Integrazione Jamf Protect
Jamf Protect può essere integrato con Sophos Central per consentire l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Jamf Protect
Jamf Protect è uno strumento di protezione endpoint realizzato per ottimizzare e difendere gli ambienti che includono dispositivi Apple. Offre rilevamento delle minacce in tempo reale, risposta agli incidenti e conformità di sicurezza, appositamente progettati per i sistemi macOS.
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
- “Reverse shell creation attempted” (È stato effettuato un tentativo di creazione di reverse shell)
- “A process deleted its own binary” (Un processo ha eliminato il proprio file binario)
- “LaunchAgent created for persistence” (LaunchAgent creato per mantenere la persistenza)
- “Application used deprecated elevation API” (Un’applicazione ha utilizzato un’API di elevazione dei privilegi obsoleta)
- “Process sent synthetic click to system” (Un processo ha inviato clic sintetici al sistema)
Avvisi inseriti per intero
Effettuiamo una chiamata all’endpoint con una query GraphQL appropriata.
https://<organisation-name>.protect.jamfcloud.com/graphql
Filtraggio
I filtri vengono applicati solo per confermare che i dati restituiti siano nel formato corretto.
Esempi di mapping delle minacce
{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}