Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=jamf-overview

Jamf Protect-Integration

Sie können Jamf Protect in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Jamf Protect

Jamf Protect ist ein Tool zur Endpoint-Sicherheit, das entwickelt wurde, um Umgebungen mit Apple-Geräten zu unterstützen und zu schützen. Es bietet Echtzeit-Bedrohungserkennung, Vorfall-Reaktion und Sicherheitsrichtlinien, die speziell auf macOS-Systeme zugeschnitten sind.

Sophos-Dokumente

Jamf Protect integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Reverse shell creation attempted
  • A process deleted its own binary
  • LaunchAgent created for persistence
  • Application used deprecated elevation API
  • Process sent synthetic click to system

Alerts werden vollständig erfasst

Wir rufen den Endpoint mit einer entsprechenden GraphQL-Abfrage auf.

https://<organisation-name>.protect.jamfcloud.com/graphql

Filterung

Wir filtern nur, um zu bestätigen, dass die zurückgegebenen Daten das richtige Format aufweisen.

Beispiele für Bedrohungszuordnungen

{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}

Herstellerdokumentation

Jamf Protect API