Esta página se ha traducido con Cloud Translation API.

Información general sobre la categoría Amenazas de macOS

Disponible en:

SecOps de Google SIEM

En este documento se ofrece una descripción general de los conjuntos de reglas de la categoría Amenazas de macOS, las fuentes de datos necesarias y la configuración que puede usar para ajustar las alertas generadas por estos conjuntos de reglas.

Los conjuntos de reglas de la categoría Amenazas de macOS ayudan a identificar amenazas en entornos macOS mediante CrowdStrike Falcon, el sistema de auditoría de macOS (AuditD) y los registros del sistema Unix. Esta categoría incluye los siguientes conjuntos de reglas:

Amenazas emergentes de Mandiant Intel: este conjunto de reglas contiene reglas derivadas de las campañas y los eventos significativos de Mandiant Intelligence, que abarcan actividades geopolíticas y de amenazas de gran impacto, según la evaluación de Mandiant. Esta actividad puede incluir conflictos geopolíticos, explotación, phishing, malvertising, ransomware y vulneraciones de la cadena de suministro.

Dispositivos y tipos de registros admitidos

En esta sección se enumeran los datos que requiere cada conjunto de reglas. Ponte en contacto con tu representante de Google Security Operations si recoges datos de endpoints con otro software de EDR.

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.

Conjuntos de reglas de amenazas de primera línea de Mandiant y amenazas emergentes de Mandiant Intel

Estos conjuntos de reglas se han probado y son compatibles con las siguientes fuentes de datos de EDR admitidas por Google SecOps:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
CrowdStrike Falcon (CS_EDR)

Estos conjuntos de reglas se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con Google SecOps:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Para ingerir estos registros en Google SecOps, consulta el artículo Ingerir datos de Google Cloud en Google SecOps. Ponte en contacto con tu representante de Google SecOps si necesitas recoger estos registros con otro mecanismo.

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.

Ajustar las alertas devueltas por la categoría Amenazas de macOS

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

En la exclusión de reglas, se definen los criterios de un evento de UDM que excluye el evento de la evaluación del conjunto de reglas.

Crea una o más exclusiones de reglas para identificar criterios en un evento de datos de gestión unificados que excluyan el evento de la evaluación de este conjunto de reglas o de reglas específicas del conjunto de reglas. Consulta Configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.