カスタム解析は、標準の Jamf 管理対象解析ではカバーできない独自のセキュリティニーズがある場合に役立ちます。カスタム解析を作成して展開し、特定のアクティビティやイベントを監視できます。Jamf Protect のカスタム解析は、述語ベースのフィルタを使用して疑わしいアクティビティを識別し、アラートを発します。
カスタム解析を使用する際に過剰なアラートを回避するには、以下の項目を考慮してください。
必要なデータがテレメトリ機能によってすでに収集されているかどうかを評価します。テレメトリによって収集される情報のタイプについての詳細は、Jamf Protect Telemetry Data Model Documentation (Jamf Protect テレメトリデータモデルドキュメント) を参照してください。
Learning Hub へのログインが必要
このコンテンツにアクセスするには、有効な Jamf ID でJamf Learning Hub にログインしてください。
カスタム解析で、特定の対象を絞ったルールが使用されていることを確認します。
本番環境に展開する前に、ベータ環境で述語を徹底的にテストします。
- システムに過度の負荷をかけないように、リソースの制限に配慮してください。
カスタム解析を展開して開始点として使用する例については、Jamf Protect の Jamf Protect オープンソース GitHub リポジトリを参照してください:jamf / jamfprotect (GitHub)。
macOS でのイベントやプロセスを評価するための
NSPredicateやNSExpressionのクラスなどのフィルタリングやソーティングのロジックについての理解。詳しくは、Apple Developer ウェブサイトの NSPredicate を参照してください。コンピュータで監視するイベントやプロセスの理解
- 解析フィルタ (Analytic Filter) セクションで、解析のフィルタを作成します。
- 解析の述語を記述します。
フィルタを作成するフィルタクエリビルダービュー (Filter Query Builder View)、NSPredicate 構文で述語を入力するフィルタテキストビュー (Filter Text View) のいずれかを使用できます。解析ドキュメント (Analytic Documentation) のヘルプページには、各センサのタイプでサポートされている属性がリストされます。
Example:ユーザがリムーバブルデバイスにファイルを書き込んだタイミングを検出したい場合、述語はファイルイベントを監視し、以下の3つの条件を含みます。ここで、「== 1」は、boolean 演算式が true であることを表現するために使用されます。$event.isNew == 1 AND $event.path BEGINSWITH[cd] "/Volumes/" AND $event.file.onRemovableMedia == 1以下は、上記の述語例が Jamf Protect でどのように構成されているかを示した例です。
- 解析の述語を記述します。
これで、カスタム解析を解析セットに追加できます。