Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=jamf-overview

Jamf Protect-Integration

API Endpoint

Sie können Jamf Protect in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Jamf Protect

Jamf Protect ist ein Tool zur Endpoint-Sicherheit, das entwickelt wurde, um Umgebungen mit Apple-Geräten zu unterstützen und zu schützen. Es bietet Echtzeit-Bedrohungserkennung, Vorfall-Reaktion und Sicherheitsrichtlinien, die speziell auf macOS-Systeme zugeschnitten sind.

Sophos-Dokumente

Jamf Protect integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Reverse-Shell-Erstellung erkannt
  • Ein Prozess hat seine eigene Binärdatei gelöscht
  • LaunchAgent für Persistenz erstellt
  • Anwendung hat veraltete Elevation-API verwendet
  • Prozess hat synthetischen Klick an System gesendet

Alarme werden vollständig erfasst

Wir rufen den Endpoint mit einer entsprechenden GraphQL-Abfrage auf.

https://<organisation-name>.protect.jamfcloud.com/graphql

Filterung

Wir filtern nur, um zu bestätigen, dass die zurückgegebenen Daten das richtige Format aufweisen.

Beispiele für Bedrohungszuordnungen

{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}

Herstellerdokumentation

Jamf Protect API