Jamf Protect 통합

Sophos Central에 Jamf Protect를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Jamf Protect 제품 개요

Jamf Protect는 Apple 장치 환경을 개선하고 보호하기 위해 설계된 엔드포인트 보안 도구입니다. 실시간 위협 감지, 인시던트 대응 및 특별히 macOS 시스템에 맞춘 보안 규정 준수를 제공합니다.

Sophos 문서

Jamf Protect 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

Reverse shell creation attempted
A process deleted its own binary
LaunchAgent created for persistence
Application used deprecated elevation API
Process sent synthetic click to system

완전히 수집되는 경고

적절한 GraphQL 쿼리를 사용하여 엔드포인트 를 호출합니다.

https://<organisation-name>.protect.jamfcloud.com/graphql

필터링

우리는 반환된 데이터가 올바른 형식인지 확인하기 위해서만 필터링합니다.

샘플 위협 매핑

{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}

공급업체 설명서

Jamf Protect API