Соединитель Jamf Protect для Microsoft Sentinel
Соединитель Jamf Protect предоставляет возможность считывать необработанные данные событий из Jamf Protect в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | jamfprotect_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Jamf Software, LLC |
Примеры запросов
Jamf Protect — все события.
jamfprotect_CL
| sort by TimeGenerated desc
Jamf Protect — все активные конечные точки.
jamfprotect_CL
| where notempty(input_host_hostname_s)
| summarize Event = count() by input_host_hostname_s
| project-rename HostName = input_host_hostname_s
| sort by Event desc
Jamf Protect — первые 10 конечных точек с помощью оповещений
jamfprotect_CL
| where topicType_s == 'alert' and notempty(input_eventType_s) and notempty(input_host_hostname_s)
| summarize Event = count() by input_host_hostname_s
| project-rename HostName = input_host_hostname_s
| top 10 by Event
Инструкции по установке поставщика
Этот соединитель считывает данные из таблицы jamfprotect_CL, созданной Jamf Protect в рабочей области Microsoft Analytics, если параметр пересылки данных включен в Jamf Protect, то необработанные данные событий отправляются в API приема Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.