Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Kategorie „MacOS-Bedrohungen“

Unterstützt in:

Google SecOps SIEM

In diesem Dokument finden Sie einen Überblick über die Regelsätze in der Kategorie „MacOS-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Mit Regelsätzen in der Kategorie „MacOS-Bedrohungen“ können Sie Bedrohungen in macOS-Umgebungen mithilfe von CrowdStrike Falcon, dem macOS Auditing System (AuditD) und Unix-Systemprotokollen erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence-Kampagnen und wichtigen Ereignissen abgeleitet wurden. Sie decken geopolitische und Bedrohungsaktivitäten mit hoher Auswirkung ab, die von Mandiant bewertet wurden. Zu diesen Aktivitäten gehören geopolitische Konflikte, Ausbeutung, Phishing, Malvertising, Ransomware und Manipulationen der Lieferkette.

Unterstützte Geräte und Protokolltypen

In diesem Abschnitt sind die für jeden Regelsatz erforderlichen Daten aufgeführt. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, wenn Sie Endpunktdaten mit einer anderen EDR-Software erfassen.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Regelsätze für Mandiant Front-Line Threats und Mandiant Intel Emerging Threats

Diese Regelsätze wurden getestet und werden von den folgenden von Google Security Operations unterstützten EDR-Datenquellen unterstützt:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Diese Regelsätze werden für die folgenden von Google Security Operations unterstützten EDR-Datenquellen getestet und optimiert:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Informationen zum Aufnehmen dieser Logs in Google Security Operations finden Sie unter Google Cloud-Daten in Google Security Operations aufnehmen. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, wenn Sie diese Protokolle mit einem anderen Mechanismus erfassen müssen.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Optimierung von Benachrichtigungen, die von der macOS-Kategorie „Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das vom Regelsatz ausgeschlossen werden soll.

Erstellen Sie eine oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis anzugeben, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln in diesem Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten