Categorías de eventos de telemetría

Documentación de implementación sin conexión de Jamf Protect
Solution
Application
Content Type
Documentación técnica
Utilities & Services
ft:locale
es-ES

Cuando cree una configuración de telemetría en Jamf Protect, puede elegir qué categorías de información quiere recopilar. Para consultar una lista detallada de los eventos incluidos de cada categoría, consulte la Telemetry Data Model Documentation (Documentación del modelo de datos de telemetría).

Inicio de sesión en Learning Hub obligatorio

Para acceder a este contenido, inicie sesión en el Jamf Learning Hub con un ID de Jamfválido.

Los eventos recopilados por cada categoría pueden diferir en función de las versiones de macOS de su entorno. Algunos eventos de una categoría pueden ser compatibles únicamente con una versión de sistema operativo posterior.

Jamf gestiona los eventos y sus categorías, que están sujetos a cambios y actualizaciones futuros. Los cambios y actualizaciones futuros se aplican automáticamente a todos los ordenadores que recopilan datos en categorías de telemetría aplicables.

Applications and processes (Aplicaciones y procesos)

Incluye información sobre el uso de las apps y la actividad de los procesos en el sistema, incluida información de auditoría para obtener una trazabilidad completa.

  • Audite el uso de todas las apps y la actividad de los procesos de todas las terminales, incluidos los detalles de token de auditoría y herencia, para obtener una trazabilidad y una correlación con otra telemetría completos.

  • Detecte la ejecución de procesos no autorizados o no firmados (como malware living-off-the-land) o correlaciona la demás telemetría conjuntamente para reconstruir completamente la cronología de un ataque.

  • Proporcione registros de auditoría detallados de procesos que gestionen datos confidenciales o identifica software no gestionado (Shadow IT) que deba administrarse.

Access and authentication (Acceso y autenticación)

Incluye información sobre eventos de acceso y autenticación del sistema, apps y usuarios, incluidas sesiones locales y remotas, así como acceso de pseudoterminales.

  • Mantenga un registro de auditoría de todos los eventos de autenticación y acceso de usuarios, asociando usuarios y métodos (p. ej., Jamf Connect) con actividad del sistema específica para una auditoría de seguridad y conformidad.

  • Monitorce la ejecución de la línea de comandos con privilegios de elevación (sudo) o sustitución (su).

  • Audite cuándo se accede a los ordenadores de forma remota a través de SSH o pantalla compartida, con un registro de la dirección de origen y las marcas de tiempo de la sesión, para crear una línea de tiempo correlacionada y descubrir acciones no autorizadas o maliciosas.

  • Identifique cuándo se concede/bloquea el acceso a un dispositivo de control de pseudoterminales para que los administradores puedan identificar quién accede al shell y por qué motivos.

Users and groups (Usuarios y grupos)

Incluye información sobre cambios de usuarios y grupos en el sistema, incluidos la creación de usuarios y la elevación de permisos.

  • Detecte la creación de cuentas de usuario no autorizadas y los intentos de escalada de privilegios no autorizados, lo que indica posibles amenazas internas.

  • Registre todos los cambios de usuarios y grupos para demostrar el cumplimiento de las auditorías de conformidad y de las políticas de control de acceso.

  • Realice un seguimiento de toda la actividad relacionada y los cambios realizados por el usuario después de la elevación de privilegios para identificar acciones no autorizadas o maliciosas.

Persistence (Persistencia)

Incluye información sobre la creación y eliminación de persistencia mediante el servicio de Administración de Tareas en Segundo Plano, incluidos LaunchDaemons y LaunchAgents.

  • Registre toda la persistencia común establecida o eliminada en todas las terminales, incluida la visibilidad del instigador y los artefactos persistentes.

  • Detecte mecanismos de persistencia raros o sospechosos, como agentes de lanzamiento no autorizados que se hacen pasar por persistencia legítima, lo que indica una infección de malware.

  • Identifique la Shadow IT (TI en la sombre) en forma de software instalado por el usuario y persistencia que se puede migrar a alternativas gestionadas.

Hardware and volumes (Hardware y volúmenes)

Incluye información sobre conexiones de hardware y montaje de volúmenes, incluidos dispositivos de almacenamiento local y recursos compartidos de archivos de red.

  • Registre todos los montajes de volúmenes desde dispositivos externos, apps y a través de la red.

  • Detecte usuarios que montan DMG e instalan software no gestionado.

  • Introduzca visibilidad de los archivos compartidos de red a los que se accede de forma remota.

Apple security (Seguridad de Apple)

Incluye información sobre eventos de seguridad de las herramientas de seguridad integradas de Apple en los ordenadores, incluidas XProtect, XProtect Remediator y Gatekeeper.

  • Obtenga una comprensión completa de los eventos de detección y corrección de malware integrados en sus sistemas para investigar más a fondo.

  • Identifique las apps legítimas que XProtect está bloqueando para reducir la fricción para el usuario y al mismo tiempo mantener la seguridad.

  • Identifique si los usuarios intentan anular las protecciones de Gatekeeper de Apple para que los administradores puedan bloquear la carga de la aplicación u ofrecer un método aprobado para acceder a la aplicación.

Sistema

Incluye información sobre operaciones importantes completadas por el sistema, como la hora del sistema, cambios del perfil de configuración y cambios de Transparency Consent and Control (TCC).

  • Compruebe la instalación de configuraciones confidenciales en una solución MDM, como certificados o ajustes de VPN.

  • Audite software de terceros con acceso autorizado al núcleo.

  • Cumpla los requisitos de conformidad del registro de información de firmware del host y cambios de configuración del sistema.

  • Monitorice los cambios de TCC para detectar escaladas de permisos y auditar cualquier acceso no autorizado.

Informes de diagnósticos y fallos

Incluye información de informes de diagnóstico y fallos recopilada de los ordenadores cuando la genera el sistema.

  • Identifique patrones de fallos recurrentes asociados a archivos binarios maliciosos o intentos de explotación.

  • Identifique e investigue de forma proactiva fallos recurrentes para minimizar las interrupciones de los usuarios y mejorar la experiencia digital.

  • Proporcione evidencia de la estabilidad de las terminales y la preparación operativa para respaldar las auditorías de conformidad.

Métricas de rendimiento

Incluye informes para auditar el uso de recursos del sistema y la eficiencia de las apps, incluidos el uso de CPU y el impacto energético.

  • Detecte anomalías en el uso de CPU, memoria o energía que podrían ser un indicio de una infección de malware, como criptojacking o un problema de hardware.

  • Demuestre estabilidad operativa y eficiencia de recursos en auditorías de conformidad.

  • Resuelva u optimice proactivamente el uso de recursos identificando y abordando apps o procesos con bajo rendimiento.