Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Kategorie „macOS-Bedrohungen“

Unterstützt in:

Google SecOps SIEM

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „macOS Threats“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Regelsätze in der Kategorie „macOS Threats“ (macOS-Bedrohungen) helfen dabei, Bedrohungen in macOS-Umgebungen mithilfe von CrowdStrike Falcon, dem macOS-Überwachungssystem (AuditD) und Unix-Systemprotokollen zu erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence Campaigns und Significant Events abgeleitet wurden. Er deckt hochwirksame geopolitische und Bedrohungsaktivitäten ab, die von Mandiant bewertet wurden. Diese Aktivitäten können geopolitische Konflikte, Exploits, Phishing, Malvertising, Ransomware und Kompromittierungen der Lieferkette umfassen.

Unterstützte Geräte und Protokolltypen

In diesem Abschnitt werden die Daten aufgeführt, die für die einzelnen Regelsätze erforderlich sind. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, wenn Sie Endpunktdaten mit anderer EDR-Software erfassen.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Regelsätze „Mandiant Front-Line Threats“ und „Mandiant Intel Emerging Threats“

Diese Regelsätze wurden getestet und werden mit den folgenden von Google SecOps unterstützten EDR-Datenquellen unterstützt:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Diese Regelsätze werden für die folgenden von Google SecOps unterstützten EDR-Datenquellen getestet und optimiert:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Informationen zum Aufnehmen dieser Logs in Google SecOps finden Sie unter Google Cloud-Daten in Google SecOps aufnehmen. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie diese Logs mit einem anderen Mechanismus erfassen müssen.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Von der Kategorie „macOS-Bedrohungen“ zurückgegebene Benachrichtigungen optimieren

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das verhindert, dass das Ereignis vom Regelsatz ausgewertet wird.

Erstellen Sie einen oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis zu identifizieren, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten