macOS 위협 카테고리 개요

다음에서 지원:

이 문서에서는 macOS 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 이러한 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성을 간략하게 설명합니다.

macOS 위협 카테고리의 규칙 집합은 CrowdStrike Falcon, macOS Auditing System (AuditD), Unix 시스템 로그를 사용하여 macOS 환경의 위협을 식별하는 데 도움이 됩니다. 이 카테고리에는 다음 규칙 집합이 포함됩니다.

  • Mandiant 인텔 신규 위협: 이 규칙 집합에는 Mandiant에서 평가한 바와 같이 영향력이 큰 지정학적 및 위협 활동을 다루는 Mandiant 인텔리전스 캠페인 및 중요한 사건에서 파생된 규칙이 포함되어 있습니다. 이러한 활동에는 지정학적 분쟁, 악용, 피싱, 악성 광고, 랜섬웨어, 공급망 침해가 포함될 수 있습니다.

지원되는 기기 및 로그 유형

이 섹션에는 각 규칙 집합에 필요한 데이터가 나열되어 있습니다. 다른 EDR 소프트웨어를 사용하여 엔드포인트 데이터를 수집하는 경우 Google Security Operations 담당자에게 문의하세요.

지원되는 모든 Google Security Operations 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

Mandiant 일선 위협 및 Mandiant 인텔 신규 위협 규칙 세트

이러한 규칙 집합은 테스트되었으며 다음과 같은 Google Security Operations 지원 EDR 데이터 소스에서 지원됩니다.

  • Carbon Black(CB_EDR)
  • SentinelOne(SENTINEL_EDR)
  • Crowdstrike Falcon(CS_EDR)

이러한 규칙 집합은 테스트되었으며 다음과 같은 Google Security Operations 지원 EDR 데이터 소스에 최적화되었습니다.

  • Tanium
  • Cybereason EDR(CYBEREASON_EDR)
  • Lima Charlie(LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance(CYLANCE_PROTECT)

이러한 로그를 Google Security Operations에 수집하려면 Google Security Operations에 Google Cloud 데이터 수집을 참고하세요. 다른 메커니즘을 사용하여 이러한 로그를 수집해야 할 경우 Google Security Operations 담당자에게 문의하세요.

지원되는 모든 Google Security Operations 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

macOS 위협 카테고리에서 반환된 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목에서 규칙 집합으로 평가되지 않도록 제외하는 UDM 이벤트 기준을 정의합니다.

규칙 제외 항목을 하나 이상 만들어 이 규칙 집합 또는 규칙 집합의 특정 규칙에 따라 이벤트가 평가되지 않도록 제외하는 UDM 이벤트의 기준을 식별합니다. 이를 수행하는 방법은 규칙 제외 항목 구성을 참조하세요.