Jamf Protect 検索および可視化例

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

このセクションでは、データをダッシュボードに表示する出発点として使える検索と可視化ペアの例を紹介します。

以下の例では、Jamf Protect for Splunk から収集したデータに基づいた検索を使用しています。

Splunk ダッシュボードの詳細については、SplunkDashboards and Visualizations (ダッシュボードと視覚化) を参照してください。

イベントタイプ別のログとアラート

Search (検索)可視化
eventtype="jamf_protect" input.host.hostname="*" severity_id>0
| dedup id
| stats count by event_name
| rename
    event_name AS "Event",
    count AS "Count"
| replace 
    "GPDownloadEvent" with "Download Event", 
    "GPFSEvent" with "File System Event", 
    "GPGatekeeperEvent" with "Gatekeeper Event", 
    "GPPreventedExecutionEvent" with "Custom Prevention", 
    "GPProcessEvent" with "Process Event", 
    "GPThreatMatchExecEvent" with "Threat Prevention", 
    "auth-mount" with "Device Controls" , 
    "GPClickEvent" with "Synthetic Click Event",
    "GPUSBEvent" with "USB Event"
    in Event

検出された分析数

Search (検索)可視化
source = "http:Jamf Protect" | stats count by input.eventType, input.match.facts{}.name | rename input.eventType AS "Event Type", input.match.facts{}.name AS "Event", count AS "Count" | sort Count desc | head 10

上位10件のイベントタイプの内訳

Search (検索)可視化
 eventtype=jamf_protect_alerts input.host.hostname="*" event_name!="GPUnifiedLogEvent"
| dedup id
| stats count by event_name, detection_name
| rename
    event_name AS "Event Type",
    detection_name AS "Event",
    count AS "Count" 
| sort Count desc 
| head 10

Gatekeeper にブロックされる実行可能なイベントタイプ

Search (検索)可視化
source = "http:Jamf Protect" input.eventType="GPGatekeeperEvent" | stats count by input.match.facts{}.name, input.match.event.path | rename input.match.facts{}.name AS "Block Type", input.match.event.path AS "Executable" | head 10