mac monitor

Red Canary Mac Monitor เป็น เครื่องมือตรวจสอบระบบแบบสแตนด์อโลนขั้นสูงที่ออกแบบมาเพื่อการวิจัยความปลอดภัย MACOS, มัลแวร์ triage และการแก้ไขปัญหาระบบ การควบคุมความปลอดภัยของจุดสิ้นสุดของ Apple (ES), มันรวบรวมและเสริมสร้างเหตุการณ์ของระบบแสดงให้เห็นว่ามีกราฟิกด้วยชุดคุณสมบัติที่กว้างขวางซึ่งออกแบบมาเพื่อพื้นผิวเฉพาะเหตุการณ์ที่เกี่ยวข้องกับคุณ Telemetry ที่รวบรวมรวมถึงกระบวนการระหว่างระบบและเหตุการณ์ไฟล์นอกเหนือจากข้อมูลเมตาดาต้าที่หลากหลายช่วยให้ผู้ใช้สามารถทำให้เกิดบริบทเหตุการณ์และบอกเล่าเรื่องราวได้อย่างง่ายดาย ด้วยอินเทอร์เฟซที่ใช้งานง่ายและคุณสมบัติการวิเคราะห์ที่หลากหลายจอมอนิเตอร์ Canary Mac สีแดงได้รับการออกแบบมาสำหรับระดับทักษะและพื้นหลังที่หลากหลายเพื่อตรวจจับภัยคุกคาม MACOS ที่จะไม่มีใครสังเกตเห็น ในฐานะที่เป็นส่วนหนึ่งของความมุ่งมั่นของ Red Canary ต่อชุมชนการวิจัยแพ็คเกจ Mac Monitor Distribution สามารถดาวน์โหลดได้ฟรี

• โปรเซสเซอร์: เราขอแนะนำเครื่อง Apple Silicon แต่ Intel ก็ใช้งานได้เช่นกัน!
• หน่วยความจำระบบ: แนะนำ 4GB+
• MacOS เวอร์ชัน: 13.1+ (Ventura)

homebrew? brew install --cask red-canary-mac-monitor

• ไปที่ส่วนเผยแพร่และดาวน์โหลดตัวติดตั้งล่าสุด: https://github.com/redcanaryco/mac-monitor/releases
• เปิดแอพ: Red Canary Mac Monitor.app
• คุณจะได้รับแจ้งให้ "เปิดการตั้งค่าระบบเปิด" เพื่อ "อนุญาต" ส่วนขยายของระบบ
• ถัดไปการตั้งค่าระบบจะเปิด Full Disk Access โดยอัตโนมัติ - คุณจะต้องพลิกสวิตช์เพื่อเปิดใช้งานสิ่งนี้สำหรับ Red Canary Security Extension การเข้าถึงดิสก์เต็มรูปแบบเป็น ข้อกำหนด ของความปลอดภัยปลายทาง
• ️คลิกปุ่ม "เริ่ม" ในแอพแล้วคุณจะได้รับแจ้งให้เปิดแอพอีกครั้ง เสร็จแล้ว!

• แอพตรวจสอบเหตุการณ์ที่สร้างการเชื่อมต่อ XPC ไปยังส่วนขยายความปลอดภัย: /Applications/Red Canary Mac Monitor.app พพร้อมตัวระบุการลงนามของ com.redcanary.agent
• ส่วนขยายความปลอดภัย: /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension w/ตัวระบุการลงนามของ com.redcanary.agent.securityextension.systemextension

homebrew? brew uninstall red-canary-mac-monitor เมื่อใช้ตัวเลือกนี้คุณจะได้รับแจ้งให้ตรวจสอบสิทธิ์เพื่อลบส่วนขยายของระบบ

• จาก Finder ลบแอพและตรวจสอบสิทธิ์เพื่อลบส่วนขยายระบบ คุณไม่สามารถทำสิ่งนี้ได้จากท่าเรือ มันง่ายมาก!
• นอกจากนี้คุณยังสามารถลบส่วนขยายความปลอดภัย ได้ หากคุณต้องการในแถบเมนูของแอปหรือเข้าสู่การตั้งค่าแอป
• ( 1.0.3 ) รองรับการลบโดยใช้ ../Contents/SharedSupport/uninstall.sh

homebrew? brew update && brew upgrade red-canary-mac-monitor เมื่อใช้ตัวเลือกนี้คุณจะได้รับแจ้งให้ตรวจสอบสิทธิ์เพื่อลบส่วนขยายของระบบ

• เมื่อเวอร์ชันใหม่พร้อมให้คุณดาวน์โหลดเราจะทำการเปิดตัวใหม่
• เราจะรวมบันทึกย่อที่ได้รับการปรับปรุงและบทสรุป telemetry (ถ้ามี) สำหรับแต่ละรุ่น
• สิ่งที่คุณเป็นผู้ใช้จะต้องทำคือดาวน์โหลดการอัปเดตและเรียกใช้ตัวติดตั้ง เราจะดูแลส่วนที่เหลือ

ที่นี่เราจะเป็นเจ้าภาพ:

• แพ็คเกจการกระจายเพื่อการติดตั้งง่าย ดูส่วน Releases แต่ละบิลด์ที่สำคัญแต่ละตัวสอดคล้องกับชื่อรหัส สิ่งแรกของการสร้างเหล่านี้คือ GoldCardinal
• รายงาน Telemetry ใน Telemetry reports/ (เช่นสิ่งประดิษฐ์ทั้งหมดที่สามารถรวบรวมได้โดยส่วนขยายความปลอดภัย)
• Iconography (สัญลักษณ์และสีหมายถึงอะไร) ใน Iconography/
• อัปเดตชุดปิดเสียงสรุปใน Mute sets/
• AtomicESClient เป็นโครงการที่แยกจากกัน แต่มีความสัมพันธ์อย่างใกล้ชิดแสดงเชือกของความปลอดภัยปลายทางตรวจสอบใน: AtomicESClient/

นอกจากนี้คุณสามารถส่งคำขอคุณสมบัติและรายงานข้อผิดพลาดได้ที่นี่เช่นกัน เมื่อสร้างปัญหาใหม่คุณจะสามารถใช้เทมเพลตหนึ่งในสองที่ให้ไว้ ตัวเลือกทั้งสองนี้สามารถเข้าถึงได้จากเมนู "ช่วยเหลือ" ในแอพ

• คำขอคุณสมบัติ
• รายงานข้อผิดพลาด

จอมอนิเตอร์ Canary Mac สีแดงแต่ละรายการมีชื่อบิลด์และหมายเลขเวอร์ชันที่สอดคล้องกัน รุ่นแรกมีชื่อบิลด์ของ: GoldCardinal และหมายเลขเวอร์ชัน 1.0.1

• กิจกรรม ES Fidelity High Fidelity แบบจำลองและอุดมไป ด้วยเหตุการณ์บางอย่างที่มีการตกแต่งเพิ่มเติม ตัวอย่างเช่นกระบวนการที่มีการกักกันไฟล์, ไฟล์ที่ถูกกักกัน, ใบรับรองการลงนามในรหัส ฯลฯ

• การสมัครสมาชิก Event Dynamic Runtime ES คุณมีความสามารถในการแก้ไขการสมัครสมาชิกของคุณทันที-ช่วยให้คุณสามารถลดเสียงรบกวนในขณะที่คุณกำลังทำงานผ่านร่องรอย

• PATH MIFING ที่ระดับ API - ทีมรักษาความปลอดภัยปลายทางของ Apple ได้ทำงานจำนวนมากเมื่อเร็ว ๆ นี้ในการเปิดใช้งานความสามารถในการเปลี่ยนเส้นทาง / การผกผันขั้นสูง ที่นี่เราครอบคลุมคุณสมบัติ API ส่วนใหญ่: es_mute_path และ es_mute_path_events พร้อมกับประเภทของ ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL ES_MUTE_PATH_TYPE_TARGET_PREFIX ES_MUTE_PATH_TYPE_TARGET_LITERAL ตอนนี้เราไม่สนับสนุนการผกผัน ฉันชอบถ้าทีม ES เพิ่มการผกผันบนพื้นฐานต่อเหตุการณ์แทนที่จะเป็นลูกค้า

• ข้อเท็จจริงเหตุการณ์โดยละเอียด คลิกขวาที่เหตุการณ์ใด ๆ ในแถวตารางเพื่อเข้าถึงข้อมูลเมตาของเหตุการณ์การกรองการปิดเสียงและตัวเลือกยกเลิกการสมัคร แกนกลางของประสบการณ์ผู้ใช้คือความสามารถในการเจาะลึกลงไปในเหตุการณ์ที่กำหนดหรือชุดของเหตุการณ์ เพื่อเปิดใช้งานฟังก์ชั่นนี้เราได้พัฒนาหน้าต่าง "ข้อเท็จจริงเหตุการณ์" ซึ่งมีข้อมูลเมตา / การเพิ่มคุณค่าเพิ่มเติมเกี่ยวกับเหตุการณ์ใด ๆ ที่กำหนด แต่ละเหตุการณ์มีเมตาดาต้าชุดที่แสดงไว้ ตัวอย่างเช่นเหตุการณ์การดำเนินการตามกระบวนการโดยทั่วไปจะมีข้อมูลการลงชื่อรหัสตัวแปรสภาพแวดล้อมเหตุการณ์ที่สัมพันธ์กัน ฯลฯ ด้านล่างคุณจะเห็นตัวอย่างของการสร้างไฟล์และรายการเรียกร้อง BTM เพิ่มข้อเท็จจริงเหตุการณ์

• ความสัมพันธ์ของเหตุการณ์ เป็นองค์ประกอบที่สำคัญ เป็นพิเศษ ในเข็มขัดเครื่องมือของนักวิเคราะห์ ความสามารถในการดูว่าเหตุการณ์ใดที่ "เกี่ยวข้อง" กับอีกหนึ่งเดียวช่วยให้คุณสามารถจัดการกับ telemetry ในลักษณะที่เหมาะสม (นอกเหนือจากการทิ้ง JSON หรือเป็นตัวแทนของเหตุการณ์แต่ละรายการ) เราดำเนินการสหสัมพันธ์ของเหตุการณ์ในระดับกระบวนการ - ซึ่งหมายความว่าสำหรับเหตุการณ์ใด ๆ ที่กำหนด (ซึ่งมีกระบวนการเริ่มต้นและ/หรือเป้าหมาย) เราสามารถเชื่อมโยงเหตุการณ์ที่กระบวนการใดก็ตามที่กำหนด

• การจัดกลุ่มกระบวนการ เป็นอีกวิธีที่มีประโยชน์ในการแสดงถึงกระบวนการทางไกลของกระบวนการรอบ ๆ ES_EVENT_TYPE_NOTIFY_EXEC หรือ ES_EVENT_TYPE_NOTIFY_FORK โดยการจัดกลุ่มกระบวนการด้วยวิธีนี้คุณสามารถระบุห่วงโซ่ของกิจกรรมได้อย่างง่ายดาย

• การกรองสิ่งประดิษฐ์ ช่วยให้ผู้ใช้สามารถลบเหตุการณ์ (แต่ไม่ทำลาย) จากมุมมองตาม: ประเภทเหตุการณ์เส้นทางกระบวนการเริ่มต้นหรือเส้นทางกระบวนการเป้าหมาย คุณสมบัติที่โดดเด่นนี้ช่วยให้นักวิเคราะห์สามารถตัดเสียงรบกวนได้อย่างรวดเร็วในขณะที่ยังคงรักษาข้อมูลทั้งหมดไว้

  • การกรองแบบสูญเสีย (เช่นเหตุการณ์ที่ลดลงจากการติดตาม) ยังมีอยู่ในรูปแบบของ "การวางแพลตฟอร์มไบนารี" - เทคนิคที่มีประโยชน์อีกประการหนึ่งในการตัดเสียงรบกวน

• การส่งออก Telemetry ตอนนี้เราสนับสนุน Pretty JSON และ JSONL (One JSON Object ต่อบรรทัด) สำหรับการติดตามระบบเต็มรูปแบบหรือบางส่วน (แป้นพิมพ์ลัดด้วย) คุณสามารถเข้าถึงตัวเลือกเหล่านี้ในแถบเมนูภายใต้ "ส่งออก telemetry"
• การสร้างทรีย่อยกระบวนการ เมื่อดูหน้าต่างข้อเท็จจริงเหตุการณ์สำหรับเหตุการณ์ใด ๆ ที่กำหนดเราจะพยายามสร้างทรีย่อยสายเลือดในแถบด้านซ้ายมือ ต้นไม้นี้ไม่สามารถทำได้ - คลิกที่กระบวนการใด ๆ และคุณจะถูกนำไปใช้กับข้อเท็จจริงของเหตุการณ์ ในทำนองเดียวกันคุณสามารถคลิกขวาที่กระบวนการใด ๆ ในต้นไม้เพื่อปรากฏข้อเท็จจริงสำหรับเหตุการณ์นั้น
• แผนภูมิการกระจายเหตุการณ์แบบไดนามิก นี่คือความสนุกที่เปิดใช้งานโดยทีม Swiftui กราฟแสดงการกระจายของเหตุการณ์ที่คุณสมัครเป็นสมาชิกในขอบเขต (เช่นไม่ได้กรอง) และมีจำนวนมากกว่าไม่มีอะไรเลย สิ่งนี้ช่วยให้คุณสามารถระบุเหตุการณ์ที่มีเสียงดังได้ อย่าง รวดเร็ว แผนภูมิอัตโนมัติ-แสดง/ซ่อนตัวเอง แต่คุณสามารถนำมันกลับมาด้วยปุ่ม: "mini-chart" ในแถบเครื่องมือ

• อีกหนึ่งคุณสมบัติที่สำคัญมากของเครื่องมือการวิเคราะห์แบบไดนามิกใด ๆ คือการไม่ปล่อยให้ตัว จำกัด เหตุการณ์หรือการใช้งานหน่วยความจำไม่มีประสิทธิภาพเข้าสู่ประสบการณ์ของผู้ใช้ เพื่อแก้ไขปัญหานี้ (สิ่งที่ดีที่สุดที่เราสามารถทำได้ในปัจจุบัน) เราได้ใช้ สแต็กข้อมูลหลัก ของผู้ปกครอง / เด็กแบบอะซิงโครนัสซึ่งจัดเก็บกิจกรรมของเราเป็น "หน่วยงาน" ในหน่วยความจำ สิ่งนี้ช่วยให้เราสามารถจัดเก็บกิจกรรมที่ไม่ จำกัด ด้วย Mac Monitor แม้ว่าเวลาของการแทรกจะกลายเป็นภาษีมากขึ้นเมื่อขีด จำกัด เหตุการณ์มีขนาดใหญ่มาก
• เนื่องจาก MAC Monitor ขึ้นอยู่กับส่วนขยายความปลอดภัยซึ่งมักจะทำงานในพื้นหลัง (เช่นเซ็นเซอร์ EDR) ที่เราอบในฟังก์ชั่นซึ่ง ไม่ได้ประมวลผลเหตุการณ์เมื่อการติดตามของระบบไม่เกิดขึ้น ซึ่งหมายความว่าส่วนขยายความปลอดภัยของนกขมิ้นสีแดง ( com.redcanary.agent.securityextension ) จะไม่ใช้ทรัพยากร / พลังงานแบตเตอรี่โดยไม่จำเป็นเมื่อไม่มีการติดตามเกิดขึ้น
• แพ็คเกจการกระจาย: กระบวนการติดตั้งมักถูกมองข้าม อย่างไรก็ตามหากผู้ใช้ไม่มีความเข้าใจที่ดีเกี่ยวกับสิ่งที่ติดตั้งหรือถ้ามันซับซ้อนเกินไปที่จะติดตั้งอุปสรรคในการเข้ามาอาจสูงพอที่จะทำให้ผู้คนไม่ได้ใช้มัน นี่คือเหตุผลที่เราจัดส่ง Mac Monitor เป็นแพ็คเกจการกระจายที่รับรอง

เรารู้ว่าคุณชอบที่จะเรียนรู้จากซอร์สโค้ดและ/หรือสร้างเครื่องมือหรือผลิตภัณฑ์เชิงพาณิชย์มากแค่ไหน อย่างไรก็ตามในปัจจุบัน MAC Monitor จะถูกแจกจ่ายเป็นเครื่องมือฟรีและปิด เพลิดเพลินไปกับสิ่งที่เสนอและโปรดดำเนินการต่อเพื่อให้ข้อเสนอแนะที่ดีของคุณ นอกจากนี้อย่าลังเลที่จะเข้าถึงหากมีแง่มุมหนึ่งของการดำเนินการที่คุณชอบที่จะเรียนรู้เพิ่มเติมเกี่ยวกับ เราเป็นหนังสือเปิดกว้างเมื่อพูดถึงการใช้งานทุกสิ่งการใช้งานการใช้งานและวิธีการวิจัย