Ringkasan kategori Ancaman macOS

Didukung di:

Dokumen ini memberikan ringkasan tentang set aturan dalam kategori Ancaman macOS, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh set aturan ini.

Kumpulan aturan dalam kategori Ancaman macOS membantu mengidentifikasi ancaman di lingkungan macOS menggunakan CrowdStrike Falcon, Sistem Audit macOS (AuditD), dan log sistem Unix. Kategori ini mencakup set aturan berikut:

  • Mandiant Intel - Ancaman Baru: Kumpulan aturan ini berisi aturan yang berasal dari Kampanye Intelijen dan Peristiwa Penting Mandiant, yang mencakup aktivitas ancaman dan geopolitik yang sangat berdampak, sebagaimana dinilai oleh Mandiant. Aktivitas ini dapat mencakup konflik geopolitik, eksploitasi, phishing, malvertising, ransomware, dan kompromi supply chain.

Perangkat dan jenis log yang didukung

Bagian ini mencantumkan data yang diperlukan oleh setiap set aturan. Hubungi perwakilan Google Security Operations Anda jika Anda mengumpulkan data endpoint menggunakan software EDR yang berbeda.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Kumpulan aturan Mandiant Front-Line Threats dan Mandiant Intel Emerging Threats

Set aturan ini telah diuji dan didukung dengan sumber data EDR yang didukung Google SecOps berikut:

  • Carbon Black (CB_EDR)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Set aturan ini sedang diuji dan dioptimalkan untuk sumber data EDR yang didukung Google SecOps berikut:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Untuk menyerap log ini ke Google SecOps, lihat Menyerap data Google Cloud ke Google SecOps. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengumpulkan log ini menggunakan mekanisme yang berbeda.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman macOS

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, Anda menentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh set aturan.

Buat satu atau beberapa pengecualian aturan untuk mengidentifikasi kriteria dalam peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh set aturan ini atau oleh aturan tertentu dalam set aturan. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.