mac monitor

Der Red Canary Mac Monitor ist ein fortschrittliches, eigenständiges Systemüberwachungstool, das für die MACOS-Sicherheitsforschung, Malware-Triage und System-Fehlerbehebung zugeschnitten ist . Das Nutzen der Apple Endpoint Security (ES) sammelt und bereichert sie Systemereignisse und zeigt sie grafisch an, wobei ein expansives Features -Set so ausgelegt ist, dass nur die für Sie relevanten Ereignisse auftreten. Die gesammelte Telemetrie umfasst neben Rich -Metadaten auch Prozess-, Interprozess- und Dateiereignisse, mit denen Benutzer Ereignisse kontextualisieren und eine Geschichte problemlos erzählen können. Mit einer intuitiven Schnittstelle und einer Reihe von Analysefunktionen wurde Red Canary Mac Monitor für eine Vielzahl von Fähigkeiten und Hintergründen ausgelegt, um macOS -Bedrohungen zu erkennen, die sonst unbemerkt bleiben würden. Im Rahmen des Engagements von Red Canary für die Forschungsgemeinschaft steht das Mac Monitor Distribution Package kostenlos zum Download zur Verfügung.

• Prozessor: Wir empfehlen eine Apple Silicon Machine, aber Intel funktioniert auch!
• Systemspeicher: 4GB+ wird empfohlen
• MacOS -Version: 13.1+ (Ventura)

Homebrew? brew install --cask red-canary-mac-monitor

• Gehen Sie zum Abschnitt "Veröffentlichungen
• Öffnen Sie die App: Red Canary Mac Monitor.app
• Sie werden aufgefordert, die Systemeinstellungen zu öffnen, um die Systemerweiterung zu "zuzulassen".
• Als nächstes öffnen sich die Systemeinstellungen automatisch für den Full Disk Access - Sie müssen den Schalter umdrehen, um dies für die Red Canary Security Extension zu aktivieren. Der vollständige Datenträgerzugriff ist eine Voraussetzung für die Endpoint -Sicherheit.
• ? Umpf klicken Sie in der App auf die Schaltfläche "Starten" und Sie werden aufgefordert, die App erneut zu eröffnen. Erledigt!

• Ereignismonitor -App, die eine XPC -Verbindung zur Sicherheitsverlängerung: /Applications/Red Canary Mac Monitor.app W/Signierkennung von com.redcanary.agent herstellt.
• com.redcanary.agent.securityextension.systemextension : /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension

Homebrew? brew uninstall red-canary-mac-monitor . Wenn Sie diese Option verwenden, werden Sie wahrscheinlich aufgefordert, sich zu authentifizieren, um die Systemerweiterung zu entfernen.

• Löschen Sie vom Finder die App und authentifizieren sich, um die Systemerweiterung zu entfernen. Sie können dies nicht aus dem Dock tun. Es ist so einfach!
• Sie können auch die Sicherheitsverlängerung, wenn Sie in der Menüleiste der App gewünscht werden, oder in die App -Einstellungen entfernen.
• ( 1.0.3 ) unterstützt die Entfernung mithilfe des Skripts ../Contents/SharedSupport/uninstall.sh .

Homebrew? brew update && brew upgrade red-canary-mac-monitor . Wenn Sie diese Option verwenden, werden Sie wahrscheinlich aufgefordert, sich zu authentifizieren, um die Systemerweiterung zu entfernen.

• Wenn eine neue Version für Sie zum Herunterladen verfügbar ist, machen wir eine neue Version.
• Wir werden aktualisierte Notizen und Telemetriezusammenfassungen (falls zutreffend) für jede Version einbeziehen.
• Alles, was Sie als Endbenutzer tun müssen, müssen das Update herunterladen und das Installationsprogramm ausführen. Wir werden uns um den Rest kümmern.

Hier werden wir veranstalten:

• Das Verteilungspaket für die einfache Installation. Siehe Abschnitt Releases . Jeder Hauptbau entspricht einem Codenamen. Der erste dieser Builds ist GoldCardinal .
• Telemetrieberichte in Telemetry reports/ (dh alle Artefakte, die von der Sicherheitsverlängerung gesammelt werden können).
• Ikonographie (was die Symbole und Farben bedeuten) in Iconography/
• Aktualisierte Stummschaltmengen Zusammenfassungen in Mute sets/
• AtomicESClient ist ein separates, aber sehr eng verwandtes Projekt, das die Seile der Endpoint -Sicherheit zeigt, wie es in: AtomicESClient/ ausgeht

Darüber hinaus können Sie auch hier Feature -Anfragen und Fehlerberichte einreichen. Beim Erstellen eines neuen Problems können Sie eine der beiden vorgesehenen Vorlagen verwenden. Beide Optionen sind auch über das In-App-Menü "Help" zugänglich.

• Feature -Anfrage
• Fehlerbericht

Jede Version von Red Canary Mac Monitor verfügt über einen entsprechenden Build -Namen und eine Versionsnummer. Die erste Version enthält den Build -Namen von: GoldCardinal und Versionsnummer 1.0.1 .

• Die Ereignisse der High Fidelity ES modelliert und angereichert mit einigen Ereignissen, die eine weitere Anreicherung enthalten. Beispielsweise ist ein Prozess, der von Dateien unter Quarantänewahrnehmung, eine Quarantäne gestellt wird, zahlreiche Zertifikate usw., usw.

• Dynamische Laufzeit -Event -Abonnements . Sie haben die Möglichkeit, Ihre Ereignisabonnements vor Ort zu ändern, sodass Sie das Geräusch reduzieren können, während Sie Spuren durcharbeiten.

• Pfadstaub auf API -Ebene - Das Endpoint -Sicherheitsteam von Apple hat in letzter Zeit viel daran gearbeitet, fortgeschrittene Pfadmuting- / Inversionsfunktionen zu ermöglichen. Hier behandeln wir die Mehrheit der API -Funktionen: es_mute_path und es_mute_path_events zusammen mit den Arten von ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX und ES_MUTE_PATH_TYPE_TARGET_LITERAL . Im Moment unterstützen wir die Inversion nicht. Ich würde es lieben, wenn das ES-Team die Inversion pro Ereignis anstatt pro Klient hinzufügte .

• Detaillierte Ereignisfakten . Klicken Sie mit der rechten Maustaste auf ein Ereignis in einer Tabellenzeile, um auf Ereignismetadaten zuzugreifen, Optionen zu filtern, zu verurteilen und abzuschreiben. Der Kern der Benutzererfahrung ist die Fähigkeit, in ein bestimmtes Ereignis oder eine Reihe von Ereignissen einzusteigen. Um diese Funktionalität zu ermöglichen, haben wir „Event -Fakten“ -Faktoren entwickelt, die Metadaten / zusätzliche Anreicherung über ein bestimmtes Ereignis enthalten. Jedes Ereignis verfügt über eine kuratierte Set -Metadaten, die angezeigt wird. Beispielsweise enthält Prozessausführungsereignisse im Allgemeinen Code -Signierungsinformationen, Umgebungsvariablen, korrelierte Ereignisse usw. Im Folgenden werden Beispiele für die Erstellung von Dateien und BTM -Startelemente hinzugefügt Ereignisfakten.

• Die Ereigniskorrelation ist eine außergewöhnlich wichtige Komponente im Werkzeuggürtel eines Analysten. Die Fähigkeit zu sehen, welche Ereignisse "mit einem anderen" zusammenhängen, ermöglicht es Ihnen, die Telemetrie auf eine Weise zu manipulieren, die sinnvoll ist (außer einfach auf JSON oder ein individuelles Ereignis darzustellen). Wir führen die Ereigniskorrelation auf der Prozessebene durch - dies bedeutet, dass wir für ein bestimmtes Ereignis (mit einem initiierenden und/oder Zielprozess) Ereignisse, die ein bestimmtes Prozess angelegt haben, tief verknüpfen können.

• Die Prozessgruppierung ist eine weitere hilfreiche Möglichkeit, die Prozesselemetrie um eine gegebene ES_EVENT_TYPE_NOTIFY_EXEC oder ES_EVENT_TYPE_NOTIFY_FORK zu repräsentieren. Durch die Gruppierung von Prozessen auf diese Weise können Sie die Aktivitätskette leicht identifizieren.

• Mit der Artefaktfilterung können Benutzer Ereignisse aus der Ansicht entfernen (aber nicht zerstören), basierend auf: Ereignisart, Initiierungsprozessweg oder Zielprozessweg. Mit dieser herausragenden Funktion können Analysten das Rauschen schnell durchschneiden und gleichzeitig alle Daten beibehalten.

  • Verlusttöne Filterung (dh Ereignisse, die aus der Spur fallen gelassen werden) ist auch in Form von "Ablösten von Plattformbinärdateien" erhältlich - eine weitere nützliche Technik, um das Rauschen zu durchschneiden.

• Telemetrieexport . Im Moment unterstützen wir Pretty JSON und JSONL (ein JSON-Objekt pro Linie) für die vollständige oder partielle Systemverfolgung (Tastaturverknüpfungen auch). Sie können auf diese Optionen in der Menüleiste unter "Telemetrie exportieren" zugreifen.
• Prozess der Subtree -Erzeugung . Beim Anzeigen des Event -Fakten -Fensters für ein bestimmtes Ereignis versuchen wir, einen Subbree für Prozesslinien in der linken Seitenleiste zu generieren. Dieser Baum ist unlösbar - klicken Sie auf einen beliebigen Prozess und Sie werden zu seinen Veranstaltungsfakten gebracht. In ähnlicher Weise können Sie mit der rechten Maustaste auf einen beliebigen Prozess im Baum klicken, um die Fakten für dieses Ereignis herauszuholen .
• Dynamisches Ereignisverteilungsdiagramm . Dies ist eine lustige, die das Swiftui -Team ermöglicht. Die Grafik zeigt die Verteilung der Ereignisse, die Sie abonniert haben, die derzeit in den SCOPE (dh nicht gefiltert) sind, und haben eine Anzahl mehr als nichts. Auf diese Weise können Sie sehr schnell laute Ereignisse identifizieren. Das Diagramm automatisch shows/versteckt sich selbst, aber Sie können es mit der Taste "Mini-Chart" in der Symbolleiste zurückbringen.

• Ein weiteres sehr wichtiges Merkmal eines dynamischen Analyse -Tools besteht darin, einen Ereignisbegrenzer oder eine ineffiziente Implementierung des Ereignisses der Benutzererfahrung im Wege zu lassen. Um dies zu beheben (das Beste, was wir derzeit können) haben wir einen asynchronen übergeordneten / kindlichen Kerndatenstapel implementiert, der unsere Ereignisse als „Entitäten“ speichert. Auf diese Weise können wir praktisch unbegrenzte Ereignisse mit Mac Monitor speichern. Obwohl die Zeit der Einfügungen anstrengender wird, wird die Ereignisgrenze sehr groß.
• Da Mac Monitor auf einer Sicherheitsverlängerung basiert, die immer im Hintergrund (wie ein EDR -Sensor) ausgeführt wird, haben wir die Funktionalität so gebacken, dass es keine Ereignisse verarbeitet, wenn eine Systemverfolgung nicht auftritt . Dies bedeutet, dass die Erweiterung der Red Canary Security ( com.redcanary.agent.securityextension ) nicht unnötig Ressourcen / Batterieleistung verwendet, wenn eine Spur auftritt.
• Verteilungspaket: Der Installationsprozess wird häufig übersehen . Wenn Benutzer jedoch kein gutes Verständnis dafür haben, was installiert wird, oder wenn es zu komplex ist, die Eintrittsbarriere zu installieren, ist möglicherweise gerade hoch genug, um Menschen davon abzuhalten, es zu verwenden. Aus diesem Grund versenden wir Mac Monitor als notarielles Verteilungspaket.

Wir wissen, wie sehr Sie gerne aus dem Quellcode und/oder erstellen Sie Tools oder kommerzielle Produkte. Derzeit wird Mac Monitor jedoch als kostenloses Tool mit geschlossenem Quellen verteilt. Genießen Sie das, was angeboten wird, und bitte geben Sie weiterhin Ihr großartiges Feedback. Zögern Sie nicht, sich zu wenden, ob es einen Aspekt der Implementierung gibt, über das Sie gerne mehr erfahren würden. Wir sind ein offenes Buch, wenn es darum geht, alle Dinge implementieren, nutzend und Forschungsmethoden zu verwenden.