Esta página foi traduzida pela API Cloud Translation.

Vista geral da categoria Ameaças do macOS

Compatível com:

Google secops SIEM

Este documento fornece uma vista geral dos conjuntos de regras na categoria Ameaças do macOS, as origens de dados necessárias e a configuração que pode usar para otimizar os alertas gerados por estes conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do macOS ajudam a identificar ameaças em ambientes do macOS através do CrowdStrike Falcon, do sistema de auditoria do macOS (AuditD) e dos registos do sistema Unix. Esta categoria inclui os seguintes conjuntos de regras:

Mandiant Intel Emerging Threats: este conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant Intelligence, que abrangem atividades geopolíticas e de ameaças de grande impacto, conforme avaliado pela Mandiant. Esta atividade pode incluir conflitos geopolíticos, exploração, phishing, publicidade maliciosa, ransomware e compromissos da cadeia de fornecimento.

Dispositivos e tipos de registos suportados

Esta secção indica os dados exigidos por cada conjunto de regras. Contacte o seu representante do Google Security Operations se estiver a recolher dados de pontos finais através de software EDR diferente.

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

Conjuntos de regras de ameaças na linha da frente da Mandiant e ameaças emergentes da Mandiant Intel

Estes conjuntos de regras foram testados e são suportados com as seguintes origens de dados de EDR suportadas pelo Google SecOps:

Carbon Black (CB_EDR)
SentinelOne (SENTINEL_EDR)
Crowdstrike Falcon (CS_EDR)

Estes conjuntos de regras estão a ser testados e otimizados para as seguintes origens de dados de EDR suportadas pelo Google SecOps:

Tanium
Cybereason EDR (CYBEREASON_EDR)
Lima Charlie (LIMACHARLIE_EDR)
OSQuery
Zeek
Cylance (CYLANCE_PROTECT)

Para carregar estes registos para o Google SecOps, consulte o artigo Carregue dados do Google Cloud para o Google SecOps. Contacte o seu representante da Google SecOps se precisar de recolher estes registos através de um mecanismo diferente.

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados

Ajustar os alertas devolvidos pela categoria Ameaças do macOS

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Na exclusão de regras, define os critérios de um evento da UDM que exclui o evento de ser avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios num evento de UDM que excluem a avaliação do evento por este conjunto de regras ou por regras específicas no conjunto de regras. Consulte o artigo Configure exclusões de regras para ver informações sobre como o fazer.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.