Jamf Protect 整合
您可以將 Jamf Protect 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Jamf Protect 產品概覽
Jamf Protect 是一款端點安全工具,旨在增強和保護 Apple 裝置環境。它提供專為 macOS 系統量身定制的即時威脅偵測、事件回應和安全合規性。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
- 嘗試建立反向 shell。
- 一個進程刪除了它自己的二進位
- 建立用於持久化的 LaunchAgent
- 應用程式使用了已棄用的海拔 API
- 進程向系統發送合成點擊
完整擷取警示
我們使用適當的 GraphQL 查詢向端點發出呼叫。
https://<organisation-name>.protect.jamfcloud.com/graphql
資料篩選
我們僅進行格式驗證,確認回傳的資料符合預期格式。
威脅對應範例
{"alertType":"A process deleted its own binary", "threatId":"T1070.004", "threatName":"Indicator Removal on Host:File Deletion"}
{"alertType":"LaunchDaemon created for persistence", "threatId":"T1543.004", "threatName":"Create or Modify System Process:Launch Daemon"}
{"alertType":"Gatekeeper blocked execution of application", "threatId":"TA0002", "threatName":"Execution"}