テレメトリイベントのカテゴリ

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

Jamf Protect でテレメトリ構成を作成するときに、収集する情報のカテゴリを選択できます。各カテゴリに含まれるイベントの詳細なリストについては、Telemetry Data Model Documentation (テレメトリデータモデルドキュメント) を参照してください。

Learning Hub へのログインが必要

このコンテンツにアクセスするには、有効な Jamf IDJamf Learning Hub にログインしてください。

各カテゴリで収集されるイベントは、環境内の macOS のバージョンによって異なる場合があります。カテゴリに含まれる一部のイベントは、新しいオペレーティングシステムとのみ互換性がある場合があります。

イベントおよびそのカテゴリは Jamf によって管理されており、将来的にアップデートおよび変更される可能性があります。今後の変更とアップデートは、該当するテレメトリカテゴリでデータを収集するすべてのコンピュータに自動的に適用されます。

アプリケーションとプロセス

完全なトレーサビリティに関する監査情報を含め、システム上のアプリケーションの使用およびプロセスアクティビティに関する情報が含まれます。

  • 完全なトレーサビリティおよび他のテレメトリとの相関関係のために、すべてのエンドポイントにわたるすべてのアプリケーションの使用およびプロセスアクティビティ (履歴と監査トークンの詳細を含む) を監査します。

  • 不正なプロセスや未署名のプロセス (環境寄生型マルウェアなど) の実行を検出したり、他のすべてのテレメトリを相関させて攻撃のタイムラインを完全に再構築したりします。

  • 機密データを処理するプロセスの詳細な監査ログを提供したり、管理対象とすべき管理対象外ソフトウェア (シャドー IT) を識別したりします。

アクセスと認証

ローカルセッションとリモートセッション、擬似ターミナルアクセスを含む、システム、アプリケーション、およびユーザのアクセスイベントと認証イベントに関する情報が含まれます。

  • すべてのユーザアクセスおよび認証イベントの監査トレイルを維持し、セキュリティとコンプライアンスの監査のために、ユーザと使用された方法 (Jamf Connect など) を特定のシステムアクティビティにマッピングします。

  • 昇格された権限 (sudo) または代替の権限 (su) によるすべてのコマンドライン実行を監視します。

  • ソースアドレスとセッションのタイムスタンプを記録することで、SSH や画面共有を通じてコンピュータがリモートアクセスされたタイミングを監査し、相関タイムラインを構築し、不正なアクションや悪意のあるアクションを検出します。

  • 擬似ターミナル制御デバイスへのアクセスがいつ許可されたか/閉じられたかを識別し、誰がどのような理由でシェルにアクセスしているかを管理者が識別できるようにします。

ユーザおよびグループ

ユーザの作成や権限昇格など、システム上のユーザおよびグループの変更に関する情報が含まれます。

  • 不正なユーザアカウントの作成や不正な権限昇格の試行を検出し、潜在的な内部脅威を通知します。

  • すべてのユーザおよびグループの変更をログに記録して、コンプライアンス監査とアクセス制御ポリシーへの準拠を実証します。

  • 権限昇格後にユーザが行ったすべての関連アクティビティおよび変更を追跡し、不正なアクションや悪意のあるアクションを特定します。

永続化

LaunchDaemons や LaunchAgents などのバックグラウンドタスク管理サービスによる永続化の作成と削除に関する情報が含まれます。

  • エンドポイント全体で確立または削除されたすべての共通の永続化を記録します。これには、インスティゲーターおよび永続化されたアーチファクトの可視性も含まれます。

  • マルウェア感染を示す、正当な永続化を装った不正な起動エージェントなど、稀有な、または疑わしい永続化メカニズムを検出します。

  • ユーザがインストールしたソフトウェアや永続化の形態で、管理対象の代替に移行できるシャドー IT を特定します。

ハードウェアとボリューム

ローカルストレージデバイスやネットワークファイル共有などのハードウェア接続とボリュームのマウントに関する情報が含まれます。

  • 外部デバイス、アプリケーション、ネットワーク経由のすべてのボリュームマウントを記録します。

  • DMG をマウントし、管理対象外のソフトウェアをインストールしているユーザを検出します。

  • リモートアクセスされているネットワークファイル共有の可視性を導入します。

Apple セキュリティ

XProtect、XProtect Remediator、Gatekeeper など、コンピュータに組み込まれている Apple セキュリティツールからのセキュリティイベントに関する情報が含まれます。

  • システムに組み込まれているマルウェア検出および修復イベントを完全に把握し、さらに詳しく調査します。

  • XProtect によってブロックされている正規のアプリケーションを識別し、セキュリティを維持しながらユーザの負担を軽減します。

  • ユーザが Apple の Gatekeeper 保護を無効にしようとしたことを識別して、管理者がアプリケーションの読み込みをブロックしたり、アプリケーションにアクセスするための承認された方法を提供したりできるようにします。

システム

システム時間、構成プロファイルの変更、透明性の同意とコントロール (TCC) の変更など、システムによって完了した重要な操作に関する情報が含まれます。

  • VPN 設定や証明書などの機密構成のインストールを MDM ソリューションに対して検証します。

  • 承認されたカーネルアクセスを使用してサードパーティソフトウェアを監査します。

  • ホストファームウェア情報とシステム構成の変更をログに記録することで、コンプライアンス要件を満たします。

  • TCC の変更を監視して、権限のエスカレーションを検出し、不正アクセスを監査します。

診断およびクラッシュレポート

システムによって生成されたときにコンピュータから収集された診断およびクラッシュレポート情報が含まれます。

  • 悪意のあるバイナリまたは悪用の試みに関連する、繰り返し発生するクラッシュのパターンを特定します。

  • 繰り返し発生するクラッシュをプロアクティブに特定して調査し、ユーザの混乱を最小限に抑えてデジタルエクスペリエンスを向上させます。

  • コンプライアンス監査をサポートするために、エンドポイントの安定性と運用準備の証拠を提供します。

パフォーマンスメトリクス

CPU 使用率やエネルギーへの影響など、システムリソースの使用およびアプリケーションの効率を監査するためのレポートが含まれます。

  • クリプトジャッキングなどのマルウェア感染やハードウェアの問題の兆候となる可能性のある、CPU、メモリ、またはエネルギー使用の異常を検出します。

  • コンプライアンス監査のための運用の安定性およびリソース効率を実証します。

  • パフォーマンスが低下したアプリケーションやプロセスを特定して対処することで、リソースの使用をプロアクティブに解決または最適化します。