mac monitor

Red Canary Mac Monitorは、MacOSセキュリティ研究、マルウェアトリアージ、システムのトラブルシューティング向けの高度なスタンドアロンシステムモニタリングツールです。 Apple Endpointセキュリティ（ES）を活用して、システムイベントを収集および濃縮し、グラフィカルに表示し、あなたに関連するイベントのみを表面化するように設計された広大な機能セットを使用します。収集されたテレメトリーには、リッチメタデータに加えてプロセス、インタープロセス、およびファイルイベントが含まれ、ユーザーがイベントをコンテキスト化してストーリーを簡単に伝えることができます。直感的なインターフェースと豊富な分析機能を備えたRed Canary Mac Monitorは、幅広いスキルレベルと背景用に設計されており、そうでなければ気付かれないMacOSの脅威を検出しました。 Red Canaryの研究コミュニティへのコミットメントの一環として、Mac Monitor Distributionパッケージは無料でダウンロードできます。

• プロセッサ： Apple Siliconマシンをお勧めしますが、 Intelも機能します！
• システムメモリ： 4GB+をお勧めします
• MacOSバージョン： 13.1+ （ベンチュラ）

ホームブリュー？ brew install --cask red-canary-mac-monitor

• リリースセクションに移動し、最新のインストーラーをダウンロードしてください：https：//github.com/redcanaryco/mac-monitor/releases
• アプリを開く： Red Canary Mac Monitor.app
• 「システム設定を開く」ように、システム拡張機能を「許可」するように求められます。
• 次に、システム設定は自動的にFull Disk Accessに開かれます。 Red Canary Security Extensionのためにこれを有効にするためにスイッチをめくる必要があります。完全なディスクアクセスは、エンドポイントセキュリティの要件です。
• ？§アプリの[開始]ボタンをクリックすると、アプリの再開を求められます。終わり！

• セキュリティ拡張機能へのXPC接続を確立するイベントモニターアプリ： /Applications/Red Canary Mac Monitor.app w/singiing com.redcanary.agent 。
• セキュリティ拡張子： /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension systemextensions/../com.redcanary.agent.securityextension.systemextension w/singiing com.redcanary.agent.securityextension.systemextension 。

ホームブリュー？ brew uninstall red-canary-mac-monitor 。このオプションを使用する場合、システム拡張機能を削除するために認証を求める可能性があります。

• Finderからアプリを削除し、認証してシステム拡張機能を削除します。ドックからこれを行うことはできません。そんなに簡単です！
• また、アプリのメニューバーで必要な場合、またはアプリ設定に移動する場合は、セキュリティ拡張機能を削除することもできます。
• （ 1.0.3 ） ../Contents/SharedSupport/uninstall.sh uninstall.shスクリプトを使用した削除をサポートしています。

ホームブリュー？ brew update && brew upgrade red-canary-mac-monitor 。このオプションを使用する場合、システム拡張機能を削除するために認証を求める可能性があります。

• ダウンロードできる新しいバージョンが利用可能な場合は、新しいリリースを作成します。
• リリースごとに更新されたメモとテレメトリーの要約（該当する場合）を含めます。
• エンドユーザーが行う必要があるように、更新をダウンロードしてインストーラーを実行するだけです。残りの世話をします。

ここでホストします：

• 簡単にインストールできる配布パッケージ。 Releasesセクションを参照してください。各主要なビルドは、コード名に対応しています。これらのビルドの最初はGoldCardinalです。
• テレメトリーレポートTelemetry reports/ （つまり、セキュリティ拡張機能によって収集できるすべてのアーティファクト）。
• 図像学/ Iconography/
• Mute sets/
• AtomicESClientは別の、しかし非常に密接に関連するプロジェクトであり、エンドポイントセキュリティのロープを示すプロジェクトを確認してくださいAtomicESClient/

さらに、ここでも機能リクエストとバグレポートを送信できます。新しい問題を作成すると、2つの提供されたテンプレートのいずれかを使用できます。これらのオプションは両方とも、アプリ内の「ヘルプ」メニューからもアクセスできます。

• 機能リクエスト
• バグレポート

Red Canary Macモニターの各リリースには、対応するビルド名とバージョン番号があります。最初のリリースには、BUILD名： GoldCardinalとバージョン番号1.0.1があります。

• 高忠実度ESイベントは、さらに濃縮を含むいくつかのイベントでモデル化および濃縮されています。たとえば、プロセスはファイル隔離されたもの、隔離されているファイル、コード署名証明書などです。

• 動的ランタイムESイベントサブスクリプション。イベントのサブスクリプションをオンザフライで変更する機能があります。トレースを介して作業中にノイズを削減できるようにします。

• APIレベルでのパスミュート- Appleのエンドポイントセキュリティチームは、最近、高度なパスミュースト /反転機能を可能にするために多くの作業を行いました。ここでは、 es_mute_path_eventsとともにES_MUTE_PATH_TYPE_PREFIX es_mute_path 、 ES_MUTE_PATH_TYPE_LITERAL 、 ES_MUTE_PATH_TYPE_TARGET_PREFIX 、 ES_MUTE_PATH_TYPE_TARGET_LITERAL 。今のところ、私たちは反転をサポートしていません。 ESチームがクライアントの代わりにイベントごとに反転を追加した場合、私はそれが大好きです。

• 詳細なイベントの事実。テーブルの行でイベントを右クリックして、イベントメタデータ、フィルタリング、ミュート、および登録解除オプションにアクセスします。ユーザーエクスペリエンスのコアは、特定のイベントまたは一連のイベントにドリルダウンすることができることです。この機能を有効にするために、特定のイベントに関するメタデータ /追加の濃縮を含む「イベントファクト」ウィンドウを開発しました。各イベントには、表示されるキュレートセットメタデータがあります。たとえば、プロセス実行イベントには、通常、コード署名情報、環境変数、相関イベントなどが含まれます。以下に、ファイル作成の例とBTM起動アイテムが追加されたイベントファクトをご覧ください。

• イベント相関は、どのアナリストのツールベルトでも非常に重要なコンポーネントです。どのイベントが1つのイベントに「関連」であるかを確認する機能により、意味のある方法でテレメトリを操作できます（単にJSONにダンプしたり、個々のイベントを表す以外）。これは、プロセスレベルでイベント相関を実行します。これは、特定のイベント（開始および/またはターゲットプロセスがある）では、特定のプロセスが扇動したイベントを深くリンクできることを意味します。

• プロセスグループ化は、特定のES_EVENT_TYPE_NOTIFY_EXECまたはES_EVENT_TYPE_NOTIFY_FORKイベントを中心にプロセステレメトリを表現するもう1つの役立つ方法です。この方法でプロセスをグループ化することにより、アクティビティチェーンを簡単に識別できます。

• Artifactフィルタリングにより、ユーザーはイベントの種類、プロセスパスの開始、またはターゲットプロセスパスに基づいて、イベントを削除する（破壊しない）ことができます。この傑出した機能により、アナリストはすべてのデータを保持しながら、ノイズをすばやく切り抜けることができます。

  • 紛失したフィルタリング（つまり、トレースからドロップされたイベント）は、「プラットフォームバイナリをドロップする」という形でも利用できます。これは、ノイズを切り抜けるもう1つの便利な手法です。

• テレメトリーエクスポート。現在、完全または部分システムのトレース（キーボードショートカットも）について、Plated JsonとJsonl（1つのJSONオブジェクトごと）をサポートしています。 「エクスポートテレメトリ」の下でメニューバーのこれらのオプションにアクセスできます。
• プロセスサブツリー生成。特定のイベントのイベントファクトウィンドウを表示するとき、左手サイドバーにプロセス系統サブツリーを生成しようとします。このツリーは手に負えないものです。プロセスをクリックすると、イベントの事実に対応できます。同様に、ツリー内の任意のプロセスを右クリックして、そのイベントの事実を表示できます。
• 動的イベント配信チャート。これは、Swiftuiチームが有効にする楽しいものです。グラフは、あなたがサブスクライブしているイベントの分布を示しています。現在はスコープ内（つまり、フィルタリングされていません）で、何もないことを示しています。これにより、騒々しいイベントを非常に迅速に識別できます。チャートは自動ショー/隠しますが、ツールバーの「ミニチャート」ボタンを使用して戻すことができます。

• 動的分析ツールのもう1つの非常に重要な機能は、イベントリミッターまたはメモリの非効率的な実装をユーザーエクスペリエンスの邪魔にならないようにすることです。これに対処するために（現在の最善のこと）、私たちのイベントを「エンティティ」内のメモリとして保存する非同期親 /子供のようなコアデータスタックを実装しました。これにより、MACモニターで事実上無制限のイベントを保存できます。ただし、イベントの制限が非常に大きくなるにつれて、挿入の時間はより課税されます。
• MACモニターは常にバックグラウンドで実行されているセキュリティ拡張機能（EDRセンサーのように）に基づいているため、システムトレースが発生していないときにイベントを処理しないように機能します。これは、トレースが発生していない場合、Red Canary Security Extension（ com.redcanary.agent.securityextension ）がリソース /バッテリーの電源を不必要に利用しないことを意味します。
• 配布パッケージ：インストールプロセスはしばしば見落とされがちです。ただし、ユーザーがインストールされているものを十分に理解していない場合、またはエントリに障壁をインストールするには複雑すぎる場合は、人々がそれを使用するのを思いとどまらせるのに十分な高さである可能性があります。これが、MACモニターを公証化された配布パッケージとして出荷する理由です。

これに加えて、ソースコードやツールや商用製品を構築したいと思っていることを知っています。ただし、現在、Macモニターは無料のクローズドソースツールとして配布されます。提供されているものを楽しんでください、そしてあなたの素晴らしいフィードバックを提供し続けてください。さらに、実装の1つの側面がある場合は、詳細を確認したい場合は、手を差し伸べることをheしないでください。私たちは、実装、使用法、および研究方法論のすべてについてギーキングすることに関して、オープンブックです。