Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

איומים ב-MacOS

נתמך ב:

Google secops SIEM

במאמר הזה מוסבר על קבוצות הכללים בקטגוריה macOS Threats (איומים ב-macOS), על מקורות הנתונים הנדרשים ועל ההגדרות שבהן אפשר להשתמש כדי לשפר את ההתראות שנוצרות על ידי קבוצות הכללים האלה.

קבוצות הכללים בקטגוריה Threats (איומים) ב-macOS עוזרות לזהות איומים בסביבות macOS באמצעות CrowdStrike Falcon, מערכת הביקורת של macOS‏ (AuditD) ויומני המערכת של Unix. הקטגוריה הזו כוללת את קבוצות הכללים הבאות:

‫Mandiant Intel Emerging Threats: קבוצת הכללים הזו מכילה כללים שמקורם בקמפיינים ובאירועים משמעותיים של Mandiant Intelligence, שכוללים פעילות גיאופוליטית ופעילות איומים בעלי השפעה רבה, כפי שמוערך על ידי Mandiant. הפעילות הזו עשויה לכלול סכסוכים גיאו-פוליטיים, ניצול, פישינג, פרסום עם תוכנות זדוניות, תוכנות כופר ופרצות אבטחה בשרשרת האספקה.

מכשירים נתמכים וסוגי יומנים

בקטע הזה מפורטים הנתונים שנדרשים לכל קבוצת כללים. אם אתם אוספים נתוני נקודות קצה באמצעות תוכנת EDR שונה, אתם יכולים לפנות לנציג של Google Security Operations.

רשימה של כל מקורות הנתונים הנתמכים ב-Google SecOps זמינה במאמר בנושא מנתחי ברירת מחדל נתמכים.

קבוצות הכללים Mandiant Front-Line Threats ו-Mandiant Intel Emerging Threats

ערכות הכללים האלה נבדקו והן נתמכות במקורות הנתונים הבאים של EDR שנתמכים ב-Google SecOps:

‫Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
‫Crowdstrike Falcon ‏ (CS_EDR)

אנחנו בודקים ומבצעים אופטימיזציה של קבוצות הכללים האלה למקורות נתונים של EDR שנתמכים ב-Google SecOps:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

כדי להטמיע את היומנים האלה ב-Google SecOps, אפשר לעיין במאמר הטמעה של נתוני Google Cloud ב-Google SecOps. אם אתם צריכים לאסוף את היומנים האלה באמצעות מנגנון אחר, אתם יכולים לפנות לנציג Google SecOps שלכם.

רשימה של כל מקורות הנתונים הנתמכים ב-Google SecOps זמינה במאמר בנושא מנתחי ברירת מחדל נתמכים

שינוי ההגדרות של התראות שמוחזרות מהקטגוריה 'איומים ב-macOS'

אפשר לצמצם את מספר הזיהויים שנוצרים על ידי כלל או קבוצת כללים באמצעות החרגות של כללים.

בהחרגה של הכלל, מגדירים את הקריטריונים של אירוע UDM שגורם להחרגת האירוע מההערכה של קבוצת הכללים.

יוצרים החרגה אחת או יותר של כללים כדי לזהות קריטריונים באירוע UDM שמוציאים את האירוע מההערכה על ידי קבוצת הכללים הזו או על ידי כללים ספציפיים בקבוצת הכללים. הוראות איך לעשות זאת מופיעות במאמר בנושא הגדרת החרגות של כללים.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.