macOS 威胁类别概览
支持的语言:
Google SecOps
SIEM
本文档概述了 macOS 威胁类别中的规则集、所需的数据源,以及可用于调整这些规则集生成的提醒的配置。
macOS 威胁类别中的规则集有助于使用 CrowdStrike Falcon、macOS 审核系统 (AuditD) 和 Unix 系统日志来识别 macOS 环境中的威胁。此类别包括以下规则集:
- Mandiant Intel 新兴威胁:此规则集包含从 Mandiant Intelligence Campaigns and Significant Events 派生的规则,涵盖 Mandiant 评估的具有高度影响力的地缘政治和威胁活动。此类活动可能包括地缘政治冲突、剥削、钓鱼式攻击、恶意广告、勒索软件和供应链入侵。
支持的设备和日志类型
本部分列出了每个规则集所需的数据。如果您使用其他 EDR 软件收集端点数据,请与您的 Google Security Operations 代表联系。
如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的默认解析器。
Mandiant 前线威胁和 Mandiant Intel 新兴威胁规则集
这些规则集已经过测试,并且支持以下 Google SecOps 支持的 EDR 数据源:
- Carbon Black (
CB_EDR) - SentinelOne (
SENTINEL_EDR) - CrowdStrike Falcon (
CS_EDR)
我们正在针对以下 Google SecOps 支持的 EDR 数据源测试和优化这些规则集:
- Tanium
- Cybereason EDR (
CYBEREASON_EDR) - Lima Charlie (
LIMACHARLIE_EDR) - OSQuery
- Zeek
- Cylance (
CYLANCE_PROTECT)
如需将这些日志注入到 Google SecOps,请参阅将 Google Cloud 数据注入到 Google SecOps。如果您需要使用其他机制来收集这些日志,请与您的 Google SecOps 代表联系。
如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的默认解析器
调整 macOS 威胁类别返回的提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
在规则排除项中,您可以定义 UDM 事件的条件,以排除该事件,使其不被规则集评估。
创建一条或多条规则排除项,以标识 UDM 事件中可将相应事件排除在相应规则集或规则集中特定规则的评估范围之外的条件。如需了解具体操作方法,请参阅配置规则排除项。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。