Catégories des événements de télémétrie

Documentation relative au déploiement hors ligne de Jamf Protect
Solution
Application
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Lorsque vous créez une configuration de télémétrie dans Jamf Protect, vous pouvez choisir quelles catégories d’informations vous voulez collecter. Pour obtenir une liste détaillée des événements inclus dans chaque catégorie, consultez le guide Telemetry Data Model Documentation (Documentation relative au modèle de données de télémétrie de Jamf Protect).

Connexion requise à la plateforme Jamf Learning Hub

Pour accéder à ce contenu, connectez-vous à la plateforme Jamf Learning Hub à l’aide d’un Identifiant Jamf valide.

Les événements collectés par chaque catégorie peuvent varier en fonction de la version de macOS utilisée dans votre environnement. Certains événements inclus dans une catégorie pourront n’être compatibles qu’avec un système d’exploitation ultérieur.

Les événements et leurs catégories sont gérés par Jamf et sont sujets à de futures mises à jour et modifications. Les prochaines modifications et mises à jour seront appliquées automatiquement à tous les ordinateurs collectant des données dans les catégories de télémétrie applicables.

Applications et processus

Comprend des informations sur l’utilisation des applications et l’activité des processus sur le système, notamment des informations d’audit pour une traçabilité complète.

  • Vérifiez l’utilisation des applications et l’activité des processus sur l’ensemble des points de terminaison, y compris l’héritage et les détails des jetons d’audit, pour connaître la traçabilité complète et pouvoir effectuer des corrélations avec d’autres données de télémétrie.

  • Détectez l’exécution de processus non autorisés ou non signés (tels que les logiciels malveillants de type « attaque hors sol (LotL)) ou mettez en corrélation toutes les autres données de télémétrie afin de reconstituer entièrement la chronologie d’une attaque.

  • Fournissez des journaux d’audit détaillés pour les processus traitant des données sensibles ou identifiez les logiciels non gérés (Shadow IT) à placer sous gestion.

Accès et authentification

Inclut des informations sur les événements d’accès et d’authentification concernant le système, les applications et les utilisateurs, y compris les sessions locales et distantes et l’accès du pseudo-terminal.

  • Conservez un journal d’audit pour tous les événements d’accès et d’authentification des utilisateurs, en établissant une correspondance entre les méthodes et les utilisateurs utilisés (par ex., Jamf Connect) d’une part et l’activité spécifique du système d’autre part, et ce à des fins d’audit de sécurité et de conformité.

  • Surveillez toutes les exécutions de lignes de commande avec des privilèges d’élévation (sudo) ou de substitution (su).

  • Vérifiez l’accès à distance aux ordinateurs via SSH ou partage d’écran, avec enregistrement de l’adresse source et de l’heure de la session, afin d’établir une chronologie et détecter les actions non autorisées ou malveillantes.

  • Identifiez le moment où l’accès est accordé/fermé à un appareil de contrôle du pseudo-terminal afin que les administrateurs puissent déterminer qui accède au shell et pour quelles raisons.

Utilisateurs et groupes

Inclut des informations sur les changements d’utilisateurs et de groupes dans le système, notamment sur la création d’utilisateurs et l’élévation des autorisations.

  • Détectez la création de comptes utilisateurs non autorisés et les tentatives d’élévation de privilèges non autorisées, indiquant de potentielles menaces d’origine interne.

  • Enregistrez tous les changements apportés aux utilisateurs et aux groupes afin de prouver le respect des audits de conformité et des règles de contrôle d’accès.

  • Suivez toutes les activités annexes et les modifications apportées par l’utilisateur après l’élévation des privilèges afin d’identifier les actions non autorisées ou malveillantes.

Menaces persistantes avancées

Contient des informations sur la création et la suppression de la persistance par le service de gestion des tâches en arrière-plan, notamment LaunchDaemons et LaunchAgents.

  • Enregistrez toutes les persistances communes créées ou supprimées dans l’ensemble des points de terminaison, notamment la visibilité sur l’instigateur et les artefacts persistants.

  • Détectez les mécanismes de persistance rares ou suspects, tels que les agents de lancement non autorisés se faisant passer pour une persistance légitime, signe d’infection par un logiciel malveillant.

  • Identifiez l’informatique parallèle (Shadow IT) ayant la forme de logiciels installés par l’utilisateur et de persistance, qui peuvent être transférés sous forme d’alternatives gérées.

Matériel et volumes

Contient des informations sur les connexions matérielles et le montage de volumes, notamment les périphériques de stockage locaux et les partages de fichiers sur le réseau.

  • Enregistrez tous les montages de volumes existant sur les appareils externes, les applications et sur le réseau.

  • Repérez les utilisateurs qui montent des DMG et installent des logiciels non gérés.

  • Créez une visibilité sur les partages de fichiers réseau accessibles à distance.

Sécurité Apple

Contient des informations sur les événements de sécurité provenant des outils de sécurité Apple intégrés aux ordinateurs, notamment XProtect, XProtect Remediator et Gatekeeper.

  • Acquérez une pleine connaissance des événements de détection et de remédiation des logiciels malveillants intégrés sur vos systèmes afin d’approfondir vos recherches.

  • Identifiez les applications légitimes bloquées par XProtect afin de réduire la friction pour l’utilisateur tout en maintenant la sécurité.

  • Identifiez lorsque les utilisateurs tentent de déroger aux protections Gatekeeper d’Apple de sorte que les administrateurs puissent empêcher le chargement de l’application, ou offrez une méthode approuvée d’accès à l’application.

Système

Contient des informations sur les opérations importantes effectuées par le système, notamment les modifications apportées à l’heure du système et au profil de configuration et les modifications apportées à la structure Transparency Consent and Control (TCC).

  • Vérifiez l’installation des configurations sensibles à l’aide d’une solution MDM, notamment les réglages du VPN ou les certificats.

  • Vérifiez les logiciels tiers dont l’accès au noyau est autorisé.

  • Répondez aux exigences de conformité grâce à la journalisation des informations sur le micrologiciel hôte et des modifications apportées à la configuration du système.

  • Surveillez les modifications apportées à la structure TCC afin de détecter les élévations de privilèges et d’auditer tout accès non autorisé.

Rapports de diagnostics et de pannes

Contient les informations des rapports de diagnostics et de pannes collectées sur les ordinateurs lorsqu’elles sont générées par le système.

  • Identifiez les modèles de pannes récurrentes liées à des binaires malveillants ou à des tentatives d’exploitation.

  • Identifiez et étudiez de manière proactive les pannes récurrentes afin de réduire les perturbations subies par les utilisateurs et d’améliorer l’expérience numérique.

  • Fournissez des preuves de la stabilité des points de terminaison et de la disponibilité opérationnelle pour appuyer les audits de conformité.

Indicateurs de performances

Contient des rapports d’audit sur l’utilisation des ressources système et l’efficacité des applications, notamment l’utilisation du processeur et l’impact énergétique.

  • Détectez les anomalies dans l’utilisation du processeur, de la mémoire ou de l’énergie, qui pourraient être le signe d’une infection par un logiciel malveillant, comme le cryptojacking, ou d’un problème matériel.

  • Démontrez la stabilité opérationnelle et l’efficacité des ressources pour les audits de conformité.

  • Résolvez ou optimisez de manière proactive l’utilisation des ressources en identifiant et en corrigeant les applications ou les processus peu performants.