Jamf ProtectでmacOSのセキュリティを拡張する!

SaaS

jamf Protectの検証記事!

Jamf Protectが気になっている方向けの記事です。

どんな企業向けの製品?

早速、結論ですw
実際に検証しての感想ですが、以下のような企業には向いていると思います。

[su_box title=”” box_color=”#7fc04c”]

  1. macOSの比率が高く、macOS上の疑わしい操作を検知して、セキュリティを向上させたい
  2. 逆にmacOSの比率が低いが、細かいことを考えることなく、カジュアルにmacOSセキュリティを向上させたい
  3. macOSデバイスのセキュリティポリシーを、CISベンチマークベースに設定している、もしくはしたいと考えている

[/su_box]

管理コンソールのUI

管理コンソールのUIはすごくわかりやすいし、かっこいい!
数値で全体の状況がパッとわかるし、閲覧の項目と設定の項目がそれぞれ、分かれててすごくわかりやすい。

最初、導入するとわかるのですが、基本的に設定は上から下(AnalyticsからDeployments)の順に設定していきます。

CISベンチマークの準拠状況がわかる

IngihtsからはCISベンチマークの準拠の状態がわかります。

全体のうち、何項目準拠していないか、準拠している項目、してない項目がパッとわかっちゃいます。

個人的に欲しいなって思った機能はJamf Proと連携して、準拠していない項目をここから設定できたらいいなと思いました。イメージ的にはクリックしたらJamf Proに飛んで自動でPolicyが作成され、あとはスコープを設定するだけみたいな、、、

macOS上の疑わしい操作を検知する

macOS上の疑わしい動作を検知することができます。例えば、LaunchDaemonの動きや、DNS設定変更、Cronジョブの作成、USB挿入、書き込みなどの動きを標準の設定(Anaytics)で検知できます。

標準で100以上のAnalyticsが入っているため、難しいこと考えることなく、ある程度の検知はできます。

実運用する際は検知後にどのような対応をするのかを決めておくとよいです。

また、このAnalyaticsは自分で作成することもできます。
しかし、個人的には自分でAnalyticsを作成するのは、少し難易度が高いと感じました。この部分はApple内部の仕組みやAnalyticsの書き方とじっくり向き合う必要があります。

その他、機能

SIEM連携としてはsplunkへログを流すことができます。ここは今後、もう少し対応SIEMが増えると嬉しいところですね。

また認証統合としては、AzureADやOktaと連携できます。この部分はトライアルでは試せませんでした。

Slack通知はActionsにURLが設定できるため、これを使うとできそうです。

こういうことができたらいいなぁ

検証していて、こういうことができたらいいなって思いました。

[su_box title=”” box_color=”#7fc04c”]

  1. Windowsにも対応している(企業の方向性とは違うとおもうけど)
  2. Jamf Proと連携してCIS Bechmarkの設定ができる
  3. SIEM連携として、対応SIEM製品が増える

[/su_box]

タイトルとURLをコピーしました