Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la categoría Amenazas de macOS

Se admite en los siguientes países:

Google SecOps SIEM

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Amenazas de macOS, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que generan estos conjuntos de reglas.

Los conjuntos de reglas de la categoría Amenazas de macOS ayudan a identificar amenazas en entornos de macOS con CrowdStrike Falcon, el sistema de auditoría de macOS (AuditD) y los registros del sistema Unix. Esta categoría incluye los siguientes conjuntos de reglas:

Amenazas emergentes de Mandiant Intel: Este conjunto de reglas contiene reglas derivadas de las campañas de Mandiant Intelligence y los eventos significativos, que abarcan actividades geopolíticas y de amenazas de gran impacto, según la evaluación de Mandiant. Esta actividad puede incluir conflictos geopolíticos, explotación, phishing, malvertising, ransomware y vulneraciones de la cadena de suministro.

Tipos de dispositivos y registros compatibles

En esta sección, se enumeran los datos que requiere cada conjunto de reglas. Comunícate con tu representante de Google Security Operations si recopilas datos de extremos con un software de EDR diferente.

Para obtener una lista de todas las fuentes de datos compatibles con las Operaciones de seguridad de Google, consulta Análisis predeterminados compatibles.

Conjuntos de reglas de Mandiant Front-Line Threats y Mandiant Intel Emerging Threats

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google Security Operations:

Negro carbón (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Estos conjuntos de reglas se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con las Operaciones de seguridad de Google:

Tanium
EDR de Cybereason (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Para transferir estos registros a Google Security Operations, consulta Cómo transferir datos de Google Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros con un mecanismo diferente.

Para obtener una lista de todas las fuentes de datos compatibles con las Operaciones de seguridad de Google, consulta Análisis predeterminados compatibles.

Cómo ajustar las alertas que muestra la categoría Amenazas de macOS

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

En la exclusión de reglas, defines los criterios de un evento de la AUA que excluye el evento de la evaluación del conjunto de reglas.

Crea una o más exclusiones de reglas para identificar criterios en un evento de la AUA que impidan que este conjunto de reglas o reglas específicas del conjunto evalúen el evento. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.