macOS 威脅類別總覽

支援的國家/地區:

本文將概述 macOS 威脅類別中的規則集、必要資料來源,以及可用於調整這些規則集所產生快訊的設定。

macOS 威脅類別中的規則集可使用 CrowdStrike Falcon、macOS Auditing System (AuditD) 和 Unix 系統記錄,識別 macOS 環境中的威脅。這個類別包含下列規則集:

  • Mandiant Intel Emerging Threats:這組規則包含從 Mandiant Intelligence Campaigns 和 Significant Events 衍生而來的規則,涵蓋 Mandiant 評估的高影響力地緣政治和威脅活動。這類活動可能包括地緣政治衝突、剝削、網路釣魚、惡意廣告、勒索軟體和供應鏈入侵。

支援的裝置和記錄類型

本節列出各規則集所需的資料。如果您使用其他 EDR 軟體收集端點資料,請與 Google Security Operations 代表聯絡。

如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的預設剖析器」。

Mandiant Front-Line Threats 和 Mandiant Intel Emerging Threats 規則集

這些規則集已通過測試,並支援下列 Google SecOps 支援的 EDR 資料來源:

  • Carbon Black (CB_EDR)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

這些規則集正在測試及最佳化,適用於下列 Google SecOps 支援的 EDR 資料來源:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

如要將這些記錄檔擷取至 Google SecOps,請參閱「將 Google Cloud 資料擷取至 Google SecOps」。如需使用其他機制收集這些記錄,請與 Google SecOps 代表聯絡。

如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的預設剖析器

調整 macOS 威脅類別傳回的快訊

您可以使用規則排除項目,減少規則或規則集產生的偵測次數。

在規則排除條件中,您可以定義 UDM 事件的條件,排除規則集評估該事件。

建立一或多項規則排除條件,找出 UDM 事件中的條件,將事件排除在規則集或規則集中特定規則的評估範圍外。操作方法請參閱設定規則排除條件一文。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。