Teilen über

Jamf Protect-Connector für Microsoft Sentinel

  • Artikel

Der Jamf Protect-Connector bietet die Möglichkeit, rohe Ereignisdaten aus Jamf Protect in Microsoft Sentinel zu lesen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen jamfprotect_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Jamf Software, LLC

Abfragebeispiele

Jamf Protect – Alle Ereignisse.

jamfprotect_CL

| sort by TimeGenerated desc

Jamf Protect – Alle aktiven Endpunkte.

jamfprotect_CL

| where notempty(input_host_hostname_s) 
| summarize Event = count() by input_host_hostname_s

| project-rename HostName = input_host_hostname_s

| sort by Event desc

Jamf Protect – Top 10-Endpunkte mit Warnungen

jamfprotect_CL

| where topicType_s == 'alert' and notempty(input_eventType_s) and notempty(input_host_hostname_s)

| summarize Event = count() by input_host_hostname_s

| project-rename HostName = input_host_hostname_s

| top 10 by Event

Installationsanweisungen des Anbieters

Dieser Connector liest Daten aus der von Jamf Protect erstellten „jamfprotect_CL“-Tabelle in einem Microsoft Analytics-Arbeitsbereich. Wenn die Option Datenweiterleitung in Jamf Protect aktiviert ist, werden rohe Ereignisdaten an die Erfassungs-API von Microsoft Sentinel gesendet.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.