您可以配置 Jamf Protect 以循序執行分析,這允許一個分析使用之前執行的分析所收集的資料。
Jamf Protect使用分析的層級和標記來建立分析鏈。較低層級的分析先執行,然後將下列資訊傳遞給後續較高層級的分析:
標籤
事件資料
關聯內容項目陳述式的結果
下圖顯示了如何建立分析鏈的範例:
鏈結分析時,您可以使用此範例來瞭解基本程序。此範例使用與上圖的分析 A、B 和 C 相同的鏈結方法。
- 層級0
LaunchAgent(分析A)是一種分析,用於監視下列位置建立的任何新檔案的檔案系統事件:/Library/LaunchAgent。此分析具有「持續性」標記和關聯內容項目,它們從 PLIST 檔案中擷取二進位檔案並定義下列內容鍵-值配對路徑,藉此定義下次啟動期間執行的二進位檔案路徑:/the/path/to/the/autostart/binary。KernelExtension(分析B)是一種分析,用於監視下列位置建立的任何新檔案的檔案系統事件:/System/Library/Extensions。此分析也具有「持續性」標記和關聯內容項目,它們從 PLIST 檔案中擷取二進位檔案並定義下列內容鍵-值配對,藉此定義下次啟動期間執行的二進位檔案路徑:/the/path/to/the/autostart/binary。- 層級1
為了在層級 0 分析之後鏈結分析,您可以建立層級 1 分析 (分析 C) 來監控下列內容:
分析標記為
Persistence的事件未正確簽署環境定義項目
path所包含的二進位路徑
此分析鏈允許您將用於檢查兩個分析的監控檔簽名的邏輯,結合到一個單獨的分析中。只要檢查正確簽署的分析處於較高層級,它就可以使用相同的標記及其配置的環境定義項目來評估較低層級的分析。
Important:使用標記可確保分析只會評估相關的項目,從而防止浪費無關的計算成本。在上述範例中,層級1的分析將僅計算具有
Persistence標記之項目的簽署資訊,該標記新增在層級0分析的述詞之後,傳回值為true。