Cette page a été traduite par l'API Cloud Translation.

Présentation de la catégorie des menaces macOS

Compatible avec:

Google SecOps SIEM

Ce document présente les ensembles de règles de la catégorie "Menaces macOS", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces macOS" aident à identifier les menaces dans les environnements macOS à l'aide de CrowdStrike Falcon, du système d'audit macOS (AuditD) et des journaux système Unix. Cette catégorie comprend les ensembles de règles suivants:

Menaces émergentes de Mandiant Intelligence: cet ensemble de règles contient des règles dérivées des campagnes de renseignement Mandiant et des événements importants, qui couvrent l'activité géopolitique et les menaces à fort impact, selon l'évaluation de Mandiant. Cette activité peut inclure des conflits géopolitiques, de l'exploitation, du hameçonnage, de la publicité malveillante, des rançongiciels et des compromissions de la chaîne d'approvisionnement.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles. Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Ensembles de règles Mandiant Front-Line Threats et Mandiant Intel Emerging Threats

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données EDR suivantes, compatibles avec Google Security Operations:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Ces ensembles de règles sont testés et optimisés pour les sources de données EDR compatibles avec Google Security Operations suivantes:

Tanium
EDR Cybereason (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Pour insérer ces journaux dans Google Security Operations, consultez Ingérer des données Google Cloud dans Google Security Operations. Contactez votre représentant Google Security Operations si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Ajuster les alertes renvoyées par la catégorie "Menaces" de macOS

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Dans l'exclusion de règle, vous définissez les critères d'un événement UDM qui empêche l'événement d'être évalué par l'ensemble de règles.

Créez une ou plusieurs exclusions de règles pour identifier les critères d'un événement UDM qui empêchent l'événement d'être évalué par ce jeu de règles ou par des règles spécifiques du jeu de règles. Pour en savoir plus, consultez la section Configurer des exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.