Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della categoria Minacce per macOS

Supportato in:

Google SecOps SIEM

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce macOS, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

I set di regole nella categoria Minacce macOS consentono di identificare le minacce negli ambienti macOS utilizzando CrowdStrike Falcon, il sistema di controllo di macOS (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

Minacce emergenti di Mandiant Intel: questo insieme di regole contiene regole derivate da campagne e eventi significativi di Mandiant Intelligence, che coprono attività geopolitiche e di minacce ad alto impatto, come valutato da Mandiant. Queste attività possono includere conflitti geopolitici, sfruttamento, phishing, pubblicità malware, ransomware e compromissioni della catena di approvvigionamento.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ogni insieme di regole. Contatta il rappresentante di Google Security Operations se raccogli i dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Set di regole Mandiant Front-Line Threats e Mandiant Intel Emerging Threats

Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati EDR supportate da Google Security Operations:

Nero carbone (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Questi insiemi di regole vengono testati e ottimizzati per le seguenti origini dati EDR supportate da Google Security Operations:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Per importare questi log in Google Security Operations, consulta Importare i dati di Google Cloud in Google Security Operations. Contatta il tuo rappresentante di Google Security Operations se devi raccogliere questi log utilizzando un altro meccanismo.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati

Avvisi di ottimizzazione restituiti dalla categoria Minacce macOS

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che ne impediscono la valutazione dall'insieme di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o da regole specifiche nell'insieme di regole. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.