Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=jamf-overview

Intégration Jamf Protect

Vous pouvez intégrer Jamf Protect à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit Jamf Protect

Jamf Protect est un outil de sécurité des terminaux conçu pour améliorer et protéger les environnements constitués d’appareils Apple. Il fournit la détection des menaces en temps réel, la réponse aux incidents et la conformité à la sécurité spécialement adaptée aux systèmes macOS.

Documents Sophos

Intégrer Jamf Protect

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Reverse shell creation attempted
  • A process deleted its own binary
  • LaunchAgent created for persistence
  • Application used deprecated elevation API
  • Process sent synthetic click to system

Alertes ingérées dans leur intégralité

Nous interrogeons le terminal avec une requête GraphQL appropriée.

https://<organisation-name>.protect.jamfcloud.com/graphql

Filtrage

Nous filtrons uniquement pour confirmer que les données retournées sont au format correct.

Exemples de mappages de menaces

{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}

Documentation fournisseur

API Jamf Protect