Jamf ProtectでAirDropの転送データの漏洩を防ぐ

Jamf Protectは、Unified Logging のデータを一元管理することで、フィルタリングや検索を可能にします。例えば、AirDropの転送を検知してログに記録し、データ漏洩の可能性を防ぐことができます。

June 2 2021 投稿者

Haddayr Copley-Woods

Unified Loggingによるテキストベースのログの改善

テキストベースのログは、MacやUnixシステムの情報を知りたいIT部門やセキュリティ部門にとって重要な情報です。しかし、これらのログは巨大で数が多いことに加え、非常に冗長であることが多く、関連する情報を見つけるのが困難でした。Unified Loggingは、このような欠点を解消するために、典型的なUnixスタイルのログに代わるものとして、2016年9月にmacOS Sierra（10.12）に導入されました。Unified Logにより、管理者が1つのツールですべてのシステムログとアプリケーションログを一度に調べることができ、関連する情報を検索して調べることができます。これにより、管理者は以下のようなデバイスの情報をすばやく把握することができるようになりました。

認証の試行
アカウントの作成/削除
パスワードの変更
SSHアクティビティ
AirDropアクティビティ

など

Unified Loggingの欠点

この新しいUnified Logの最大の欠点は、デバイスにバインドされていることでした。管理者がログを照会するためには、対象となるデバイスに接続し、コンソールを使用する必要があります。ログデータの一元化は組織にとって共通のニーズであるだけに、このことは多くの複雑さをもたらしました。

Jamf Protect による Macのログデータの一元管理

Jamf Protectは、組織が再びMacのすべてのログデータを一元化し、Unified Logのクエリ機能から得られるすべてを利用できるようにします。

ここでは、Unified Logを最大限活用する方法と、Jamf Protectがその運用をさらに効率化させる方法について、いくつかの例を挙げて説明します。

AirDropの転送を検出してログに残す

ローカルでは、コンソールで AirDrop のアクティビティを簡単に見つけることができます。

コンソールを開きます
コンソールのアクションメニューで、“Include Info Messages (情報メッセージを含める)”を選択し、操作情報を表示します。
利用可能なログを調べ、"Airdrop "を検索します。
次に、ファイルを転送して、そのファイル名をログで検索します。そのファイル名を含むメッセージを確認します。
プロセスがsharingd、サブシステムがcom.apple.sharingdであることを確認します。
これらをコンソールに入力して、膨大なログの中からいくつかの項目に絞っていきます。ファイル名を含むメッセージが "startSending "で始まっていることに注意して、上部の検索バーに追加の検索条件として入力します。

コマンドラインで行うことも可能です。

"log show"と"log stream"コマンドは、コマンドラインでのConsole.appに相当します
クエリの構文は同じではありませんので、"log help predicates"を使ってコマンドラインの構文に合わせてクエリ述語を作成します

これで完成です。

 log stream --level=info --predicate "process == 'sharingd' and subsystem = 'com.apple.sharing' and category = 'AirDrop' and composedMessage BEGINSWITH[cd] 'startSending'"

どちらも素晴らしいものですが、先に述べたように、エンドユーザのコンピュータ上でローカルに実行されるものに限られます。最近のObjective By The Sea 3.0でのCrowdStrike Servicesチームによる講演に見られるように、フォレンジック調査の際によく使用されています。

もし組織がリアルタイムの可視性を必要とし、一元的にデータをストリーミングしたい場合はどうすればよいでしょうか？

Jamf Protectがお手伝いします。

上記のコマンドライン述語のみを使用し、Jamf Protectの「Unified Logging」セクションを設定するだけで、設定された述語がUnified Logで一致したときに、この情報が中央のSIEMに送信されます。

この設定がエージェントに同期された後、別のAirDrop転送をトリガーすると、ホスト名、シリアル番号、IPなどの関連するホスト情報を含むJSON形式のレポートされたログが表示されます。

このイベントの最も重要な部分は、"Match "に関する情報です。これには、クエリにマッチしたログデータのすべてのタグと、コマンドラインツールやConsole.appで報告されたであろうデータのすべてが含まれます。

下のサンプルレポートでは、AirDrop転送が開始され、ホスト名XCode-JoshuaのMacBook ProからBuckiPhoneというデバイスに「Secrets.png」というファイルが共有されていることが検出されています!

{ "host": { "ips": [ "10.0.0.163", "192.168.225.1", "192.168.8.1" ], "serial": "XXXXXXXXXXXX", "hostname": "Joshua’s MacBook Pro" }, "match": { "tags": [ "airdrop", "dlp" ], "uuid": "F018876C-E49B-4E4C-998C-7E0092DF8032", "event": { "name": "Airdrop Send Initialized", "uuid": "0DBC9894-2EEE-4318-AE3E-990624835F31", "sender": "sharingd", "process": "sharingd", "category": "AirDrop", "subsystem": "com.apple.sharing", "timestamp": 1584501553.142028, "composedMessage": "startSending, validated airdrop items. properties: {\n ConvertMediaFormats = 0;\n Files = (\n {\n ConvertMediaFormats = 0;\n FileBomPath = \"./Secrets.png\";\n FileIsDirectory = 0;\n FileName = \"Secrets.png\";\n FileType = \"public.png\";\n }\n );\n ReceiverComputerName = BuckiPhone;\n ReceiverID = 0122aab707f0;\n VerifiableIdentity = 0;\n}", "senderImagePath": "/usr/libexec/sharingd", "processImagePath": "/usr/libexec/sharingd", "processIdentifier": 489 }, } }

もちろん、これは組織のアクティビティデータを可視化することで得られる恩恵のほんの一部に過ぎません。Unified Logに保存されているすべてのデータを調べ始めれば、次のインシデント対応やコンプライアンスプログラムに役立つ貴重な情報が見つかるはずですし、システムのトラブルシューティングができる可能性もあります。

最先端のセキュリティ製品をお試しください

Jamf Protectのデモをリクエストする

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

メールアドレス（職場）

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。

タグ: