mac monitor

O Red Canary Mac Monitor é uma ferramenta avançada de monitoramento de sistema independente, feita sob medida para pesquisa de segurança do MacOS, triagem de malware e solução de problemas do sistema . Aproveitando a segurança da Apple Endpoint (s), ele coleta e enriquece eventos do sistema, exibindo -os graficamente, com um conjunto de recursos expansivo projetado para aparecer apenas os eventos relevantes para você. A telemetria coletada inclui processos, interpretação e eventos de arquivos, além dos metadados ricos, permitindo que os usuários contextualizem eventos e contem uma história com facilidade. Com uma interface intuitiva e um rico conjunto de recursos de análise, o Red Canary Mac Monitor foi projetado para uma ampla gama de níveis de habilidade e fundos para detectar ameaças de macOS que, de outra forma, passariam despercebidas. Como parte do compromisso do Red Canary com a comunidade de pesquisa, o pacote de distribuição do Mac Monitor está disponível para download gratuitamente.

• Processador: Recomendamos uma máquina Apple Silicon , mas Intel também funciona!
• Memória do sistema: 4GB+ é recomendado
• Versão MacOS: 13.1+ (Ventura)

Homebrew? brew install --cask red-canary-mac-monitor

• Vá para a seção de lançamentos e faça o download do mais recente instalador: https://github.com/redcanyco/mac-monitor/releasesas
• Abra o aplicativo: Red Canary Mac Monitor.app
• Você será solicitado a "abrir as configurações do sistema" a "permitir" a extensão do sistema.
• Em seguida, as configurações do sistema serão abertas automaticamente ao Full Disk Access - você precisará virar a chave para ativar isso para a Red Canary Security Extension . O acesso completo ao disco é um requisito de segurança do terminal.
• ? ️ Clique no botão "Iniciar" no aplicativo e você será solicitado a reabrir o aplicativo. Feito!

• Aplicativo de monitor de eventos que estabelece uma conexão XPC com a extensão de segurança: /Applications/Red Canary Mac Monitor.app com identificador de assinatura de com.redcanary.agent .
• Extensão de Segurança: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension w/Signing Identifier de com.redcanary.agent.securityextension.systemextension .

Homebrew? brew uninstall red-canary-mac-monitor . Ao usar esta opção, você provavelmente será solicitado a autenticar para remover a extensão do sistema.

• Do localizador, exclua o aplicativo e autentique para remover a extensão do sistema. Você não pode fazer isso da doca. É tão fácil!
• Você também pode apenas remover a extensão de segurança se desejar na barra de menus do aplicativo ou entrando nas configurações do aplicativo.
• ( 1.0.3 ) suporta a remoção usando o script ../Contents/SharedSupport/uninstall.sh .

Homebrew? brew update && brew upgrade red-canary-mac-monitor . Ao usar esta opção, você provavelmente será solicitado a autenticar para remover a extensão do sistema.

• Quando uma nova versão estiver disponível para você baixar, faremos um novo lançamento.
• Incluiremos notas atualizadas e resumos de telemetria (se aplicável) para cada liberação.
• Tudo o que você, como o usuário final, precisará fazer é baixar a atualização e executar o instalador. Vamos cuidar do resto.

Aqui estaremos hospedando:

• O pacote de distribuição para facilitar a instalação. Veja a seção Releases . Cada grande compilação corresponde a um nome de código. A primeira dessas construções é GoldCardinal .
• Relatórios de telemetria em Telemetry reports/ (ou seja, todos os artefatos que podem ser coletados pela extensão de segurança).
• Iconografia (o que significam os símbolos e cores) na Iconography/
• Resumos de conjunto de mudo atualizados em Mute sets/
• AtomicESClient é um projeto separado, mas muito intimamente relacionado, mostrando as cordas da Segurança do Endpoint, confira: AtomicESClient/

Além disso, você pode enviar solicitações de recursos e relatórios de bugs também. Ao criar um novo problema, você poderá usar um dos dois modelos fornecidos. Ambas as opções também são acessíveis no menu de "ajuda" no aplicativo.

• Solicitação de recurso
• Relatório de bug

Cada lançamento do Red Canary Mac Monitor possui um nome de compilação correspondente e número da versão. A primeira versão tem o nome de construção de: GoldCardinal e versão número 1.0.1 .

• Eventos de alta fidelidade es modelados e enriquecidos com alguns eventos que contêm mais enriquecimento. Por exemplo, um processo sendo comandado de quarentena, um arquivo sendo em quarentena, certificados de assinatura de código etc.

• Assinaturas de eventos dinâmicas de tempo de execução ES . Você tem a capacidade de modificar suas assinaturas de eventos-permitindo reduzir o ruído enquanto trabalha com rastreamentos.

• Caminho silencioso no nível da API - a equipe de segurança de endpoint da Apple colocou muito trabalho recentemente para permitir os recursos avançados de silenciamento / inversão do caminho. Aqui, cobrimos a maioria dos recursos da API: es_mute_path e es_mute_path_events , juntamente com os tipos de ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX e ES_MUTE_TYTUTE_TYPE_TYPE_TYPE_TYPE_TYPE_TARGET_PREFIX e ES_MUTE_PATH_TYPE_TARGET_LITERAL . No momento, não apoiamos a inversão. Eu adoraria se a equipe ES adicionasse inversão por evento, em vez de por filtro .

• Fatos detalhados do evento . Clique com o botão direito do mouse em qualquer evento em uma linha de tabela para acessar os metadados do evento, filtragem, silenciar e cancelar as opções de inscrição. O núcleo da experiência do usuário é a capacidade de perfurar em qualquer evento ou conjunto de eventos. Para ativar essa funcionalidade, desenvolvemos o Windows "FATOS DE EVENTOS", que contêm metadados / enriquecimento adicional sobre qualquer evento. Cada evento possui um conjunto de metadados com curadoria que é exibido. Por exemplo, os eventos de execução de processos geralmente conterão informações de assinatura de código, variáveis ​​de ambiente, eventos correlacionados, etc. Abaixo, você vê exemplos de criação de arquivos e fatos adicionados ao evento adicionado ao item BTM.

• A correlação de eventos é um componente excepcionalmente importante no cinto de ferramentas de qualquer analista. A capacidade de ver quais eventos estão "relacionados" a um deles permite manipular a telemetria de uma maneira que faça sentido (além de simplesmente despejar para JSON ou representar um evento individual). Realizamos correlação de eventos no nível do processo - isso significa que, para qualquer evento (que tenha um processo iniciante e/ou de destino), podemos vincular profundamente os eventos que qualquer processo instigado.

• O agrupamento de processos é outra maneira útil de representar a telemetria do processo em torno de um determinado ES_EVENT_TYPE_NOTIFY_EXEC ou ES_EVENT_TYPE_NOTIFY_FORK . Ao agrupar os processos dessa maneira, você pode identificar facilmente a cadeia de atividade.

• A filtragem de artefato permitiu que os usuários removessem (mas não destruíssem) os eventos da visualização com base em: tipo de evento, iniciando o caminho do processo ou o caminho do processo de destino. Esse recurso de destaque permite que os analistas reduzam o ruído rapidamente, mantendo todos os dados.

  • Filtragem com perdas (ou seja, eventos que são retirados do rastreamento) também estão disponíveis na forma de "binários de plataforma de queda" - outra técnica útil para cortar o ruído.

• Exportação de telemetria . No momento, apoiamos Pretty JSON e JSONL (um objeto JSON por linha) para o rastreamento do sistema completo ou parcial (atalhos de teclado também). Você pode acessar essas opções na barra de menus em "Exportar telemetria".
• Processar geração de subárvore . Ao visualizar a janela Fatos do evento para um determinado evento, tentaremos gerar uma subárvore de linhagem de processo na barra lateral esquerda. Esta árvore é intratável - clique em qualquer processo e você será levado para seus fatos do evento. Da mesma forma, você pode clicar com o botão direito do mouse em qualquer processo na árvore para exibir os fatos desse evento .
• Gráfico de distribuição de eventos dinâmicos . Este é divertido ativado pela equipe Swiftui. O gráfico mostra a distribuição de eventos a que você está inscrito, atualmente no escopo (ou seja, não filtrado) e tem uma contagem de mais do que nada. Isso permite que você identifique muito rapidamente eventos barulhentos. O gráfico é exibido/se esconde, mas você pode trazê-lo de volta com o botão "Mini-Chart" na barra de ferramentas.

• Outra característica muito importante de qualquer ferramenta de análise dinâmica é não permitir que um limitador de eventos ou a implementação ineficiente da memória atrapalhem a experiência do usuário. Para resolver isso (o melhor que podemos), implementamos uma pilha de dados do tipo pai / filho de pais / crianças assíncronas que armazena nossos eventos como "entidades" na memória. Isso nos permite armazenar eventos praticamente ilimitados com o MAC Monitor. Embora o tempo das inserções se torne mais cansativo à medida que o limite do evento fica muito grande.
• Como o MAC Monitor é baseado em uma extensão de segurança que está sempre em execução em segundo plano (como um sensor EDR), assamos funcionalidades, de modo que ele não processa eventos quando um rastreamento de sistema não está ocorrendo . Isso significa que a extensão do Red Canary Security ( com.redcanary.agent.securityextension ) não utilizará desnecessariamente recursos de recursos / bateria quando um rastreamento não estiver ocorrendo.
• Pacote de distribuição: o processo de instalação geralmente é esquecido . No entanto, se os usuários não tiverem um bom entendimento do que está sendo instalado ou se for muito complexo para instalar a barreira à entrada, pode ser alta o suficiente para dissuadir as pessoas de usá -lo. É por isso que enviamos o MAC Monitor como um pacote de distribuição reconhecido.

Sabemos o quanto você gostaria de aprender com o código -fonte e/ou construir ferramentas ou produtos comerciais sobre isso. Atualmente, no entanto, o MAC Monitor será distribuído como uma ferramenta gratuita de fonte fechada. Aproveite o que está sendo oferecido e continue fornecendo seu ótimo feedback. Além disso, nunca hesite em alcançar se houver um aspecto da implementação que você gostaria de aprender mais. Somos um livro aberto quando se trata de analisar todas as coisas de implementação, uso e metodologia de pesquisa.