注:
このセクションの内容は、macOS セキュリティの従来の脅威防御戦略に適用されます。従来の戦略は、macOS セキュリティの今後のバージョンで非推奨となる予定です。脅威防御戦略の構成に関する情報と手順については、脅威防御 (ベータ) を参照してください。
Jamf Threat Labs が高リスクと判断した安全でない、または悪意のあるアクティビティが検出された場合、高度な脅威制御が介入します。検出されたアクティビティはブロックされ、さらなる調査のために管理者に報告されます。
これにより、システムの攻撃対象領域が縮小され、ファイルレスマルウェアや環境寄生型 (Living off the Land; LotL) 手法を使用する攻撃者からの保護が強化されます。
使用可能な制御は、実際の攻撃や観察された脅威アクターの行動、およびシステムセキュリティを弱体化することが知られている行動から導き出されます。アドバンス脅威制御はリバースシェルをターゲットにしてブロックします。
- 環境寄生型 (LotL)
- 環境寄生型攻撃では、システムにすでに存在する正規のソフトウェアやツールを脅威アクターが利用して攻撃を実行します。攻撃者は、カスタムマルウェアを導入する代わりに、プラットフォームに組み込まれている管理ツール、スクリプト、またはシステムユーティリティを悪用して、検出されることなく目的を実行します。
- リバースシェル
- リバースシェルは、攻撃者が自分のシステムに接続し直して、侵害されたシステムをコマンドで制御するために攻撃者が使用する一般的な手法です。これにより、攻撃者は侵害されたマシンを制御できるようになります。通常、これは偵察の実行、さらなる攻撃ステージの実行、またはデータ漏洩を目的としています。
アドバンス脅威制御は、デフォルトで無効に設定されています。この機能を有効にするには、Jamf Protect プランを作成または編集し、アドバンス脅威制御の設定を ブロックとレポート または レポートのみ として構成します。