffic Stream
- 所有部署了 DNS 或 HTTP Proxy 向量的平台的網路活動。
- Jamf Connect ZTNA Access 串流現已推出。深入瞭解