Jamf Protect使用多種方法來最佳化端點遙測的監控和報告方式。一種方法是Jamf Protect應用程式固有的,它允許必要的macOS平台二進位和被Jamf Threat Labs分類為安全和預期的大容量程序。這些必要的例外由Jamf管理和更新。
Jamf Protect也透過自訂例外集提供特定環境例外。自訂例外集允許管理員忽略已知安全的事件。使用例外集忽略已知安全的資料具有以下好處:
減少主機的系統資源負載,進而減少效能佔用。
減少遙測流中可能使分析複雜化或延遲的不必要資料。
降低與SIEM或其他收集工具中提取和儲存資料相關的成本。
如需關於在Jamf Protect中建立例外集的更多資訊,請參閱建立例外集。
若要識別您的環境的潛在例外規則,請使用此一般程序:
為在一段時間內執行標準工作流程的一組電腦,收集遙測資料樣本。您可以透過記錄檔在本機收集此資料,或將其直接傳送到SIEM工具。
檢視收集到的遙測資料並確定您瞭解和信任的活動、與您的合規和安全標準無關的活動,或需要傳輸和儲存的資料量過大的活動。
使用您收集的資料建立並部署自訂例外。使用適當的忽略規則指定要忽略的資料。
- 部署後,驗證例外集是否如預期運作,以及是否正在忽略預期活動。注意:
定期檢視您已實作的自訂例外集以確保規則維持相關,並在必要時進行更新。