Esta página foi traduzida pela API Cloud Translation.

Visão geral da categoria Ameaças do macOS

Compatível com:

Google SecOps SIEM

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do macOS, das fontes de dados necessárias e da configuração que pode ser usada para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do macOS ajudam a identificar ameaças em ambientes do macOS usando o CrowdStrike Falcon, o sistema de auditoria do macOS (AuditD) e os registros do sistema Unix. Esta categoria inclui os seguintes conjuntos de regras:

Ameaças emergentes da Mandiant Intel: este conjunto de regras contém regras derivadas das campanhas de inteligência da Mandiant e de eventos significativos, que abrangem atividades geopolíticas e de ameaças de grande impacto, conforme avaliado pela Mandiant. Essa atividade pode incluir conflito geopolítico, exploração, phishing, malvertising, ransomware e comprometimento da cadeia de suprimentos.

Dispositivos e tipos de registro compatíveis

Esta seção lista os dados necessários para cada conjunto de regras. Entre em contato com seu representante do Google Security Operations se estiver coletando dados de endpoints usando um software EDR diferente.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Conjuntos de regras de ameaças da Mandiant e ameaças emergentes da Mandiant

Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados de EDR aceitas pelo Google Security Operations:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
CrowdStrike Falcon (CS_EDR)

Esses conjuntos de regras estão sendo testados e otimizados para as seguintes fontes de dados de EDR com suporte às operações de segurança do Google:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Para fazer a ingestão desses registros no Google Security Operations, consulte Ingerir dados do Google Cloud para o Google Security Operations. Entre em contato com seu representante das Operações de Segurança do Google se precisar coletar esses registros usando outro mecanismo.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Como ajustar os alertas retornados pela categoria Ameaças do macOS

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regras, você define os critérios de um evento da UDM que impede que o evento seja avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios em um evento do UDM que impedem que o evento seja avaliado por esse conjunto de regras ou por regras específicas no conjunto. Consulte Configurar exclusões de regras para informações sobre como fazer isso.