利用 Mac 端点遥测功能符合监管框架要求

今年早些时候发布的 Jamf 更新版 Mac 端点遥测功能，为组织提供了有价值且可操作的洞察，有助于应对合规审计、事件调查、威胁狩猎和 IT 运维工作。本博客将重点探讨治理与合规，展示 Jamf 的遥测功能如何帮助组织轻松配置和收集遥测数据——这些数据正是满足关键合规框架所必需的组成部分。

什么是 IT 治理与合规？

治理是一种基于行业公认标准的体系（例如合规框架），它规定了配置、功能和/或流程必须满足的准则，以达到最低水平的数据安全保障。

合规则是在指导方针的边界内，通过部署控制措施、配置硬件/软件并执行相关流程，从而满足治理（包括内部与外部标准）要求的行为，其核心目的在于保障数据安全、保护隐私并确保随时满足审计要求。

二者紧密结合，依托来自 Mac 端点遥测的有价值洞察，用以检测异常、强制执行策略，并证明其符合内部及外部的合规要求。

为什么 IT 治理与合规如此重要？

治理与合规对组织而言至关重要，这有助于保护敏感数据、了解组织安全态势中的任何漏洞，并降低遭受财务损失或声誉受损的风险。健全的治理机制可确保政策得到有效执行，从而将风险降至最低；而合规则体现了对外部法规和内部标准的遵守，从而避免受到处罚或发生违规行为。

例如:

• 防范内部威胁：记录用户活动和权限提升情况，有助于组织发现并应对未经授权的操作，从而符合 NIST 800-53 和 ISO 27001 等标准。
• 提升审计就绪能力：捕获系统活动与配置变更，确保企业能够证明其符合 PCI DSS 和 HIPAA 的审计要求。
• 降低安全事件影响：通过追踪异常情况并依托遥测技术强制执行策略，企业能够尽早检测出高级威胁，并将业务中断降至最低。

治理与合规不仅是义务，更是确保运营安全高效的关键。

了解合规框架

目前有几种常见的网络安全框架，各行各业及各地的组织都必须或力求达到这些框架的合规要求。重要的是，Jamf 的终端遥测功能可帮助企业深入了解当前设备的运行状况。在根据这些合规框架中的要求调整安全配置时，这些关键数据非常有用。以下并非所有框架的详尽列表，而是介绍了最常见的框架。

监管合规框架

这些框架由法律或行业法规强制规定，通常要求组织满足特定要求，以确保数据保护、隐私或运营完整性。必须确保符合这些框架的要求。

• 适用于美国联邦政府部门的第 14028 号行政命令 (M-21-31)
• 适用于美国医疗保健及服务提供商领域的 HIPAA/HITRUST CSF
• 适用于支付处理领域的全球性框架 PCI DSS
• 适用于服务提供商的全球性框架 SOC

安全基线与基准

这些框架或要求为保障信息技术系统安全提供了规范性的技术控制措施或最佳实践，通常被用作参考依据，以满足更广泛的合规目标。根据组织和行业的不同，这些框架可能是强制性的，也可能是可选的。

• 适用于全行业的全球标准的 ISO 27001/2
• 适用于美国（且辐射全球）政府和私营部门的 NIST 800-53
• 适用于美国（且辐射全球）政府机构、国防承包商以及相关的政企与军工供应链企业的 NIST 800-171
• 适用于美国联邦政府国家安全系统的 CNSSI 1253
• 适用于美国军事机构与国防承包商的 DISA STIG
• 适用于全行业的全球通用安全配置基准标准 CIS Level 1 与 Level 2

安全成熟度模型

这些框架强调通过分步实施的建议来提升组织的网络安全态势，并重点关注防御弹性与自适应能力。

• 适用于美国国防承包商的 CMMC Level 1 与 Level 2
• 适用于澳大利亚全行业的 Essential 8
• 适用于澳大利亚政府机构与私营企业的 Australian ISM
• 适用于英国政府机构与私营企业的 Cyber Essentials
• 适用于欧盟关键基础设施（如能源、电信和交通运输）的 ENISA Framework

Jamf 的 Mac 端点遥测技术如何发挥作用？

既然我们已经明确了现行的治理与合规框架体系，那么接下来的核心问题便是：Jamf 的 Mac 端点遥测技术如何发挥作用？Jamf 的 Mac 端点遥测涵盖了多种遥测数据类别，安全团队可以对其进行轻松配置与日志记录。接下来，我们将逐项审视常见安全要求、剖析其重要性、梳理与之相关的合规框架，并详细阐述有助于实现这些合规要求的具体遥测数据类别。

如需深入了解创建遥测配置时应采集的信息类别，请参阅我们的技术文档。

进程执行与可追溯性

进程执行与可追溯性涵盖捕获已执行进程的详细信息、其来源、父子关系以及代码完整性。进程执行日志对于检测未授权进程、识别恶意软件以及还原攻击者行为至关重要。必须满足 NIST SP 800-53、EO14028 (M-21-31)、PCI DSS 和 Essential 8 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

认证与访问

认证与访问涵盖记录用户认证事件，包括登录、注销、失败的尝试以及远程访问（例如 SSH 和屏幕共享）。组织需要成功与失败认证事件的日志，以强制执行访问控制策略、追踪未授权尝试并支持合规审计。必须满足 NIST SP 800-53、EO 14028 (M-21-31)、HIPAA、PCI DSS 和 Cyber Essentials 合规要求的组织，需要记录此类遥测数据。

权限提升与管理操作

权限提升与管理操作涵盖监控用户提升权限（例如 sudo）或执行管理操作（例如用户身份切换、关键系统变更）的事件。权限管理与追踪对于检测提权行为滥用以及为具体操作提供取证见解至关重要。必须满足 NIST SP 800-53、EO14028 (M-21-31)、PCI DSS 和 DISA STIG 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

用户和群组管理

用户与群组管理涵盖记录用户和群组配置的变更，包括账户创建、删除、修改以及属性变更（例如密码）。组织通常需要对账户生命周期事件具备可见性，以维护最小权限原则并防止未授权访问。必须满足 NIST SP 800-53、EO 14028 (M-21-31)、ISO/IEC 27001 和 CMMC 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

持久化机制

持久化机制涵盖监控威胁源（威胁嫌疑人）用于实现持久化常驻的各类技术的创建或移除，例如 LaunchAgents、LaunchDaemons 或其他系统级任务。这有助于检测攻击者在 macOS 系统中建立的隐蔽、长期的立足点。必须满足 NIST SP 800-53、EO 14028 (M-21-31) 和 DISA STIG 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

卷挂载与设备连接

卷挂载与设备连接涵盖记录卷挂载/卸载，或外部设备（例如 USB 闪存盘、网络设备）连接的事件。这有助于组织收集设备连接日志，以追踪未授权的硬件使用，并防止数据外泄或恶意软件植入。NIST SP 800-53、EO 14028 (M-21-31) 和 PCI DSS 等合规框架要求记录此类遥测数据，以作为满足各框架日志记录规范的一部分。

内置安全事件

内置安全事件旨在捕获来自 macOS 安全工具（例如 XProtect）的事件，并报告恶意软件检测及执行的防御动作。这有助于组织提供主动防御和威胁修复的证据，从而满足恶意软件防护的合规要求。必须满足 NIST SP 800-53、EO 14028 (M-21-31) 和 Cyber Essentials 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

系统配置变更

系统配置变更监控系统设置的变动，例如配置文件安装、VPN 配置以及内核扩展。这有助于执行系统加固策略，并识别未授权的配置偏离。必须满足 NIST SP 800-53、EO 14028 (M-21-31) 和 DISA STIG 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

诊断与崩溃报告

诊断与崩溃报告收集内置及第三方应用程序的诊断与崩溃日志。这些日志有助于识别稳定性问题、未遂的漏洞利用尝试或应用程序配置错误。必须满足 NIST SP 800-55、EO 14028 (M-21-31) 和 ISO/IEC 27001 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

应用程序性能与资源利用率

应用程序性能与资源利用率涵盖记录性能指标，例如 CPU 使用率、能效以及进程和/或应用程序的资源消耗。应用程序性能监控有助于检测资源劫持（例如挖矿劫持）等异常情况，并优化系统以提升运维效率。必须满足 NIST SP 800-53、ISO/IEC 27001 和 Essential 8 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

自定义日志文件采集

自定义日志文件采集涵盖针对特定业务场景，对系统及第三方日志文件进行监控与上报。自定义日志文件采集使组织能够超越默认的遥测范围，对特定的业务工作流或关系到合规的核心流程进行监控。必须满足 NIST SP 800-53、ISO/IEC 27001 和 Essential 8 合规要求的组织，需要记录此类遥测数据，以作为履行各合规框架日志记录要求的一部分。

Mac 端点遥测类别的核心要点

Jamf 赋能 IT 与安全团队，使其能够轻松配置特定类别的遥测数据。针对每个类别，管理员均可根据需求采集特定的遥测数据。具体包含哪些类别？

• 应用程序与进程记录具备继承关系（父子关系）的进程执行情况，并追踪代码签名详情以供验证。
• 访问与身份验证捕获特权提升企图以及管理操作的详细日志，并将其与用户身份及相关进程相关联，以实现可追溯性。
• 用户与群组记录对用户和群组配置的所有变更（例如创建、组变动），并与其他遥测数据（例如特权提升）进行关联分析。
• 持久化检测新增或修改的持久化机制，从而对 macOS 特有的攻击向量提供可视化洞察。
• 硬件与卷追踪外部卷的挂载、卸载以及设备连接，用以检测未经授权的硬件使用行为。
• Apple 安全捕获 Mac 设备内置安全工具所生成的事件。
• 系统捕获敏感的配置变更（例如配置文件安装或内核扩展加载），确保组织能够验证安全设置并识别配置漂移。
• 诊断与崩溃报告捕获诊断报告与崩溃事件，并将其与进程或用户相关联，以进行取证分析。
• 性能指标追踪应用程序效率，助力组织维持运维性能与业务韧性。

开始使用 Jamf 的 Mac 端点遥测

Mac 端点遥测可满足极其丰富的业务场景，赋能组织实现对 Mac 环境的深度可视化监控。Jamf 的 Mac 端点遥测技术可提供无与伦比的可视化能力，交付更准确、可靠且具可操作性的洞察，从而满足您在合规、安全及 IT 运维方面的全方位需求。