Jamf Protect 통합
Sophos Central에 Jamf Protect를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Jamf Protect 제품 개요
Jamf Protect는 Apple 장치 환경을 개선하고 보호하기 위해 설계된 엔드포인트 보안 도구입니다. 실시간 위협 감지, 인시던트 대응 및 특별히 macOS 시스템에 맞춘 보안 규정 준수를 제공합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
- 역 쉘 생성 시도
- 프로세스가 자체 바이너리를 삭제했습니다.
- 지속성을 위해 생성된 LaunchAgent
- 애플리케이션이 사용되지 않는 권한 상승 API를 사용함
- 프로세스가 시스템에 합성 클릭을 전송했습니다.
완전히 수집되는 경고
적절한 GraphQL 쿼리를 사용하여 엔드포인트 를 호출합니다.
https://<organisation-name>.protect.jamfcloud.com/graphql
필터링
반환된 데이터가 올바른 형식인지 확인하기 위해서만 필터링합니다.
샘플 위협 매핑
{"alertType": "A process deleted its own binary", "threatId": "T1070.004", "threatName": "Indicator Removal on Host: File Deletion"}
{"alertType": "LaunchDaemon created for persistence", "threatId": "T1543.004", "threatName": "Create or Modify System Process: Launch Daemon"}
{"alertType": "Gatekeeper blocked execution of application", "threatId": "TA0002", "threatName": "Execution"}