JAMF 解析器概览
支持的平台:
Google SecOps
SIEM
本文档列出了将 Jamf 产品日志标准化为 Google Security Operations 统一数据模型 (UDM) 字段的 Jamf 解析器。它简要介绍了每款 Jamf 产品及其使用场景。
配置 Jamf 日志注入
如需将 Jamf 日志注入到 Google SecOps,请点击表格中对应的注入机制链接,然后按照每个解析器随附的说明操作。
Jamf 产品和说明
下表列出了 Google SecOps 支持的 Jamf 解析器。此外,该表格还列出了每个解析器的相应提取标签及其各自的产品说明。您可以点击每个解析器随附的提取机制链接,查看要遵循的提取机制的详细步骤。 如需查看解析器的映射参考文档,请点击表格中对应的解析器名称。
| 产品名称 | 注入标签 | 产品描述 |
|---|---|---|
Jamf Protect |
JAMF_PROTECT |
Jamf Protect 是一款端点保护平台,它使用原生 macOS 代理来执行新一代反病毒、行为检测 (EDR) 和安全合规性检查。
Jamf Protect 注入机制 |
Jamf Telemetry |
JAMF_TELEMETRY |
Jamf Telemetry 会提取由 Compliance-Reporter 代理以前生成的原始 macOS 审核数据的旧版数据流。此数据流通常用于常规合规性日志记录和维护历史数据流水线。 Jamf Protect 遥测数据注入机制 |
Jamf Protect Telemetry V2 |
JAMF_TELEMETRY_V2 |
Jamf Protect Telemetry V2 使用 macOS 端点安全应用编程接口收集精细的结构化 macOS 端点活动日志。此数据流可提供有关进程执行、身份验证和持久性的深层情境数据,以便主动进行威胁搜寻和取证重建。
Jamf Protect 遥测 V2 提取机制 |
Jamf Threat Events |
JAMF_THREAT_EVENTS |
Jamf Threat Events 可从 macOS 和移动端点提取高可信度的整合安全提醒流(例如恶意软件、命令和控制服务器通信、钓鱼式攻击)。这些数据对于安全事件响应分类和 SOAR 工作流至关重要。 Jamf 威胁事件提取机制 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。