Cette page a été traduite par l'API Cloud Translation.

Présentation de la catégorie "Menaces macOS"

Compatible avec :

Google SecOps SIEM

Ce document présente les ensembles de règles de la catégorie "Menaces macOS", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces macOS" permettent d'identifier les menaces dans les environnements macOS à l'aide de CrowdStrike Falcon, du système d'audit macOS (AuditD) et des journaux système Unix. Cette catégorie comprend les ensembles de règles suivants :

Menaces émergentes Mandiant Intelligence : cet ensemble de règles contient des règles dérivées des campagnes et des événements importants de Mandiant Intelligence, qui couvrent les activités géopolitiques et les menaces à fort impact, telles qu'évaluées par Mandiant. Cette activité peut inclure des conflits géopolitiques, de l'exploitation, de l'hameçonnage, du malvertising, des rançongiciels et des compromissions de la chaîne d'approvisionnement.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles. Contactez votre représentant Google Security Operations si vous collectez des données de points de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Ensembles de règles "Menaces de première ligne Mandiant" et "Menaces émergentes Mandiant Intel"

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données EDR Google SecOps suivantes :

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Ces ensembles de règles sont testés et optimisés pour les sources de données EDR compatibles avec Google SecOps suivantes :

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Pour ingérer ces journaux dans Google SecOps, consultez Ingérer des données Google Cloud dans Google SecOps. Contactez votre représentant Google SecOps si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Ajuster les alertes renvoyées par la catégorie "Menaces macOS"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Dans l'exclusion de règle, vous définissez les critères d'un événement UDM qui empêchent l'ensemble de règles d'évaluer l'événement.

Créez une ou plusieurs exclusions de règles pour identifier les critères d'un événement UDM qui empêchent l'évaluation de l'événement par cet ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Pour en savoir plus, consultez Configurer des exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.