Visão geral da categoria "Ameaças do macOS"

Compatível com:

Este documento oferece uma visão geral dos conjuntos de regras na categoria "Ameaças do macOS", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria "Ameaças do macOS" ajudam a identificar ameaças em ambientes do macOS usando o CrowdStrike Falcon, o sistema de auditoria do macOS (AuditD) e os registros do sistema Unix. Essa categoria inclui os seguintes conjuntos de regras:

  • Mandiant Intel Emerging Threats: esse conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant, que abrangem atividades geopolíticas e de ameaças de alto impacto, conforme avaliado pela Mandiant. Essa atividade pode incluir conflitos geopolíticos, exploração, phishing, malvertising, ransomware e comprometimentos da cadeia de suprimentos.

Dispositivos e tipos de registros aceitos

Esta seção lista os dados exigidos por cada conjunto de regras. Entre em contato com seu representante do Google Security Operations se você estiver coletando dados de endpoint usando um software de EDR diferente.

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.

Conjuntos de regras de ameaças de linha de frente e ameaças emergentes da Mandiant Intel

Esses grupos de regras foram testados e são compatíveis com as seguintes fontes de dados de EDR do Google SecOps:

  • Carbon Black (CB_EDR)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Esses grupos de regras estão sendo testados e otimizados para as seguintes fontes de dados de EDR compatíveis com o Google SecOps:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Para ingerir esses registros no Google SecOps, consulte Ingerir dados do Google Cloud no Google SecOps. Entre em contato com seu representante do Google SecOps se precisar coletar esses registros usando outro mecanismo.

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis

Ajustar alertas retornados pela categoria "Ameaças do macOS"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regra, você define os critérios de um evento da UDM que o exclui da avaliação pelo conjunto de regras.

Crie uma ou mais exclusões de regra para identificar critérios em um evento da UDM que impedem que ele seja avaliado por esse conjunto de regras ou por regras específicas do conjunto. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.