mac monitor

Red Canary MAC Monitor هي أداة مراقبة النظام المتقدمة والمتاحة للخياطة لأبحاث أمان MACOS ، وفرز البرامج الضارة ، واستكشاف الأخطاء وإصلاحها في النظام . تسخير Apple Endpoint Security (ES) ، فإنه يجمع وإثراء أحداث النظام ، وعرضها بيانياً ، مع مجموعة ميزة واسعة مصممة لتسطح الأحداث ذات الصلة بك فقط. يتضمن القياس عن بُعد الأحداث التي تم جمعها العملية ، والتحول ، والملفات ، بالإضافة إلى البيانات الوصفية الغنية ، مما يسمح للمستخدمين بتوضيح الأحداث ورواية قصة بسهولة. من خلال واجهة بديهية ومجموعة غنية من ميزات التحليل ، تم تصميم Red Canary Mac Monitor لمجموعة واسعة من مستويات المهارة والخلفيات لاكتشاف تهديدات MacOS التي قد تمر دون أن يلاحظها أحد. كجزء من التزام Red Canary بمجتمع الأبحاث ، تتوفر حزمة توزيع Mac Monitor للتنزيل مجانًا.

• المعالج: نوصي بآلة Apple Silicon ، لكن Intel تعمل أيضًا!
• ذاكرة النظام: ينصح 4GB+
• إصدار MacOS: 13.1+ (Ventura)

البيرة؟ brew install --cask red-canary-mac-monitor

• انتقل إلى قسم الإصدارات وقم بتنزيل أحدث تثبيت: https://github.com/redcanaryco/mac-monitor/releases
• افتح التطبيق: Red Canary Mac Monitor.app
• ستتم مطالبتك بـ "فتح إعدادات النظام" "للسماح" بتمديد النظام.
• بعد ذلك ، ستفتح إعدادات النظام تلقائيًا Full Disk Access - ستحتاج إلى قلب المفتاح لتمكين هذا Red Canary Security Extension . الوصول الكامل للقرص هو شرط من أمان نقطة النهاية.
• ️ انقر فوق الزر "ابدأ" في التطبيق وسيتم مطالبتك بإعادة فتح التطبيق. منتهي!

• تطبيق شاشة الحدث الذي ينشئ اتصال XPC بامتداد الأمان: /Applications/Red Canary Mac Monitor.app w/معرف التوقيع من com.redcanary.agent .
• امتداد الأمان: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension مع معرف التوقيع من com.redcanary.agent.securityextension.systemextension .

البيرة؟ brew uninstall red-canary-mac-monitor . عند استخدام هذا الخيار ، من المحتمل أن يُطلب منك المصادقة لإزالة امتداد النظام.

• من Finder حذف التطبيق والتوثيق لإزالة امتداد النظام. لا يمكنك القيام بذلك من قفص الاتهام. هذا سهل!
• يمكنك أيضًا إزالة ملحق الأمان إذا كنت تريد في شريط قائمة التطبيق أو بالانتقال إلى إعدادات التطبيق.
• ( 1.0.3 ) يدعم الإزالة باستخدام Script ../Contents/SharedSupport/uninstall.sh uninstall.sh.

البيرة؟ brew update && brew upgrade red-canary-mac-monitor . عند استخدام هذا الخيار ، من المحتمل أن يُطلب منك المصادقة لإزالة امتداد النظام.

• عندما يكون هناك إصدار جديد متاحًا لك للتنزيل ، سنصدر إصدارًا جديدًا.
• سنقوم بتضمين الملاحظات المحدثة وملخصات القياس عن بعد (إن أمكن) لكل إصدار.
• كل ما عليك ، كمستخدم نهائي ، سيحتاج إلى القيام به هو تنزيل التحديث وتشغيل المثبت. سنعتني بالباقي.

هنا سنستضيف:

• حزمة التوزيع لسهولة التثبيت. انظر قسم Releases . كل بناء رئيسي يتوافق مع اسم رمز. أول هذه البناء هو GoldCardinal .
• تقارير القياس عن بعد في Telemetry reports/ (أي جميع القطع الأثرية التي يمكن جمعها بواسطة امتداد الأمن).
• أيقونة (معنى الرموز والألوان) في Iconography/
• محدثة ملخصات كتم الصوت في Mute sets/
• AtomicESClient هو مشروع منفصل ، ولكنه يرتبط ارتباطًا وثيقًا يوضح الحبال من أمان نقطة النهاية تحقق من ذلك في: AtomicESClient/

بالإضافة إلى ذلك ، يمكنك إرسال طلبات الميزات وتقارير الأخطاء هنا أيضًا. عند إنشاء مشكلة جديدة ، ستتمكن من استخدام أحد القوالب المقدمة. يمكن الوصول إلى كلا هذين الخيارين أيضًا من قائمة "المساعدة" داخل التطبيق.

• طلب الميزة
• تقرير الأخطاء

كل إصدار من Red Canary Mac Monitor لديه اسم بناء مقابل ورقم الإصدار. يحتوي الإصدار الأول على اسم بناء: GoldCardinal Number 1.0.1 .

• أحداث عالية الإخلاص مصممة على غرار ومثرية مع بعض الأحداث التي تحتوي على مزيد من الإثراء. على سبيل المثال ، يتم إدراك العملية التي تُعرف بملفات الحجر الصحي ، وملف يتم عزله ، وشهادات توقيع التعليمات البرمجية ، إلخ.

• اشتراكات حدث في وقت التشغيل الديناميكي . لديك القدرة على تعديل اشتراكات الحدث الخاص بك-مما يتيح لك تقليل الضوضاء أثناء العمل من خلال الآثار.

• مسار كتم على مستوى API - قام فريق أمن نقطة نهاية Apple بدور الكثير من العمل مؤخرًا في تمكين إمكانيات كتم الكتم / الانعكاس المتقدمة. هنا ، نغطي غالبية ميزات API: es_mute_path و es_mute_path_events مع أنواع ES_MUTE_PATH_TYPE_PREFIX ، ES_MUTE_PATH_TYPE_LITERAL ، ES_MUTE_PATH_TYPE_TARGET_PREFIX ، و ES_MUTE_PATH_TYPE_TARGET_LITERAL . الآن نحن لا ندعم الانعكاس. أحب ذلك إذا أضاف فريق ES الانقلاب على أساس كل حدث بدلاً من كل عميل .

• حقائق حدث مفصلة . انقر بزر الماوس الأيمن على أي حدث في صف الجدول للوصول إلى البيانات الوصفية للحدث ، والتصفية ، والتمسك ، وإلغاء الاشتراك. Core لتجربة المستخدم هو القدرة على التحرك في أي حدث معين أو مجموعة من الأحداث. لتمكين هذه الوظيفة ، قمنا بتطوير نوافذ "حقائق الأحداث" التي تحتوي على بيانات تعريف / إثراء إضافي حول أي حدث معين. يحتوي كل حدث على بيانات تعريف منسقة يتم عرضها. على سبيل المثال ، ستتضمن أحداث تنفيذ العمليات عمومًا معلومات توقيع الكود ، ومتغيرات البيئة ، والأحداث المرتبطة ، وما إلى ذلك.

• ارتباط الحدث هو مكون مهم بشكل استثنائي في حزام أداة أي محلل. تتيح لك القدرة على معرفة الأحداث "ذات الصلة" بألفة أخرى من معالجة القياس عن بعد بطريقة منطقية (بخلاف مجرد إلقاء JSON أو تمثيل حدث فردي). نقوم بإجراء ارتباط الأحداث على مستوى العملية - وهذا يعني أنه بالنسبة لأي حدث معين (الذي يحتوي على عملية بدء و/أو مستهدفة) ، يمكننا ربط الأحداث العميقة التي تحرض عليها أي عملية معينة.

• تعتبر تجميع العملية طريقة مفيدة أخرى لتمثيل القياس عن بُعد حول عملية ES_EVENT_TYPE_NOTIFY_EXEC أو ES_EVENT_TYPE_NOTIFY_FORK . من خلال تجميع العمليات بهذه الطريقة ، يمكنك بسهولة تحديد سلسلة النشاط.

• مكّن ترشيح Artifact المستخدمين من إزالة (ولكن لا تدمر) الأحداث من العرض بناءً على: نوع الحدث ، أو بدء مسار العملية ، أو مسار العملية المستهدفة. تمكن هذه الميزة البارزة المحللين من قطع الضوضاء بسرعة مع الحفاظ على جميع البيانات.

  • يتوفر تصفية Lossy (أي أحداث تم إسقاطها من التتبع) أيضًا في شكل "ثنائيات منصة الأسهم" - وهي تقنية أخرى مفيدة لتجاوز الضوضاء.

• التصدير عن بعد . في الوقت الحالي ، ندعم Pretty JSON و JSONL (كائن JSON واحد لكل خط) لتتبع النظام الكامل أو الجزئي (اختصارات لوحة المفاتيح أيضًا). يمكنك الوصول إلى هذه الخيارات في شريط القائمة ضمن "التصدير عن بُعد".
• عملية الجيل الفرعي . عند عرض نافذة حقائق الحدث لأي حدث معين ، سنحاول إنشاء شجرة فرعية من النسب في الشريط الجانبي الأيسر. هذه الشجرة قابلة للشفاء - انقر على أي عملية وسيتم نقلها إلى حقائق الحدث. وبالمثل ، يمكنك النقر بزر الماوس الأيمن على أي عملية في الشجرة لتوضيح الحقائق لهذا الحدث .
• مخطط توزيع الأحداث الديناميكي . هذا ممتع تمكينه من قبل فريق Swiftui. يوضح الرسم البياني توزيع الأحداث التي اشتركت فيها ، حاليًا في النطاق (أي لم يتم ترشيحها) ، ولديها عدد أكثر من لا شيء. يمكّنك ذلك من تحديد الأحداث الصاخبة بسرعة كبيرة . يخفي المخطط التلقائي/يخفي نفسه ، ولكن يمكنك إعادته مع زر: "Mini-Chart" في شريط الأدوات.

• ميزة أخرى مهمة للغاية لأي أداة تحليل ديناميكية هي عدم السماح بتطبيق الحدث أو التنفيذ غير الفعال للذاكرة في طريق تجربة المستخدم. لمعالجة هذا (أفضل ما نستطيع حاليًا) ، قمنا بتنفيذ مكدس بيانات أساسي غير متزامن / تشبه الطفل والذي يخزن أحداثنا كـ "كيانات" في الذاكرة. هذا يمكّننا من تخزين أحداث غير محدودة تقريبًا مع MAC Monitor. على الرغم من أن وقت الإدراج يصبح أكثر فرض ضرائب حيث يصبح حد الحدث كبيرًا جدًا.
• نظرًا لأن MAC Monitor يعتمد على امتداد أمان يعمل دائمًا في الخلفية (مثل مستشعر EDR) ، فقد خبزنا في وظائف بحيث لا يعالج الأحداث عند عدم حدوث تتبع النظام . هذا يعني أن امتداد أمان الكناري الأحمر ( com.redcanary.agent.securityextension ) لن يستخدم دون داع للموارد / طاقة البطارية عند عدم حدوث تتبع.
• حزمة التوزيع: غالبًا ما يتم التغاضي عن عملية التثبيت . ومع ذلك ، إذا لم يكن لدى المستخدمين فهم جيد لما يتم تثبيته أو إذا كان من المعقد للغاية تثبيت الحاجز أمام الدخول قد يكون مرتفعًا بما يكفي لإثني الناس عن استخدامه. هذا هو السبب في أننا نشحن Mac Monitor كحزمة توزيع موثقة.

نحن نعرف مقدار ما تحب أن تتعلمه من الكود المصدر و/أو بناء أدوات أو منتجات تجارية علاوة على ذلك. ومع ذلك ، سيتم توزيع Mac Monitor حاليًا كأداة مجانية ومغلقة. استمتع بما يتم تقديمه ويرجى الاستمرار في تقديم ملاحظاتك الرائعة. بالإضافة إلى ذلك ، لا تتردد أبدًا في التواصل إذا كان هناك جانب واحد من التنفيذ الذي تحب معرفة المزيد عنه. نحن كتاب مفتوح عندما يتعلق الأمر بالتنفيذ حول كل الأشياء المنهجية والاستخدام والبحث.