mac monitor

Red Canary Mac Monitor是一种高级，独立的系统监控工具，用于MACOS安全研究，恶意软件分流和系统故障排除。利用Apple Endpoint安全性（ES），它收集和丰富了系统事件，以图形方式显示它们，其广泛的功能集旨在仅浮出于您相关的事件。收集到的遥测包括除了丰富的元数据外，还包括过程，分解和文件事件，使用户可以将事件上下文化并轻松地讲述故事。凭借直观的界面和丰富的分析功能，Red Canary MAC显示器的设计用于广泛的技能水平和背景，以检测MACOS威胁，否则这些威胁将不会引起人们的注意。作为Red Canary对研究社区的承诺的一部分，可以免费下载MAC监视器分销包。

• 处理器：我们建议一台Apple Silicon机器，但Intel也工作！
• 系统内存：建议使用4GB+
• MacOS版本： 13.1+ （文图拉）

自制？ brew install --cask red-canary-mac-monitor

• 转到发布部分并下载最新的安装程序：https：//github.com/redcanaryco/mac-monitor/releases
• 打开应用： Red Canary Mac Monitor.app
• 提示您“打开系统设置”以“允许”系统扩展。
• 接下来，系统设置将自动开放到Full Disk Access - 您需要翻转开关以启用Red Canary Security Extension 。完整的磁盘访问是端点安全性的要求。
• ？单击应用程序中的“启动”按钮，您将提示您重新打开该应用程序。完毕！

• 事件监视器应用程序，该应用程序建立了与安全扩展程序的XPC连接： /Applications/Red Canary Mac Monitor.app w/ com.redcanary.agent的签名标识符。
• 安全扩展： /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension systementensions/../com.redcanary.agent.securityextension.systementension.systementension w/ com.redcanary.agent.securityextension.systemextension的标识符。

自制？ brew uninstall red-canary-mac-monitor 。使用此选项时，可能会提示您进行身份验证以删除系统扩展。

• 从查找器删除应用程序并进行身份验证以删除系统扩展。您不能从码头做到这一点。很容易！
• 您也可以在应用程序菜单栏中或进入应用程序设置中删除安全扩展名。
• （ 1.0.3 ）支持使用../Contents/SharedSupport/uninstall.sh脚本使用。

自制？ brew update && brew upgrade red-canary-mac-monitor 。使用此选项时，可能会提示您进行身份验证以删除系统扩展。

• 当您可以下载新版本时，我们将制作新版本。
• 我们将为每个版本提供更新的注释和遥测摘要（如果适用）。
• 作为最终用户，您所需要做的就是下载更新并运行安装程序。我们会照顾其余的。

在这里，我们将托管：

• 配电包，可轻松安装。请参阅Releases部分。每个主要构建对应于代码名称。这些版本中的第一个是GoldCardinal 。
• Telemetry reports/ （即安全扩展可以收集的所有工件）。
• 图像学/ Iconography/
• 更新静音Mute sets/
• AtomicESClient是AtomicESClient/分开但密切相关的项目

此外，您也可以在此处提交功能请求和错误报告。创建新问题时，您将能够使用两个提供的模板之一。这些选项也可以从应用程序内“帮助”菜单访问。

• 功能请求
• 错误报告

Red Canary Mac监视器的每个版本都有相应的构建名称和版本号。第一个版本的构建名称的名称为： GoldCardinal和版本编号1.0.1 。

• 高保真ES事件建模和丰富了一些包含进一步丰富的事件。例如，一个流程是文件隔离，文件被隔离，代码签名证书等。

• 动态运行时ES事件订阅。您有能力可以在线修改事件订阅 - 使您可以在轨迹上工作时降低噪音。

• API级别的路径静音- 苹果的端点安全团队最近为实现高级路径静音 /反转功能提供了很多工作。 Here, we cover the majority of the API features: es_mute_path and es_mute_path_events along with the types of ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX , and ES_MUTE_PATH_TYPE_TARGET_LITERAL .现在，我们不支持反转。如果ES团队每次添加倒置而不是每位客户，我会很喜欢它。

• 详细的事件事实。右键单击表行中的任何事件以访问事件元数据，过滤，静音和退订选项。用户体验的核心是能够钻入任何给定事件或一组事件的能力。为了启用此功能，我们开发了“事件事实”窗口，其中包含元数据 /有关任何给定事件的其他功能。每个事件都有一个策划的集合元数据。例如，过程执行事件通常包含代码签名信息，环境变量，相关事件等。在下面，您可以看到文件创建和BTM启动项目添加的事件事件的示例。

• 事件相关是任何分析师工具带中非常重要的组成部分。查看哪些事件与另一个事件“相关”的能力使您能够以有意义的方式来操纵遥测（仅仅将其倾倒到JSON或代表个人事件之外）。我们在过程级别执行事件相关性 - 这意味着，对于任何给定的事件（具有启动和/或目标过程），我们可以深入链接任何给定过程启动的事件。

• 过程分组是代表围绕给定的ES_EVENT_TYPE_NOTIFY_EXEC或ES_EVENT_TYPE_NOTIFY_FORK事件的另一种有用方法。通过以这种方式对过程进行分组，您可以轻松识别活动链。

• 伪像过滤使用户可以根据：事件类型，启动过程路径或目标过程路径从视图中删除（但不会破坏）事件。此出色的功能使分析师能够快速削减噪声，同时仍保留所有数据。

  • 有损过滤（即从痕迹删除的事件）也以“掉落平台二进制文件”的形式获得，这是另一种有用的方法，可以切断噪声。

• 遥测导出。现在，我们支持Pretty JSON和JSONL（一个JSON对象每条线），以完成完整或部分系统跟踪（键盘快捷键）。您可以在“导出遥测”下的菜单栏中访问这些选项。
• 过程子树生成。在查看任何给定事件的事件事实窗口时，我们将尝试在左侧侧边栏中生成一个过程谱系子树。这棵树是棘手的 - 单击任何过程，您将被带到其事件事实。同样，您可以右键单击树上的任何过程以弹出该事件的事实。
• 动态事件分配图。这是Swiftui团队启用的有趣之处。该图显示了您订阅的事件的分布，目前在范围内（即未过滤），并且数量多。这使您能够非常快速地确定嘈杂的事件。图表自动显示/隐藏自身，但是您可以将其带回工具栏中的“迷你图”按钮。

• 任何动态分析工具的另一个非常重要的功能是不要让事件限制器或内存效率低下的实现妨碍用户体验。为了解决这个问题（我们目前最好的），我们已经实现了异步的父 /孩子般的核心数据堆栈，该数据堆栈将我们的事件存储为“实体”中的内存。这使我们能够使用Mac Monitor存储几乎无限的事件。虽然，随着事件限制变得非常大，插入时间确实变得更加征税。
• 由于MAC监视器是基于一个安全扩展程序，该安全性始终在后台运行（例如EDR传感器），因此我们在功能上烤制，因此当不发生系统跟踪时，它不会处理事件。这意味着，当不发生跟踪时，红色的加油安全扩展（ com.redcanary.agent.securityextension ）将不必要地利用资源 /电池电量。
• 配电包：经常忽略安装过程。但是，如果用户对正在安装的内容没有很好的了解，或者是否太复杂而无法安装进入障碍，则可能足够高，无法劝阻人们使用它。这就是为什么我们将Mac显示器作为公证的分销包装。

我们知道您想从源代码和/或构建工具或商业产品中学习多少。但是，目前，MAC显示器将作为免费的封闭源工具分发。享受所提供的东西，请继续提供您的出色反馈。此外，如果您想进一步了解实施的一个方面，请不要犹豫。当涉及到实施，用法和研究方法论方面，我们是一本公开的书。