建立自訂分析

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

當您有標準的Jamf管理分析未涵蓋的獨特安全需求時,自訂分析會很有幫助。您可以建立和部署自訂分析來監控特定的活動和事件。Jamf Protect的自訂分析使用謂詞式過濾器來識別可疑活動並向您發出警示。

使用自訂分析時,請考慮以下事項以避免過多的警示:

  • 評估遙測功能是否已經收集了所需的資料。有關遙測收集的資訊類型的更多資訊,請參閱Jamf Protect遙測資料模型說明文件

    需要Learning Hub登入

    若要存取此內容,請使用有效的Jamf ID登入Jamf Learning Hub。

  • 確保您的自訂分析使用具體且有針對性的規則。

  • 在將謂詞部署到正式環境之前,請先在測試版環境中徹底測試謂詞。

  • 考慮資源限制,以免系統負擔過重。
    資訊方塊流程圖,通知如何知道何時使用自訂分析

有關您可以部署並用作起點的自訂分析範例,請參閱Jamf ProtectJamf Protect開放原始碼GitHub存放庫:jamf/jamfprotect(GitHub)

Requirements

  • 瞭解過濾和排序邏輯,例如 NSPredicateNSExpression 類別,以評估 macOS 上的事件和程序。有關更多資訊,請參閱 Apple Developer 網站上的 NSPredicate

  • 瞭解您要在電腦上監控的事件和程序

  1. Jamf Protect 中,按一下 分析
  2. 按一下All Analytics(所有分析)
  3. 在畫面上方按一下Create Custom Analytic(建立自訂分析)
  4. Analytic Description(分析描述)區段中執行下列動作:
    1. 完成Name(名稱)說明欄位。
    2. 層級欄位中輸入分析的層級。

      0是預設層級。

    3. 類別快顯功能表中選擇與分析關聯的類別。
  5. Analytic Severity(分析嚴重性)區段中,從Severity(嚴重性)快顯功能表中選擇嚴重性。
  6. Analytic Filter(分析過濾器)區段中,建立分析的過濾器。
    1. Sensor Type (感應器類型)快顯功能表選擇感應器類型。
    2. 編寫分析謂詞。

      您可以使用Filter Query Builder View(過濾查詢建置器檢視)幫助您建置過濾器,或使用Filter Text View(過濾檔案檢視),在NSPredicate語法中輸入謂詞。Analytic Documentation(分析說明文件)說明頁面列出了每種感應器類型支援的屬性。

      Example:如果要偵測使用者何時將檔案寫入卸除式裝置,謂詞將監視檔案事件並包含以下三個條件,其中「== 1」用於表示布林表達式為true。
      $event.isNew == 1 AND
$event.path BEGINSWITH[cd] "/Volumes/" AND
$event.file.onRemovableMedia == 1

      以下是上述謂詞範例在Jamf Protect中的配置方式範例:

  7. Analytic Action(分析動作)區段中,執行以下操作:
    1. 選取Add to Jamf Pro Smart Group (新增到 Jamf Pro 智慧型群組),並在Identifier(識別碼)欄位中輸入值,將分析作為Jamf Pro的規則。
    2. 新增任何相關標籤。

      標籤用於與分析層級一起建立分析鏈。

    Note:

    其他資料設定(例如警示資料儲存空間和集合端點)由您的部署的特定動作配置決定。有關更多資訊,請參閱macOS安全性的動作配置

  8. (Optional) 按一下新增內容項目以配置其他內容項目。
  9. (Optional) 按一下Add Snapshot File (新增快照檔)以新增檔案來監視變更。
  10. 按一下Save (儲存)

您現在可以將自訂分析新增至分析集。