Jamf Protect は、エンドポイントテレメトリの監視と報告を最適化するために複数の方法を使用します。1つの方法は Jamf Protect アプリケーションに内在しており、これにより、Jamf Threat Labs によって安全かつ予期されていると分類された、必要な macOS プラットフォームバイナリと大容量プロセスが可能になります。これらの必須の例外は Jamf によって管理およびアップデートされます。
また、Jamf Protect はカスタム例外セットによる特定の環境例外を提供します。カスタム例外セットを使用すると、管理者は安全であることがわかっているイベントを無視できます。例外セットを使用して既知の安全なデータを無視すると、次のような利点があります。
ホストコンピュータのシステムリソースの負荷が軽減され、パフォーマンスフットプリントが小さくなります。
分析を複雑化または遅延させる可能性のあるテレメトリストリーム内の不要なデータを削減します。
SIEM またはその他の収集ツールへのデータの取り込みと保存に関連するコストが削減されます。
Jamf Protect での例外セットの作成方法については、例外セットを作成する を参照してください。
ご使用の環境の潜在的な例外ルールを特定するには、次の一般的なプロセスを使用します。
一定期間、標準的な作業プロセスを実行しているコンピュータグループのテレメトリデータのサンプルを収集します。このデータは、ログファイルを介してローカルで収集することも、SIEM ツールに直接送信することもできます。
収集されたテレメトリデータを確認し、既知の信頼できるアクティビティ、コンプライアンスおよびセキュリティ基準に関係のないアクティビティ、または転送および保存するにはデータ量が多すぎるアクティビティを特定します。
収集したデータを使用してカスタム例外を作成し、展開します。適切な無視ルールを使用して、無視するデータを指定します。
- 展開後、例外セットが意図したとおりに機能し、予期されたアクティビティが無視されていることを確認します。注:
実装したカスタム例外セットを定期的に確認して、ルールが適切であることを確認し、必要に応じてアップデートします。