在Jamf Protect中建立遙測配置時,您可以選擇要收集的資訊類別。如需每個類別所包含事件的詳細清單,請參閱遙測資料模型說明文件。
需要Learning Hub登入
若要存取此內容,請使用有效的Jamf ID登入Jamf Learning Hub。
每個類別收集的事件可能會因您環境中的macOS版本而異。類別中包含的某些事件可能僅與較新的作業系統相容。
事件及其類別由Jamf管理,並可能受到未來更新和變更的影響。系統會將後續的變更和更新自動套用至收集適用遙測類別資料的所有電腦。
應用程式和程序
包括系統上應用程式使用情況和程序活動的相關資訊,其中包含用於完全可追溯性的稽核資訊。
稽核所有端點上的所有應用程式使用情況和程序活動,包括遺產和稽核代號詳細資訊,以實現完整的可追溯性和與其他遙測的關聯。
偵測未經授權或未簽署程序(例如,離地惡意軟體)的執行,或將所有其他遙測資料關聯在一起以完全重新建構攻擊時間軸。
為處理敏感資料的程序提供詳細的稽核記錄檔,或識別需要納入管理的非管理式軟體(影子IT)。
存取和認證
包括有關系統、App和使用者的存取和認證事件的資訊;包括本機和遠端工作階段,和虛擬終端存取。
維護所有使用者存取和認證事件的稽核追蹤,將使用者和所使用的方法(例如Jamf Connect)對應到特定系統活動,以進行安全和合規稽核。
監控具有提升權限(sudo)或替代權限(su)的所有命令列執行。
稽核透過SSH或螢幕共享遠端存取電腦的時間,記錄來源位址和工作階段時間戳記,以建立相關的時間軸並發現未經授權或惡意的動作。
識別何時授予/關閉對虛擬終端控制裝置的存取權,讓管理員可以識別誰獲得了對shell的存取權及其原因。
使用者和群組
包括系統上使用者和群組變更的相關資訊,包括使用者建立和權限提升。
偵測未經授權的使用者帳戶建立,和未經授權的權限提升嘗試,發出潛在的內部威脅訊號。
記錄所有使用者和群組變更以證明遵守合規稽核和存取控制政策。
追蹤權限提升後使用者所做的所有相關活動和變更,以識別未經授權或惡意的動作。
持續性
包括背景任務管理服務(包括LaunchDaemons和LaunchAgents)持久性建立和移除的相關資訊。
記錄在端點之間建立或移除的所有常見持久性,包括對發起者和持久工件的能見度。
偵測罕見或可疑的持久性機制,例如偽裝成合法持久性之未經授權的啟動代理程式,這表明已受惡意軟體感染。
以使用者安裝的軟體和持久性的形式識別影子IT,並可轉換為管理式替代方案。
硬體和磁碟區
包括硬體連接和磁碟區安裝的相關資訊,包括本機儲存裝置和網路檔案共享。
記錄來自外部裝置、應用程式和網路的所有磁碟區安裝。
偵測安裝DMG和安裝非管理式軟體的使用者。
引入遠端存取的網路檔案共享的可見性。
Apple安全性
包括來自電腦上內建Apple安全工具(包括XProtect、XProtect Remediator和門禁)的安全事件資訊。
全面瞭解系統上的內建惡意軟體偵測和修復事件,以便進一步調查。
識別XProtect封鎖的合法應用程式,以在保持安全的同時減少使用者摩擦。
識別使用者何時試圖覆寫Apple的門禁保護,以便管理員可以封鎖應用程式載入,或提供存取應用程式的經過核准的方法。
系統
包含系統完成的重要操作的資訊,包括系統時間、設定描述檔變更,以及Transparency Consent and Control(TCC)變更。
根據MDM解決方案驗證敏感配置的安裝,例如VPN設定或憑證。
稽核具有授權核心存取權的第三方軟體。
透過記錄主機韌體資訊和系統配置變更來滿足合規需求。
監控TCC變更以偵測權限升級並稽核任何未經授權的存取。
診斷和損毀報告
包括系統產生時從電腦收集的診斷和損毀報告資訊。
識別與惡意二進位檔或利用嘗試相關的反覆發生的損毀模式。
主動識別和調查反覆發生的損毀,以最大限度地減少使用者中斷並改善數位體驗。
提供端點穩定性和操作準備的證據以支援合規稽核。
Performance metrics(效能指標)
包括稽核系統資源利用率和應用程式效率的報告,其中包含CPU使用情況和能源影響。
偵測CPU、記憶體或能源使用情況中的異常,這可能表示存在惡意軟體感染(例如加密劫持)或硬體問題。
示範合規稽核的操作穩定性和資源效率。
透過識別和處理效能不佳的應用程式或程序,主動解決或最佳化資源利用率。