macOS 脅威のカテゴリの概要

このドキュメントでは、macOS 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

macOS 脅威カテゴリのルールセットは、CrowdStrike Falcon、macOS 監査システム（AuditD）、Unix システムログを使用して macOS 環境の脅威を特定するのに役立ちます。このカテゴリには、次のルールセットが含まれます。

• Mandiant Intel Emerging Threats: このルールセットには、Mandiant のインテリジェンス キャンペーンと重要なイベントから導出されたルールが含まれています。これらのルールは、Mandiant が評価した、影響の大きい地政学的脅威活動を対象としています。こうした活動には、地政学的紛争、不正使用、フィッシング、マルバタイジング、ランサムウェア、サプライ チェーンの侵害が含まれます。

サポート対象のデバイスとログタイプ

このセクションでは、各ルールセットに必要なデータについて説明します。別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Mandiant Front-Line Threats ルールセットと Mandiant Intel Emerging Threats ルールセット

これらのルールセットはテスト済みであり、Google Security Operations のサポート対象となっている次の EDR データソースでサポートされています。

• Carbon Black (CB_EDR)
• SentinelOne (SENTINEL_EDR)
• Crowdstrike Falcon (CS_EDR)

これらのルールセットは、Google Security Operations のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

• Tanium
• Cybereason EDR (CYBEREASON_EDR)
• Lima Charlie (LIMACHARLIE_EDR)
• OSQuery
• Zeek
• Cylance (CYLANCE_PROTECT)

これらのログを Google Security Operations に取り込むには、Google Cloud データを Google Security Operations に取り込むをご覧ください。別の仕組みを使用してこれらのログを収集する必要がある場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください

macOS 脅威のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。

1 つ以上のルール除外を作成して、このルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外する UDM イベントの条件を識別します。これを行う方法については、ルール除外を構成するをご覧ください。