Jamf Protect-Connector für Microsoft Sentinel
Der Jamf Protect-Connector bietet die Möglichkeit, rohe Ereignisdaten aus Jamf Protect in Microsoft Sentinel zu lesen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | jamfprotect_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Jamf Software, LLC |
Abfragebeispiele
Jamf Protect – Alle Ereignisse.
jamfprotect_CL
| sort by TimeGenerated desc
Jamf Protect – Alle aktiven Endpunkte.
jamfprotect_CL
| where notempty(input_host_hostname_s)
| summarize Event = count() by input_host_hostname_s
| project-rename HostName = input_host_hostname_s
| sort by Event desc
Jamf Protect – Top 10-Endpunkte mit Warnungen
jamfprotect_CL
| where topicType_s == 'alert' and notempty(input_eventType_s) and notempty(input_host_hostname_s)
| summarize Event = count() by input_host_hostname_s
| project-rename HostName = input_host_hostname_s
| top 10 by Event
Installationsanweisungen des Anbieters
Dieser Connector liest Daten aus der von Jamf Protect erstellten „jamfprotect_CL“-Tabelle in einem Microsoft Analytics-Arbeitsbereich. Wenn die Option Datenweiterleitung in Jamf Protect aktiviert ist, werden rohe Ereignisdaten an die Erfassungs-API von Microsoft Sentinel gesendet.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.