Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la categoría Amenazas para macOS

Compatible con:

Google SecOps SIEM

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Amenazas de macOS, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que generan estos conjuntos de reglas.

Los conjuntos de reglas de la categoría Amenazas de macOS ayudan a identificar amenazas en entornos de macOS con CrowdStrike Falcon, el sistema de auditoría de macOS (AuditD) y los registros del sistema Unix. Esta categoría incluye los siguientes conjuntos de reglas:

Mandiant Intel Emerging Threats: Este conjunto de reglas contiene reglas derivadas de las campañas de inteligencia y los eventos significativos de Mandiant Intelligence, que abarcan la actividad geopolítica y de amenazas de gran impacto, según la evaluación de Mandiant. Esta actividad puede incluir conflictos geopolíticos, explotación, phishing, publicidad maliciosa, ransomware y vulneraciones de la cadena de suministro.

Dispositivos y tipos de registros compatibles

En esta sección, se enumeran los datos que requiere cada conjunto de reglas. Comunícate con tu representante de Google Security Operations si recopilas datos de extremos con un software de EDR diferente.

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

Conjuntos de reglas de Mandiant Front-Line Threats y Mandiant Intel Emerging Threats

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Estos conjuntos de reglas se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con Google SecOps:

Tanium
EDR de Cybereason (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Para transferir estos registros a Google SecOps, consulta Transfiere datos de Google Cloud a Google SecOps. Comunícate con tu representante de Operaciones de seguridad de Google si necesitas recopilar estos registros con otro mecanismo.

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

Ajuste de las alertas que devuelve la categoría Amenazas de macOS

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

En la exclusión de la regla, defines los criterios de un evento UDM que excluye el evento de la evaluación del conjunto de reglas.

Crea una o más exclusiones de reglas para identificar criterios en un evento del UDM que excluyan el evento de la evaluación de este conjunto de reglas o de reglas específicas del conjunto de reglas. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.