Jamf ProtectとMicrosoft Sentinelの統合

このブログでは、Jamf ProtectとMicrosoft Sentinelの統合の利点と機能について説明します。

November 30 2023 投稿者

Thijs Xhaflaire

Aaron Webb

Katie John

Matt Taylor

People shaking hands

Jamfは、 Macおよびモバイルデバイス向けのエンドポイントセキュリティソリューションであるJamf Protectと、クラウドネイティブのSIEM(セキュリティ情報イベント管理)ソリューションであるMicrosoft Sentinelの統合を発表しました。この統合により、Microsoft Sentinelプラットフォームを通じてMacをシームレスに監視・保護できるようになり、エンドポイントのセキュリティイベントの全体的な把握や、脅威へのより効果的な対応が可能になりました。

また、Microsoft Sentinelと統合されたJamf Protectのデータ転送機能は簡単に導入および構成することができます。今回の統合に際して、最新バージョン3.0.0に搭載された以下の新機能について解説します。

  • プレイブック
  • 捜索クエリ
  • パーサー

さらに、ワークブックと分析規則のアップデートにより、両ソリューションのメリットを活用してセキュリティイベントの可視性を向上させながら、インシデント対応を効率化および自動化することができます。

Jamf ProtectとMicrosoft SentinelのSIEM統合のメリット

この統合の最大のメリットの1つは、WindowsやLinuxが搭載された他のデバイスと一緒にMacエンドポイントを一元管理および監視できることです。Microsoft Sentinelでは、すべてのエンドポイントにおけるセキュリティイベントを一か所から確認することが可能なため、セキュリティチームは脅威を特定し次第、迅速かつ効果的に対応することができます。Jamf Protectとの統合により、組織はMacエンドポイントの状態をこれまで以上に把握し、Macを狙った脅威から保護することができます。

さらに、インシデント対応ワークフローを自動化し、脅威の検出と対応にかかる時間を短縮することも可能になります。例えば、Jamf ProtectによってMacデバイスでマルウェアが検出された場合、自動的にMicrosoft Sentinelでアラートやインシデントがトリガーされ、悪意のあるアクティビティが検出された場合には、適切な対応(例:Microsoft Entra IDでユーザのアクセスを取り消す、等)を取ることができます。この統合により、インシデント対応プロセスが合理化され、ヒューマンエラーのリスクが軽減されます。

Jamf ProtectとMicrosoft SentinelのSIEM統合のもう1つのメリットは、Microsoftの脅威インテリジェンス機能を活用できることです。Microsoft Sentinelは、Microsoft Graphなどのさまざまなソースから脅威インテリジェンスを取り込み、脅威を特定し、より効果的に対応するためにこの情報を使用します。

バージョン3.0.0に含まれる新機能

Jamf ProtectとMicrosoft Sentinelの統合は、Macエンドポイントのセキュアな運用やセキュリティイベントの可視化を希望する組織にとって強力なソリューションとなります。これにより、組織はインシデント対応のワークフローを自動化し、脅威インテリジェンスを活用し、セキュリティイベントを総合的に把握しながら、Macフリートの管理と監視を効率化することができます。

今年初めにこの統合が発表されて以来利用できるようになった新機能とアップデートは以下のとおりです。

プレイブック

脅威に手作業で対応する必要はもうありません。

プレイブックは、「インシデント全体個々のアラート、または特定のエンティティへの対応としてMicrosoft Sentinelから実行することのできる一連の処理」と説明されており、インシデントが作成されたり、その他の条件が満たされた場合に自動的な対応を行います。これにより、セキュリティチームはアクションシーケンスを容易にカスタマイズおよび定義し、Jamf APIのパワーを使用して、セキュリティインシデントを緩和するための迅速かつ効果的な対応を自動化することができます。

プレイブックには以下のような対応が含まれます。

  • Jamf Proでコンピュータをリモートロック
    • Microsoft Sentinelのインシデントのホストエンティティに基づき、リモートコマンドを使用してデバイスをロック
    • ランダムな6桁のパスコードを生成し、インシデントに記録
  • Jamf Protectのアラートステータスのアップデート
    • Microsoft Sentinelのインシデント状態をミラーリングし、それがアクティブになったタイミングでアラートステータスを「In Progress(進行中)」にアップデート
  • Jamf Protectのアラートを自動的に「解決済み」にアップデート
    • Microsoft Sentinelのインシデント状態をミラーリングし、それが終了状態になったタイミングでアラートステータスを「Resolved(解決済み)」にアップデートします。

捜索クエリ

Jamf Protectのアラートやテレメトリ、ネットワークのイベントデータとMicrosoft Sentinelの捜索クエリを組み合わせることで、すべてのエンドポイントで積極的に潜在的脅威を捜索することができます。過去にさかのぼって脅威を探索することができるため、脅威やマルウェアの存在が知られる前にそれが発生していなかったかどうかをセキュリティリサーチャーが調べたい場合に便利です。

例えば、DazzleSpyとJokerSpyを捜索するクエリはすでに存在し、Jamf Protectによって保護が提供されていますが、過去に遡ってこのクエリを実行し、これらのマルウェアが存在していたかどうかを確認することができます。

パーサー

フィールドとAdvanced Security Information Model(ASIM)をマッチさせることのできるパーサーが新たに追加され、データ解析機能が強化されました。幅広いソースから抽出・解釈されたデータにより、包括的な脅威検出と分析が可能になります。これにより、環境のセキュリティ状況を全体的に把握することで得られる正確でリアルタイムな情報を使用して、より適切な意思決定を行うことができます。

以下をストリームしてイベントマッピングを行うことが可能です。

  • Jamf Protectのアラート
    • 脅威防御
    • 分析データ
    • デバイス制御
  • Jamf Protectのテレメトリ
  • Jamf Protectのウェブ保護
    • ネットワークトラフィック
    • 脅威イベント

ワークブック

ワークブックがアップデートされ、複雑なデータを簡単に視覚化することができるようになりました。生のデータをダイナミックなチャート、グラフ、指標などといったアクション可能なインサイトに変換し、直感的なインターフェイスで確認できます。これにより、脅威の迅速な評価、解釈、対応を望むセキュリティチームとITチームをサポートし、ユーザフレンドリーかつデータ主導のアプローチで防御戦略を強化することができます。

ワークブック自体は以前から存在していましたが、今回の大幅なアップデートを受け、以下のような付加価値が加わりました。

  • 新たに追加されたパーサーをクエリに活用
  • すべてのエンドポイントにおけるパフォーマンスを詳細にレビューするためのシステムパフォーマンス指標の追加
  • Jamf.logだけでなく他のログもレビューも評価することのできるログパーサー

分析規則

分析規則を利用することで、新種のリスクをいち早く把握し、万全のサイバーセキュリティ体制を築くことができます。Jamf Protect for Microsoft Sentinelの以前のバージョンには、インシデント作成の自動化のための分析規則が含まれており、それに基づくアクションを取ることが可能でした。

この分析規則がアップデートされてより正確なものになり、さらに新しく追加されたパーサー機能を活用することができるようになりました。

この統合を入手する方法

Jamf ProtectのSIEMとMicrosoft Sentinelの統合に興味がある管理者は、Azure Marketplaceの関連ページにアクセスし、インストールと構成の手順に従うだけで簡単に実装できます。この統合により、Macエンドポイントを他のデバイスと同じように保護し、組織のフリート全体におけるセキュリティイベントをより的確に把握することができます。

さらに、Jamf Protect for Microsoft SentinelはMicrosoft コンテンツ ハブからも入手可能です。

セキュリティチームによるセキュリティ態勢のリアルタイム把握

自動化、プロアクティブな脅威検出、深いインサイト、視覚化されたクリアなデータが提供する、デジタル空間の敵に対する比類のない防御。これがサイバーセキュリティの未来です。

Microsoft SentinelとJamf Protectのシームレスな統合で可能になったネイティブデータ転送によるログ分析は、両ソリューションのパワーを最大限に引き出してくれます。セキュリティ態勢を強化することに興味をお持ちなら、ぜひMicrosoft Sentinelの堅牢な機能とJamf Protectの高度なAppleエンドポイントセキュリティ機能を組み合わせてみてください。

すでにJamf Protect for Microsoft Sentinelをお使いの方は、今すぐMicrosoft Sentinel コンテンツ ハブからバージョン3.0.0にアップグレードして、さらなるメリットと機能性の向上を手に入れましょう。

この機能のデモ

この統合の機能やその活用方法については、以下のビデオをご覧ください(英語のみ)。

今年のJNUCのセッションはもうご覧になりましたか?

Jamf ProtectとMicrosoft Sentinelによる脅威ハンティングとインシデント対応に関するセッションをいますぐチェック!

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。