mac monitor

Red Canary Mac Monitor-это расширенный, автономный инструмент мониторинга системы, созданный специально для исследований в области безопасности MacOS, вредоносного обеспечения и устранения неполадок в системе . Используя Apple Endpoint Security (ES), он собирает и обогащает системные события, отображая их графически, с обширным набором функций, предназначенным для появления только событий, которые имеют отношение к вам. Собранная телеметрия включает в себя события процесса, межпроцессы и файлов в дополнение к богатым метаданным, что позволяет пользователям контекстуализировать события и с легкостью рассказывать историю. Благодаря интуитивному интерфейсу и богатому набору анализов, монитор Red Canary Mac был разработан для широкого спектра уровней и фонов навыков для обнаружения угроз macOS, которые в противном случае остались бы незамеченными. В рамках приверженности Red Canary к исследовательскому сообществу пакет дистрибуции Mac Monitor доступен для бесплатной загрузки.

• Процессор: Мы рекомендуем Apple Silicon Machine, но Intel тоже работает!
• Системная память: 4GB+ рекомендуется
• версия MacOS: 13.1+ (Вентура)

Домашний завод? brew install --cask red-canary-mac-monitor

• Перейдите в раздел «Выпуск» и загрузите последний установщик: https://github.com/redcanaryco/mac-monitor/releases
• Откройте приложение: Red Canary Mac Monitor.app
• Вам будет предложено «открыть настройки системы», чтобы «разрешить» расширение системы.
• Далее, настройки системы автоматически откроются для Full Disk Access - вам нужно будет перевернуть переключатель, чтобы включить это для Red Canary Security Extension . Полный доступ к диску является требованием безопасности конечной точки.
• ? ️ Нажмите кнопку «Пуск» в приложении, и вам будет предложено повторно открыть приложение. Сделанный!

• Приложение Monitor Event, которое устанавливает соединение XPC с расширением безопасности: /Applications/Red Canary Mac Monitor.app с идентификатором подписания com.redcanary.agent .
• Расширение безопасности: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension с идентификатором подписания com.redcanary.agent.securityextension.systemextension .

Домашний завод? brew uninstall red-canary-mac-monitor . При использовании этой опции вам, скорее всего, будет предложено аутентифицировать подлинность для удаления расширения системы.

• Из Finder удалите приложение и аутентификацию для удаления расширения системы. Вы не можете сделать это из дока. Это так просто!
• Вы также можете просто удалить расширение безопасности, если хотите в строке меню приложения или перейдя в настройки приложения.
• ( 1.0.3 ) поддерживает удаление с использованием сценария ../Contents/SharedSupport/uninstall.sh .

Домашний завод? brew update && brew upgrade red-canary-mac-monitor . При использовании этой опции вам, скорее всего, будет предложено аутентифицировать подлинность для удаления расширения системы.

• Когда вам будет доступна новая версия для загрузки, мы сделаем новый релиз.
• Мы включим обновленные заметки и резюме телеметрии (если применимо) для каждого выпуска.
• Все, что вам нужно сделать, это нужно, это загрузить обновление и запустить установщик. Мы позаботимся об остальном.

Здесь мы будем хостингом:

• Распределительный пакет для легкой установки. Смотрите раздел Releases . Каждая крупная сборка соответствует кодовому имени. Первая из этих сборки - GoldCardinal .
• Телеметрия отчеты в Telemetry reports/ (т.е. все артефакты, которые могут быть собраны с помощью расширения безопасности).
• Иконография (что означают символы и цвета) в Iconography/
• Обновленные резюме набора немой в Mute sets/
• AtomicESClient - это отдельный, но очень тесно связанный проект, показывающий веревки безопасности конечной точки, проверьте его в: AtomicESClient/

Кроме того, вы также можете отправить запросы на функции и отчеты об ошибках здесь. При создании новой проблемы вы сможете использовать один из двух представленных шаблонов. Оба этих варианта также доступны из меню «Справка» в приложении.

• Запрос функции
• Отчет об ошибках

Каждый выпуск монитора Red Canary Mac имеет соответствующее название сборки и номер версии. Первый релиз имеет название сборки: GoldCardinal и версию № 1.0.1 .

• События High Fidelity ES смоделировали и обогащены некоторыми событиями, содержащими дальнейшее обогащение. Например, процесс, который представляет собой карантин, файл, который находится в карантине, сертификаты подписания кода и т. Д.

• Динамические подписки ES ES ES . У вас есть возможность изменить подписки на свое событие-позволяя вам сократить шум во время работы по следам.

• Путь, приглушение на уровне API - группа безопасности Apple в последнее время вложила много работы по обеспечению расширенных возможностей для притивления / инверсии пути. Здесь мы освещаем большинство функций API: es_mute_path и es_mute_path_events вместе с типами ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL, ES_MUTE_PATH_TYPE_LITERAL , и ES_MUTE_PATH_TARIT_TARTERIT_TARGET_PREFIX, и ES_MUTE_PATH_TYPE_TARGET_PREFIX , и ES_MUTE_PATH_TARTERIT_TARGET_PREFIX, и ES_MUTE_PATH_TYPE_TARGET_LITERAL . Прямо сейчас мы не поддерживаем инверсию. Мне бы очень понравилось, если бы команда ES добавила инверсию на основе первого события, а не для каждого клиента .

• Подробные факты события . Щелкните правой кнопкой мыши на любом событии в строке таблицы, чтобы получить доступ к метаданным события, фильтрации, приглушения и отказа от подписки. Основным для пользовательского опыта является возможность свернуть в любое конкретное событие или набор событий. Чтобы включить эту функциональность, мы разработали «Факты событий», которые содержат метаданные / дополнительное обогащение о любом данном событии. Каждое событие имеет отображаемые метаданные набора. Например, события выполнения процесса, как правило, будут содержать информацию о подписании кода, переменные среды, коррелированные события и т. Д. Ниже вы видите примеры создания файлов и элемент запуска BTM, добавленные факты события.

• Корреляция событий является исключительно важным компонентом в ремне инструментов любого аналитика. Способность видеть, какие события «связаны» с одним еще одним, позволяет вам манипулировать телеметрией таким образом, чтобы это имело смысл (кроме простого сброса в JSON или представление отдельного события). Мы выполняем корреляцию событий на уровне процесса - это означает, что для любого данного события (которое имеет начальный и/или целевой процесс) мы можем глубоко связать события, которые подстрекал любой заданный процесс.

• Группировка процесса - это еще один полезный способ представить телеметрию процесса вокруг данного события ES_EVENT_TYPE_NOTIFY_EXEC или ES_EVENT_TYPE_NOTIFY_FORK . Группируя процессы таким образом, вы можете легко идентифицировать цепочку деятельности.

• Артефактная фильтрация позволяет пользователям удалять (но не уничтожать) события из просмотра на основе: типа события, инициирования пути процесса или целевого пути процесса. Эта выдающаяся функция позволяет аналитикам быстро прорезать шум, сохраняя при этом все данные.

  • Потеряная фильтрация (т.е. события, которые выпадают с трассировки) также доступна в виде «двойных двоичных файлов платформы» - еще одной полезной методики для прорезания шума.

• Телеметрия экспорт . Прямо сейчас мы поддерживаем Pretty JSON и JSONL (один объект JSON для линии) для полной или частичной системы (также сочетания клавиш). Вы можете получить доступ к этим параметрам в строке меню под «Экспортной телеметрией».
• Процесс поддерево генерировать . При просмотре окна «Факты события» для любого данного события мы попытаемся сгенерировать поддеревание линии процесса на левой боковой панели. Это дерево является неразрешимым - нажмите на любой процесс, и вы будете перенесены на факты его события. Точно так же вы можете щелкнуть правой кнопкой мыши на любой процесс на дереве, чтобы вытащить факты для этого события .
• Динамическая диаграмма распределения событий . Это весело, включенная командой Swiftui. График показывает распределение событий, на которые вы подписаны, в настоящее время в Scope (то есть не фильтруется), и имеет количество больше, чем ничего. Это позволяет вам очень быстро идентифицировать шумные события. Диаграмма автоматически высказывает/скрывает себя, но вы можете вернуть его с помощью кнопки «мини-диаграммы» на панели инструментов.

• Еще одна очень важная особенность любого инструмента динамического анализа - не позволить ограничителю событий или неэффективной реализации памяти мешать пользовательскому опыту. Чтобы решить эту проблему (лучшее, что мы можем в настоящее время), мы реализовали асинхронный базовый стек данных , похожий на ребенка, который хранит наши события в качестве «объектов» в памяти. Это позволяет нам хранить практически неограниченные события с Mac Monitor. Хотя время вставления становится все более налогом, поскольку ограничение события становится очень большим.
• Поскольку Mac Monitor основан на расширении безопасности, которое всегда работает в фоновом режиме (например, датчик EDR), мы выпекали в функциональности, так что оно не обрабатывает события, когда системная трасса не происходит . Это означает, что расширение безопасности Красной Канарской безопасности ( com.redcanary.agent.securityextension ) не будет необходимо использовать ресурсы / питание аккумулятора, когда трассировка не происходит.
• Распределительный пакет: процесс установки часто упускается из виду . Однако, если пользователи не имеют хорошего понимания того, что устанавливается или если он слишком сложный, чтобы установить барьер для входа, может быть достаточно высоким, чтобы отговорить людей от его использования. Вот почему мы отправляем Mac Monitor в качестве нотариального распределительного пакета.

Мы знаем, как много вы хотели бы учиться на исходном коде и/или построить инструменты или коммерческие продукты, а не. В настоящее время, однако, Mac Monitor будет распространяться как бесплатный инструмент с закрытым исходным кодом. Наслаждайтесь тем, что предлагается, и, пожалуйста, продолжайте предоставлять свои отличные отзывы. Кроме того, не стесняйтесь обращаться, если есть один аспект реализации, о котором вы хотели бы узнать больше. Мы открытая книга, когда речь заходит о том, чтобы выступать во все вещи, используя и методологию исследования.