mac monitor

Red Canary Mac Monitor est un outil avancé de surveillance du système autonome sur mesure pour la recherche sur la sécurité MACOS, le triage de logiciels malveillants et le dépannage du système . Exploitant Apple Endpoint Security (ES), il collecte et enrichit les événements système, les affichant graphiquement, avec un ensemble de fonctionnalités étendu conçu pour faire surface uniquement les événements qui vous permettent. La télémétrie collectée comprend des événements de processus, d'interprocess et de fichiers en plus des métadonnées riches, permettant aux utilisateurs de contextualiser les événements et de raconter une histoire avec facilité. Avec une interface intuitive et un riche ensemble de fonctionnalités d'analyse, Red Canary Mac Monitor a été conçu pour un large éventail de niveaux de compétence et d'arrière-plan pour détecter les menaces macOS qui autrement passeraient inaperçues. Dans le cadre de l'engagement de Red Canary envers la communauté de recherche, le package de distribution Mac Monitor est disponible en téléchargement gratuitement.

• Processeur: Nous recommandons une machine Apple Silicon , mais Intel fonctionne également!
• Mémoire système: 4GB+ est recommandé
• Version MacOS: 13.1+ (Ventura)

Homebrew? brew install --cask red-canary-mac-monitor

• Accédez à la section des versions et téléchargez le dernier installateur: https://github.com/redcanaryco/mac-monitor/releases
• Ouvrez l'application: Red Canary Mac Monitor.app
• Vous serez invité à "ouvrir les paramètres du système" pour "permettre" l'extension du système.
• Ensuite, les paramètres système s'ouvriront automatiquement à Full Disk Access - vous devrez retourner le commutateur pour l'activer pour l' Red Canary Security Extension . L'accès complet au disque est une exigence de sécurité des points de terminaison.
• ? ️ Cliquez sur le bouton "Démarrer" dans l'application et vous serez invité à rouvrir l'application. Fait!

• L'application du moniteur d'événements qui établit une connexion XPC à l'extension de sécurité: /Applications/Red Canary Mac Monitor.app avec identifiant de signature de com.redcanary.agent .
• Extension de sécurité: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension SystemExtensions/../com.redcanary.agent.securityExtension.SystemExtension avec identifiant de signature de com.redcanary.agent.securityextension.systemextension .

Homebrew? brew uninstall red-canary-mac-monitor . Lorsque vous utilisez cette option, vous serez probablement invité à s'authentifier pour supprimer l'extension du système.

• Depuis le Finder, supprimez l'application et authentifiez pour supprimer l'extension du système. Vous ne pouvez pas faire cela à partir du quai. C'est aussi facile!
• Vous pouvez également supprimer l'extension de sécurité si vous le souhaitez dans la barre de menu de l'application ou en entrant dans les paramètres de l'application.
• ( 1.0.3 ) prend en charge la suppression à l'aide du script ../Contents/SharedSupport/uninstall.sh .

Homebrew? brew update && brew upgrade red-canary-mac-monitor . Lorsque vous utilisez cette option, vous serez probablement invité à s'authentifier pour supprimer l'extension du système.

• Lorsqu'une nouvelle version est disponible pour que vous puissiez télécharger, nous ferons une nouvelle version.
• Nous inclurons des notes mises à jour et des résumés de télémétrie (le cas échéant) pour chaque version.
• Tout ce que vous, en tant qu'utilisateur final, devra faire est de télécharger la mise à jour et d'exécuter l'installateur. Nous nous occuperons du reste.

Ici, nous hébergerons:

• Le package de distribution pour une installation facile. Voir la section Releases . Chaque version majeure correspond à un nom de code. La première de ces constructions est GoldCardinal .
• Rapports de télémétrie dans Telemetry reports/ (c'est-à-dire tous les artefacts qui peuvent être collectés par l'extension de sécurité).
• Iconographie (ce que signifient les symboles et les couleurs) dans Iconography/
• Résumés de sets de muet mis à jour dans Mute sets/
• AtomicESClient est un projet séparé mais très étroitement lié montrant les cordes de la sécurité des terminaux vérifiez-le dans: AtomicESClient/

De plus, vous pouvez également soumettre des demandes de fonctionnalités et des rapports de bogues. Lors de la création d'un nouveau problème, vous pourrez utiliser l'un des deux modèles fournis. Ces deux options sont également accessibles à partir du menu "Aide" dans l'application.

• Demande de fonctionnalité
• Rapport de bogue

Chaque version de Red Canary Mac Monitor a un nom et un numéro de version correspondants. La première version a le nom de construction de: GoldCardinal et numéro de version 1.0.1 .

• Les événements High Fidelity ES sont modélisés et enrichis avec certains événements contenant un enrichissement supplémentaire. Par exemple, un processus étant de fichier Away-Aware, un fichier en mise en quarantaine, des certificats de signature de code, etc.

• Abonnements à l'événement dynamique Runtime ES . Vous avez la possibilité de modifier la volée de vos abonnements d'événements - vous permettant de réduire le bruit pendant que vous travaillez à travers des traces.

• Path Mutting au niveau de l'API - L'équipe de sécurité des points finaux d'Apple a récemment mis beaucoup de travail à permettre des capacités avancées de mutation / d'inversion de chemin avancées. Ici, nous couvrons la majorité des fonctionnalités de l'API: es_mute_path et es_mute_path_events ainsi que les types d' ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX , et ES_MUTE_PATH_TYPE_TARGET_LITERAL . À l'heure actuelle, nous ne soutenons pas l'inversion. J'adorerais que l'équipe ES ajoute une inversion sur une base par événement au lieu du client .

• Faits d'événements détaillés . Faites un clic droit sur tout événement dans une ligne de table pour accéder aux métadonnées de l'événement, au filtrage, à la tutage et à la désabonnement des options. Le cœur de l'expérience utilisateur est la possibilité de percer un événement ou un ensemble d'événements donné. Pour activer cette fonctionnalité, nous avons développé des fenêtres «Facts d'événements» qui contiennent des métadonnées / enrichissement supplémentaire sur un événement donné. Chaque événement a une métadonnée définie organisée qui est affichée. Par exemple, les événements d'exécution de processus contiendront généralement des informations de signature de code, des variables d'environnement, des événements corrélés, etc. Vous trouverez ci-dessous des exemples de création de fichiers et de faits d'événements de lancement de BTM.

• La corrélation des événements est un composant exceptionnellement important dans la ceinture d'outils de tout analyste. La possibilité de voir quels événements sont "liés" à un autre vous permet de manipuler la télémétrie d'une manière qui a du sens (autre que de simplement passer à JSON ou de représenter un événement individuel). Nous effectuons une corrélation d'événements au niveau du processus - cela signifie que pour un événement donné (qui a un processus d'initiation et / ou cible), nous pouvons lier profondément les événements que tout processus donné a déclenché.

• Le regroupement de processus est un autre moyen utile de représenter la télémétrie de processus autour d'un ES_EVENT_TYPE_NOTIFY_EXEC donné ou ES_EVENT_TYPE_NOTIFY_FORK . En regroupant les processus de cette manière, vous pouvez facilement identifier la chaîne d'activité.

• Le filtrage d'artefact a permis aux utilisateurs de supprimer (mais de ne pas détruire) les événements de la vue en fonction de: type d'événement, trajet de processus de lancement ou chemin de processus cible. Cette fonction exceptionnelle permet aux analystes de couper rapidement le bruit tout en conservant toutes les données.

  • Le filtrage avec perte (c'est-à-dire les événements qui sont supprimés de la trace) est également disponible sous la forme de "binaires de plate-forme de dépôt" - une autre technique utile pour couper le bruit.

• Exportation de télémétrie . À l'heure actuelle, nous prenons en charge Pretty JSON et JSONL (un objet JSON par ligne) pour la trace système complète ou partielle (raccourcis clavier également). Vous pouvez accéder à ces options dans la barre de menus sous "Télémétrie d'exportation".
• Processus Génération du sous-arbre . Lors de la visualisation de la fenêtre des faits de l'événement pour tout événement donné, nous tenterons de générer un sous-arbre de lignée de processus dans la barre latérale de gauche. Cet arbre est intraitable - cliquez sur n'importe quel processus et vous serez emmené à ses faits d'événements. De même, vous pouvez cliquer avec le bouton droit sur tout processus de l'arborescence pour sortir les faits de cet événement .
• Tableau de distribution d'événements dynamiques . C'est un plaisir pour l'équipe Swiftui. Le graphique montre la distribution des événements auxquels vous êtes abonné, actuellement dans le scope (c'est-à-dire non filtré), et a un nombre de plus que rien. Cela vous permet d'identifier très rapidement des événements bruyants. Le graphique se maîtrise automatiquement, mais vous pouvez le ramener avec le bouton: "mini-chapitre" dans la barre d'outils.

• Une autre caractéristique très importante de tout outil d'analyse dynamique consiste à ne pas laisser un limiteur d'événement ou une mise en œuvre de la mémoire inefficace entraver l'expérience utilisateur. Pour résoudre ce problème (le mieux que nous pouvons actuellement), nous avons mis en œuvre une pile de données de base parent / enfant asynchrones qui stocke nos événements en tant que «entités» en mémoire. Cela nous permet de stocker des événements pratiquement illimités avec Mac Monitor. Cependant, le temps des insertions devient plus éprouvant à mesure que la limite des événements devient très importante.
• Étant donné que Mac Monitor est basé sur une extension de sécurité qui s'exécute toujours en arrière-plan (comme un capteur EDR), nous avons cuit des fonctionnalités de telle sorte qu'il ne traite pas d'événements lorsqu'une trace du système ne se produit pas . Cela signifie que l'extension de sécurité Red Canary ( com.redcanary.agent.securityextension ) n'utilisera pas inutilement des ressources / de la batterie lorsqu'une trace ne se produit pas.
• Package de distribution: Le processus d'installation est souvent négligé . Cependant, si les utilisateurs n'ont pas une bonne compréhension de ce qui est installé ou s'il est trop complexe pour installer la barrière à l'entrée pourrait être assez élevée pour dissuader les gens de l'utiliser. C'est pourquoi nous expédions Mac Monitor comme un ensemble de distribution notarié.

Nous savons à quel point vous aimeriez apprendre du code source et / ou des outils de construction ou des produits commerciaux en plus de cela. Actuellement, cependant, Mac Monitor sera distribué en tant qu'outil gratuit de source fermée. Profitez de ce qui est offert et continuez à fournir vos excellents commentaires. De plus, n'hésitez jamais à tendre la main s'il y a un aspect de la mise en œuvre que vous aimeriez en savoir plus. Nous sommes un livre ouvert en ce qui concerne le saut de tout ce qui concerne la mise en œuvre, l'utilisation et la méthodologie de recherche.