macOS 威胁类别概览
支持的平台:
Google SecOps
SIEM
本文档简要介绍了“macOS 威胁”类别中的规则集、所需的数据源,以及您可以用来调整这些规则集生成的提醒的配置。
macOS 威胁类别中的规则集可帮助您使用 CrowdStrike Falcon、macOS 审核系统 (AuditD) 和 Unix 系统日志识别 macOS 环境中的威胁。此类别包括以下规则集:
- Mandiant 情报新兴威胁:此规则集包含从 Mandiant 情报活动和重大事件派生出的规则,涵盖 Mandiant 评估为具有重大影响的地缘政治和威胁活动。此类活动可能包括地缘政治冲突、剥削、钓鱼式攻击、恶意广告、勒索软件和供应链入侵。
支持的设备和日志类型
本部分列出了每个规则集所需的数据。如果您使用其他 EDR 软件收集端点数据,请与您的 Google Security Operations 代表联系。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器。
Mandiant 一线威胁和 Mandiant 情报新兴威胁规则集
这些规则集已过测试,并受以下 Google Security Operations 支持的 EDR 数据源支持:
- Carbon Black (
CB_EDR) - SentinelOne (
SENTINEL_EDR) - CrowdStrike Falcon (
CS_EDR)
这些规则集正在针对以下 Google Security Operations 支持的 EDR 数据源进行测试和优化:
- Tanium
- Cybereason EDR (
CYBEREASON_EDR) - Lima Charlie (
LIMACHARLIE_EDR) - OSQuery
- Zeek
- Cylance (
CYLANCE_PROTECT)
如需将这些日志注入 Google Security Operations,请参阅将 Google Cloud 数据注入 Google Security Operations。如果您需要使用其他机制收集这些日志,请与您的 Google Security Operations 代表联系。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器
调整 macOS 威胁类别返回的提醒
您可以使用规则排除对象来减少规则或规则集生成的检测数量。
在规则排除项中,您可以定义 UDM 事件的条件,以排除该事件不受规则集的评估。
创建一条或多条规则排除项,以便在 UDM 事件中确定排除该事件不受此规则集或规则集中特定规则评估的条件。如需了解具体操作方法,请参阅配置规则排除项。