mac monitor

Red Canary Mac Monitor는 MACOS 보안 연구, 맬웨어 사업 및 시스템 문제 해결을위한 고급 독립형 시스템 모니터링 도구 입니다. Apple Endpoint Security (ES)를 활용하면 시스템 이벤트를 수집하고 강화하여 그래픽으로 표시하며, 귀하와 관련된 이벤트 만 표면하도록 설계된 광범위한 기능 세트를 표시합니다. 수집 된 원격 측정에는 리치 메타 데이터 외에 프로세스, 간호사 및 파일 이벤트가 포함되어 사용자가 이벤트를 상황에 맞추고 스토리를 쉽게 알릴 수 있습니다. 직관적 인 인터페이스와 풍부한 분석 기능 세트를 통해 Red Canary Mac Monitor는 광범위한 기술 수준과 배경을 위해 설계되어 그렇지 않으면 눈에 띄지 않는 MACOS 위협을 감지했습니다. Red Canary의 연구 커뮤니티에 대한 약속의 일환으로 MAC 모니터 배포 패키지는 무료로 다운로드 할 수 있습니다.

• 프로세서 : Apple Silicon 기계를 권장하지만 Intel 도 작동합니다!
• 시스템 메모리 : 4GB+ 권장됩니다
• 마코스 버전 : 13.1+ (벤처라)

홈 브루? brew install --cask red-canary-mac-monitor

• 릴리스 섹션으로 이동하여 최신 설치 프로그램을 다운로드하십시오 : https://github.com/redcanaryco/mac-monitor/releases
• 앱을 엽니 다 : Red Canary Mac Monitor.app
• 시스템 확장을 "허용"하기 위해 "시스템 설정 열기"라는 메시지가 표시됩니다.
• 다음으로 시스템 설정은 자동 Full Disk Access 에 자동으로 열려 있습니다. 스위치를 뒤집어 Red Canary Security Extension 의 경우이를 활성화해야합니다. 전체 디스크 액세스는 엔드 포인트 보안의 요구 사항 입니다.
• ? 슬 앱에서 "시작"버튼을 클릭하면 앱을 다시 열게됩니다. 완료!

• 보안 확장에 대한 XPC 연결을 설정하는 이벤트 모니터 앱 : /Applications/Red Canary Mac Monitor.app w/ com.redcanary.agent 의 식별자.
• 보안 확장 : /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension w/ com.redcanary.agent.securityextension.systemextension 의 서명자.

홈 브루? brew uninstall red-canary-mac-monitor . 이 옵션을 사용하는 경우 시스템 확장을 제거하라는 인증을받을 것으로 예상됩니다.

• Finder에서 앱을 삭제하고 인증하여 시스템 확장을 제거합니다. 당신은 부두에서 이것을 할 수 없습니다. 쉽습니다!
• 앱의 메뉴 표시 줄에서 원하는 경우 또는 앱 설정으로 이동하여 보안 확장을 제거 할 수도 있습니다.
• ( 1.0.3 )은 ../Contents/SharedSupport/uninstall.sh 스크립트를 사용하여 제거를 지원합니다.

홈 브루? brew update && brew upgrade red-canary-mac-monitor . 이 옵션을 사용하는 경우 시스템 확장을 제거하라는 인증을받을 것으로 예상됩니다.

• 다운로드 할 수있는 새 버전을 사용할 수 있으면 새 릴리스를 작성하겠습니다.
• 각 릴리스에 대한 업데이트 된 메모 및 원격 측정 요약 (해당되는 경우)이 포함되어 있습니다.
• 최종 사용자가해야 할 일은 업데이트를 다운로드하고 설치 프로그램을 실행하는 것입니다. 우리는 나머지를 돌볼 것입니다.

여기서 우리는 호스팅 할 것입니다 :

• 쉬운 설치를위한 배포 패키지. Releases 섹션을 참조하십시오. 각 주요 빌드는 코드 이름에 해당합니다. 이 빌드 중 첫 번째는 GoldCardinal 입니다.
• Telemetry reports/ (예 : 보안 확장에 의해 수집 될 수있는 모든 아티팩트).
• 도해 법 (상징과 색상의 의미) Iconography/
• Mute sets/
• AtomicESClient 별도의 부분이지만 Endpoint 보안의 로프를 보여주는 매우 밀접하게 관련된 프로젝트입니다 : AtomicESClient/

또한 여기에서 기능 요청 및 버그 보고서도 제출할 수도 있습니다. 새 문제를 만들 때 제공된 두 템플릿 중 하나를 사용할 수 있습니다. 이 두 옵션은 인앱 "도움말"메뉴에서도 액세스 할 수 있습니다.

• 기능 요청
• 버그 보고서

Red Canary Mac 모니터의 각 릴리스에는 해당 빌드 이름과 버전 번호가 있습니다. 첫 번째 릴리스에는 GoldCardinal 및 버전 번호 1.0.1 의 빌드 이름이 있습니다.

• 높은 충실도 ES 이벤트는 추가 강화를 포함하는 일부 사건으로 모델링되고 풍부합니다 . 예를 들어, 파일 검역자 인식, 파일 검역소, 코드 서명 인증서 등 프로세스.

• 동적 런타임 ES 이벤트 구독 . 이벤트 구독을 즉시 수정할 수있어 트레이스를 통해 작업하는 동안 소음을 줄일 수 있습니다.

• API 수준에서의 경로 음소거 - Apple의 엔드 포인트 보안 팀은 최근 고급 경로 음소거 / 반전 기능을 가능하게하는 데 많은 노력을 기울였습니다. 여기에서는 API 기능의 대부분을 다룹니다. es_mute_path 및 es_mute_path_events 와 ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX 및 ES_MUTE_PATH_TYPE_TARGET_LITERAL . 지금 우리는 반전을지지하지 않습니다. ES 팀이 클라이언트 당 대신 이벤트 당 반전을 추가하면 좋아합니다 .

• 자세한 이벤트 사실 . 테이블 행에서 이벤트를 마우스 오른쪽 버튼으로 클릭하여 이벤트 메타 데이터, 필터링, 음소거 및 구독 취소 옵션에 액세스하십시오. 사용자 경험의 핵심은 주어진 이벤트 또는 이벤트 세트로 드릴링하는 기능입니다. 이 기능을 가능하게하기 위해 주어진 이벤트에 대한 메타 데이터 / 추가 농축이 포함 된 "이벤트 사실"창을 개발했습니다. 각 이벤트에는 선별 된 세트 메타 데이터가 표시됩니다. 예를 들어, 프로세스 실행 이벤트에는 일반적으로 코드 서명 정보, 환경 변수, 상관 관계 이벤트 등이 포함됩니다. 아래에는 파일 작성 및 BTM 런치 항목 추가 이벤트 사실의 예가 표시됩니다.

• 이벤트 상관 관계는 모든 분석가의 도구 벨트에서 매우 중요한 구성 요소입니다. 어떤 이벤트가 "관련"이벤트를 보는 능력을 보는 능력을 통해, 다른 한 사람과 "관련"이라는 점을 보면 (JSON에 덤프하거나 개별 이벤트를 나타내는 것 외에는) 의미있는 방식으로 원격 측정을 조작 할 수 있습니다. 우리는 프로세스 수준에서 이벤트 상관 관계를 수행합니다. 즉, 주어진 이벤트 (시작 및/또는 목표 프로세스가 있음)에 대해 주어진 프로세스가 주어진 이벤트를 깊이 연결할 수 있음을 의미합니다.

• 프로세스 그룹화는 주어진 ES_EVENT_TYPE_NOTIFY_EXEC 또는 ES_EVENT_TYPE_NOTIFY_FORK 이벤트를 나타내는 프로세스 원격 측정을 나타내는 또 다른 유용한 방법입니다. 이러한 방식으로 프로세스를 그룹화하면 활동 체인을 쉽게 식별 할 수 있습니다.

• 아티팩트 필터링을 통해 사용자는 이벤트 유형, 프로세스 경로 시작 또는 대상 프로세스 경로를 기반으로 이벤트를 제거 (파괴하지 않음) 할 수있었습니다. 이 눈에 띄는 기능을 통해 분석가는 모든 데이터를 유지하면서도 노이즈를 빠르게 줄일 수 있습니다.

  • 손실 필터링 (즉, 트레이스에서 삭제 된 이벤트)도 소음을 줄이는 또 다른 유용한 기술인 "드롭 플랫폼 바이너리"형태로도 사용할 수 있습니다.

• 원격 측정 수출 . 현재 우리는 전체 또는 부분 시스템 트레이스 (키보드 단축키)에 대해 Pretty JSON 및 JSONL (JSON Object Per-Line)을 지원합니다. "Export Telemetry"의 메뉴 표시 줄에서 이러한 옵션에 액세스 할 수 있습니다.
• 프로세스 하위 트리 생성 . 주어진 이벤트의 이벤트 팩트 창을 볼 때 왼쪽 사이드 바에 프로세스 계보 하위 트리를 생성하려고합니다. 이 트리는 다루기 힘들다 - 모든 프로세스를 클릭하면 이벤트 사실로 이동합니다. 마찬가지로 트리의 모든 프로세스를 마우스 오른쪽 버튼으로 클릭하여 해당 이벤트의 사실을 나타냅니다 .
• 동적 이벤트 배포 차트 . 이것은 Swiftui 팀이 제공하는 재미있는 것입니다. 이 그래프는 현재 구독 한 이벤트의 분포, 현재는 스코프 내 (즉, 필터링되지 않음)를 보여 주며 아무것도없는 수를 가지고 있습니다. 이를 통해 시끄러운 이벤트를 매우 빠르게 식별 할 수 있습니다. 차트는 자동 쇼/숨어 있지만 도구 모음의 "Mini-Chart"버튼으로 다시 가져올 수 있습니다.

• 동적 분석 도구의 또 다른 매우 중요한 기능은 이벤트 리미터 또는 메모리 비효율적 인 구현이 사용자 경험을 방해하지 않도록하는 것입니다. 이를 해결하기 위해 (현재 우리가 할 수있는 최고) 우리는 이벤트를 메모리에서“엔터티”로 저장하는 비동기 부모 / 자식과 같은 핵심 데이터 스택을 구현했습니다. 이를 통해 우리는 사실상 무제한 이벤트를 Mac 모니터에 저장할 수 있습니다. 그러나 이벤트 한도가 매우 커짐에 따라 삽입 시간이 더 세금이 듭니다.
• MAC 모니터는 EDR 센서와 같은 백그라운드에서 항상 실행되는 보안 확장을 기반으로하기 때문에 시스템 추적이 발생하지 않을 때 이벤트를 처리하지 않도록 기능을 구워 냈습니다. 이것은 추적이 발생하지 않을 때 Red Canary Security Extension ( com.redcanary.agent.securityextension )이 자원 / 배터리 전원을 불필요하게 활용하지 않음을 의미합니다.
• 배포 패키지 : 설치 프로세스는 종종 간과됩니다 . 그러나 사용자가 설치중인 내용을 잘 이해하지 못하거나 입력 장벽을 설치하기에는 너무 복잡한 경우 사람들이 사용하지 못하게 할 수있을 정도로 높을 수 있습니다. 이것이 우리가 Mac Monitor를 공증 된 분배 패키지로 배송하는 이유입니다.

우리는 소스 코드에서 배우고/또는이 위에 도구 또는 상업용 제품을 구축하는 것을 얼마나 알고 싶어하는지 알고 있습니다. 그러나 현재 MAC 모니터는 무료 폐쇄 소스 도구로 배포됩니다. 제공되는 것을 즐기고 계속해서 훌륭한 피드백을 제공하십시오. 또한, 구현의 한 가지 측면이 더 알고 싶은 한 가지 측면이 있는지 주저하지 마십시오. 우리는 구현, 사용법 및 연구 방법론에 대해 괴짜를 괴롭히는 데있어 열린 책입니다.