mac monitor

Red Canary Mac Monitor es una herramienta avanzada de monitoreo de sistemas independientes a medida para la investigación de seguridad MacOS, el triaje de malware y la solución de problemas del sistema . Aprovechando la seguridad (ES) de Apple Endpoint, recopila y enriquece los eventos del sistema, mostrándolos gráficamente, con un conjunto de características expansivas diseñadas para surgir solo los eventos que son relevantes para usted. La telemetría recopilada incluye eventos de proceso, interrupción y archivo, además de metadatos ricos, lo que permite a los usuarios contextualizar eventos y contar una historia con facilidad. Con una interfaz intuitiva y un rico conjunto de características de análisis, Red Canary Mac Monitor fue diseñado para una amplia gama de niveles de habilidad y fondos para detectar amenazas de macOS que de otro modo pasarían desapercibidos. Como parte del compromiso de Red Canary con la comunidad de investigación, el paquete de distribución de monitor Mac está disponible para descargar de forma gratuita.

• Procesador: Recomendamos una máquina Apple Silicon , ¡pero Intel también funciona!
• Memoria del sistema: se recomienda 4GB+
• Versión de MacOS: 13.1+ (Ventura)

¿Cebre casera? brew install --cask red-canary-mac-monitor

• Vaya a la sección de lanzamientos y descargue el último instalador: https://github.com/redcanaryco/mac-monitor/releases
• Abra la aplicación: Red Canary Mac Monitor.app
• Se le pedirá que "abra la configuración del sistema" para "permitir" la extensión del sistema.
• A continuación, la configuración del sistema se abrirá automáticamente al Full Disk Access : deberá voltear el interruptor para habilitarlo para la Red Canary Security Extension . El acceso completo al disco es un requisito de seguridad de punto final.
• "Haga clic en el botón" Inicio "en la aplicación y se le pedirá que reabriera la aplicación. ¡Hecho!

• Aplicación de monitor de eventos que establece una conexión XPC a la extensión de seguridad: /Applications/Red Canary Mac Monitor.app w/Identificador de firma de com.redcanary.agent .
• Extensión de seguridad: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension con identificador de firma de com.redcanary.agent.securityextension.systemextension .

¿Cebre casera? brew uninstall red-canary-mac-monitor . Al usar esta opción, es probable que se le solicite que se autentique que elimine la extensión del sistema.

• Desde el buscador, elimine la aplicación y se autentica para eliminar la extensión del sistema. No puedes hacer esto desde el muelle. ¡Es tan fácil!
• También puede eliminar la extensión de seguridad si desea en la barra de menú de la aplicación o entrando en la configuración de la aplicación.
• ( 1.0.3 ) admite la eliminación usando el script ../Contents/SharedSupport/uninstall.sh .

¿Cebre casera? brew update && brew upgrade red-canary-mac-monitor . Al usar esta opción, es probable que se le solicite que se autentique que elimine la extensión del sistema.

• Cuando hay una nueva versión disponible para que lo descargue, haremos una nueva versión.
• Incluiremos notas actualizadas y resúmenes de telemetría (si corresponde) para cada versión.
• Todo lo que usted, como el usuario final, deberá hacer es descargar la actualización y ejecutar el instalador. Nos encargaremos del resto.

Aquí estaremos alojando:

• El paquete de distribución para una fácil instalación. Consulte la sección Releases . Cada construcción principal corresponde a un nombre de código. La primera de estas compilaciones es GoldCardinal .
• Informes de telemetría en Telemetry reports/ (es decir, todos los artefactos que pueden ser recopilados por la extensión de seguridad).
• Iconografía (lo que significan los símbolos y los colores) en Iconography/
• Resúmenes de conjunto de mudo actualizado en Mute sets/
• AtomicESClient es un proyecto separado, pero muy relacionado, que muestra las cuerdas de la seguridad de los puntos finales, verifique en: AtomicESClient/

Además, puede enviar solicitudes de funciones e informes de errores aquí también. Al crear un nuevo problema, podrá usar una de las dos plantillas proporcionadas. También se puede acceder a ambas opciones desde el menú "Ayuda" en la aplicación.

• Solicitud
• Informe de error

Cada versión de Red Canary Mac Monitor tiene un nombre de compilación y un número de versión correspondiente. El primer lanzamiento tiene el nombre de construcción de: GoldCardinal y la versión número 1.0.1 .

• Los eventos ES de alta fidelidad modelaron y enriquecieron con algunos eventos que contienen un mayor enriquecimiento. Por ejemplo, un proceso es consciente de la cuarentena, un archivo en cuarentena, certificados de firma de código, etc.

• Dynamic Runtime ES Subscripciones de eventos . Tiene la capacidad de modificar sus suscripciones de eventos, lo que le permite reducir el ruido mientras trabaja a través de trazas.

• Path Muting a nivel API : el equipo de seguridad de punto final de Apple ha puesto mucho trabajo recientemente en habilitar capacidades avanzadas de silenciamiento / inversión. Aquí, cubrimos la mayoría de las características de la API: es_mute_path y es_mute_path_events junto con los tipos de ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX y ES_MUTE_PATH_TYPE_TARGET_LITERAL . En este momento no apoyamos la inversión. Me encantaría que el equipo de ES agregara inversión por evento en lugar de por cliente .

• Datos detallados del evento . Haga clic derecho en cualquier evento en una fila de tabla para acceder a metadatos del evento, filtrado, silenciamiento y cancelación de opciones de suscripción. El núcleo de la experiencia del usuario es la capacidad de profundizar en cualquier evento o conjunto de eventos. Para habilitar esta funcionalidad, hemos desarrollado ventanas de "hechos de eventos" que contienen metadatos / enriquecimiento adicional sobre cualquier evento dado. Cada evento tiene un conjunto de metadatos de conjunto curado que se muestra. Por ejemplo, los eventos de ejecución de procesos generalmente contendrán información de firma de código, variables de entorno, eventos correlacionados, etc. a continuación vea ejemplos de creación de archivos y elemento de lanzamiento BTM Se agregaron hechos de eventos.

• La correlación del evento es un componente excepcionalmente importante en la correa de herramientas de cualquier analista. La capacidad de ver qué eventos están "relacionados" con otros otros le permite manipular la telemetría de una manera que tenga sentido (aparte de simplemente vertiendo a JSON o representar un evento individual). Realizamos la correlación de eventos a nivel de proceso, esto significa que para cualquier evento determinado (que tiene un proceso iniciador y/o objetivo) podemos vincular profundamente los eventos que cualquier proceso dado instigó.

• La agrupación de procesos es otra forma útil de representar la telemetría de proceso alrededor de un evento ES_EVENT_TYPE_NOTIFY_EXEC o ES_EVENT_TYPE_NOTIFY_FORK . Al agrupar procesos de esta manera, puede identificar fácilmente la cadena de actividad.

• El filtrado de artefactos permitió a los usuarios eliminar (pero no destruir) eventos de la vista en función de: tipo de evento, ruta de proceso de iniciación o ruta de proceso de destino. Esta característica destacada permite a los analistas cortar el ruido rápidamente mientras conservan todos los datos.

  • El filtrado con pérdida (es decir, los eventos que se eliminan de la traza) también está disponible en forma de "binarios de plataforma de caída", otra técnica útil para cortar el ruido.

• Exportación de telemetría . En este momento apoyamos a Pretty JSON y JSONL (un objeto JSON por línea) para la traza del sistema completo o parcial (atajos de teclado también). Puede acceder a estas opciones en la barra de menú en "Exportar telemetría".
• Procesar la generación de subárbol . Al ver la ventana de datos del evento para cualquier evento dado, intentaremos generar un subárbol de linaje de proceso en la barra lateral izquierda. Este árbol es intratable: haga clic en cualquier proceso y se le llevará a sus hechos de eventos. Del mismo modo, puede hacer clic derecho en cualquier proceso en el árbol para sacar los hechos para ese evento .
• Gráfico de distribución de eventos dinámicos . Este es divertido habilitado por el equipo Swiftui. El gráfico muestra la distribución de eventos a los que está suscrito, actualmente en el alcance (es decir, no filtrado), y tiene un recuento de más de nada. Esto le permite identificar rápidamente eventos ruidosos. El cuadro de auto-shows/se esconde en sí mismo, pero puede recuperarlo con el botón: "Mini-cable" en la barra de herramientas.

• Otra característica muy importante de cualquier herramienta de análisis dinámico es no permitir que un limitador de eventos o una implementación ineficiente de memoria se interpongan en el camino de la experiencia del usuario. Para abordar esto (lo mejor que podemos), hemos implementado una pila de datos central asíncrono / infantil que almacena nuestros eventos como "entidades" en memoria. Esto nos permite almacenar eventos prácticamente ilimitados con Mac Monitor. Aunque, el tiempo de inserciones se vuelve más exigente a medida que el límite del evento se vuelve muy grande.
• Dado que Mac Monitor se basa en una extensión de seguridad que siempre se ejecuta en segundo plano (como un sensor EDR), horneamos en funcionalidad de modo que no procesa eventos cuando no ocurre una traza del sistema . Esto significa que la extensión de seguridad canaria roja ( com.redcanary.agent.securityextension ) no utilizará innecesariamente recursos / energía de la batería cuando no ocurra un rastro.
• Paquete de distribución: el proceso de instalación a menudo se pasa por alto . Sin embargo, si los usuarios no comprenden bien lo que se está instalando o si es demasiado complejo para instalar la barrera de entrada podría ser lo suficientemente alta como para disuadir a las personas de usarla. Es por eso que enviamos MAC Monitor como un paquete de distribución notarizada.

Sabemos cuánto le encantaría aprender del código fuente y/o crear herramientas o productos comerciales además de esto. Actualmente, sin embargo, Mac Monitor se distribuirá como una herramienta gratuita de código cerrado. Disfrute de lo que se ofrece y continúe proporcionando sus excelentes comentarios. Además, nunca dude en comunicarse si hay un aspecto de la implementación que le encantaría aprender más. Somos un libro abierto cuando se trata de salir sobre todo lo relacionado con la implementación, el uso y la metodología de investigación.