Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della categoria Minacce per macOS

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce macOS, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi set di regole.

I set di regole nella categoria Minacce macOS aiutano a identificare le minacce negli ambienti macOS utilizzando CrowdStrike Falcon, macOS Auditing System (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

Mandiant Intel Emerging Threats: questo insieme di regole contiene regole derivate da campagne ed eventi significativi di Mandiant Intelligence, che coprono attività geopolitiche e di minacce di grande impatto, valutate da Mandiant. Questa attività può includere conflitti geopolitici, sfruttamento, phishing, malvertising, ransomware e compromissioni della supply chain.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ciascun insieme di regole. Contatta il tuo rappresentante di Google Security Operations se raccogli dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Analizzatori predefiniti supportati.

Set di regole Mandiant Front-Line Threats e Mandiant Intel Emerging Threats

Questi set di regole sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google SecOps:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Questi set di regole vengono testati e ottimizzati per le seguenti origini dati EDR supportate da Google SecOps:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Per importare questi log in Google SecOps, consulta Importare i dati di Google Cloud in Google SecOps. Contatta il tuo rappresentante di Google SecOps se devi raccogliere questi log utilizzando un meccanismo diverso.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Parser predefiniti supportati

Ottimizzazione degli avvisi restituiti dalla categoria Minacce macOS

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che escludono l'evento dalla valutazione da parte del set di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o di regole specifiche dell'insieme di regole. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.