Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=jamf-overview

Intégration Jamf Protect

API Endpoint

Vous pouvez intégrer Jamf Protect à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit Jamf Protect

Jamf Protect est un outil de sécurité des terminaux conçu pour améliorer et protéger les environnements constitués d’appareils Apple. Il fournit la détection des menaces en temps réel, la réponse aux incidents et la conformité à la sécurité spécialement adaptée aux systèmes macOS.

Documents Sophos

Intégrer Jamf Protect

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Tentative de création de shell inversé
  • Un processus a supprimé son propre fichier binaire
  • LaunchAgent créé pour la persistance
  • L'application a utilisé une API d'élévation obsolète
  • Le processus a envoyé un clic synthétique au système

Alertes ingérées dans leur intégralité

Nous faisons envoyons une requête GraphQL donnée au terminal.

https://<organisation-name>.protect.jamfcloud.com/graphql

Filtrage

Nous filtrons uniquement pour confirmer que les données retournées sont au format correct.

Exemples de mappages de menaces

{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}

Documentation fournisseur

API Jamf Protect