mac monitor

Red Canary Mac Monitor是一種高級，獨立的系統監控工具，用於MACOS安全研究，惡意軟件分流和系統故障排除。利用Apple Endpoint安全性（ES），它收集和豐富了系統事件，以圖形方式顯示它們，其廣泛的功能集旨在僅浮出於您相關的事件。收集到的遙測包括除了豐富的元數據外，還包括過程，分解和文件事件，使用戶可以將事件上下文化並輕鬆地講述故事。憑藉直觀的界面和豐富的分析功能，Red Canary MAC顯示器的設計用於廣泛的技能水平和背景，以檢測MACOS威脅，否則這些威脅將不會引起人們的注意。作為Red Canary對研究社區的承諾的一部分，可以免費下載MAC監視器分銷包。

• 處理器：我們建議一台Apple Silicon機器，但Intel也工作！
• 系統內存：建議使用4GB+
• MacOS版本： 13.1+ （文圖拉）

自製？ brew install --cask red-canary-mac-monitor

• 轉到發布部分並下載最新的安裝程序：https：//github.com/redcanaryco/mac-monitor/releases
• 打開應用： Red Canary Mac Monitor.app
• 提示您“打開系統設置”以“允許”系統擴展。
• 接下來，系統設置將自動開放到Full Disk Access - 您需要翻轉開關以啟用Red Canary Security Extension 。完整的磁盤訪問是端點安全性的要求。
• ？ 單擊應用程序中的“啟動”按鈕，您將提示您重新打開該應用程序。完畢！

• 事件監視器應用程序，該應用程序建立了與安全擴展程序的XPC連接： /Applications/Red Canary Mac Monitor.app w/ com.redcanary.agent的簽名標識符。
• 安全擴展： /Library/SystemExtensions/../com.redcanary.agent.securityextension.systemextension systementensions/../com.redcanary.agent.securityextension.systementension.systementension w/ com.redcanary.agent.securityextension.systemextension的標識符。

自製？ brew uninstall red-canary-mac-monitor 。使用此選項時，可能會提示您進行身份驗證以刪除系統擴展。

• 從查找器刪除應用程序並進行身份驗證以刪除系統擴展。您不能從碼頭做到這一點。很容易！
• 您也可以在應用程序菜單欄中或進入應用程序設置中刪除安全擴展名。
• （ 1.0.3 ）支持使用../Contents/SharedSupport/uninstall.sh腳本使用。

自製？ brew update && brew upgrade red-canary-mac-monitor 。使用此選項時，可能會提示您進行身份驗證以刪除系統擴展。

• 當您可以下載新版本時，我們將製作新版本。
• 我們將為每個版本提供更新的註釋和遙測摘要（如果適用）。
• 作為最終用戶，您所需要做的就是下載更新並運行安裝程序。我們會照顧其餘的。

在這裡，我們將託管：

• 配電包，可輕鬆安裝。請參閱Releases部分。每個主要構建對應於代碼名稱。這些版本中的第一個是GoldCardinal 。
• Telemetry reports/ （即安全擴展可以收集的所有工件）。
• 圖像學/ Iconography/
• 更新靜音Mute sets/
• AtomicESClient是AtomicESClient/分開但密切相關的項目

此外，您也可以在此處提交功能請求和錯誤報告。創建新問題時，您將能夠使用兩個提供的模板之一。這些選項也可以從應用程序內“幫助”菜單訪問。

• 功能請求
• 錯誤報告

Red Canary Mac監視器的每個版本都有相應的構建名稱和版本號。第一個版本的構建名稱的名稱為： GoldCardinal和版本編號1.0.1 。

• 高保真ES事件建模和豐富了一些包含進一步豐富的事件。例如，一個流程是文件隔離，文件被隔離，代碼簽名證書等。

• 動態運行時ES事件訂閱。您有能力可以在線修改事件訂閱 - 使您可以在軌跡上工作時降低噪音。

• API級別的路徑靜音- 蘋果的端點安全團隊最近為實現高級路徑靜音 /反轉功能提供了很多工作。 Here, we cover the majority of the API features: es_mute_path and es_mute_path_events along with the types of ES_MUTE_PATH_TYPE_PREFIX , ES_MUTE_PATH_TYPE_LITERAL , ES_MUTE_PATH_TYPE_TARGET_PREFIX , and ES_MUTE_PATH_TYPE_TARGET_LITERAL .現在，我們不支持反轉。如果ES團隊每次添加倒置而不是每位客戶，我會很喜歡它。

• 詳細的事件事實。右鍵單擊表行中的任何事件以訪問事件元數據，過濾，靜音和退訂選項。用戶體驗的核心是能夠鑽入任何給定事件或一組事件的能力。為了啟用此功能，我們開發了“事件事實”窗口，其中包含元數據 /有關任何給定事件的其他功能。每個事件都有一個策劃的集合元數據。例如，過程執行事件通常包含代碼簽名信息，環境變量，相關事件等。在下面，您可以看到文件創建和BTM啟動項目添加的事件事件的示例。

• 事件相關是任何分析師工具帶中非常重要的組成部分。查看哪些事件與另一個事件“相關”的能力使您能夠以有意義的方式來操縱遙測（僅僅將其傾倒到JSON或代表個人事件之外）。我們在過程級別執行事件相關性 - 這意味著，對於任何給定的事件（具有啟動和/或目標過程），我們可以深入鏈接任何給定過程啟動的事件。

• 過程分組是代表圍繞給定的ES_EVENT_TYPE_NOTIFY_EXEC或ES_EVENT_TYPE_NOTIFY_FORK事件的另一種有用方法。通過以這種方式對過程進行分組，您可以輕鬆識別活動鏈。

• 偽像過濾使用戶可以根據：事件類型，啟動過程路徑或目標過程路徑從視圖中刪除（但不會破壞）事件。此出色的功能使分析師能夠快速削減噪聲，同時仍保留所有數據。

  • 有損過濾（即從痕跡刪除的事件）也以“掉落平台二進製文件”的形式獲得，這是另一種有用的方法，可以切斷噪聲。

• 遙測導出。現在，我們支持Pretty JSON和JSONL（一個JSON對象每條線），以完成完整或部分系統跟踪（鍵盤快捷鍵）。您可以在“導出遙測”下的菜單欄中訪問這些選項。
• 過程子樹生成。在查看任何給定事件的事件事實窗口時，我們將嘗試在左側側邊欄中生成一個過程譜系子樹。這棵樹是棘手的 - 單擊任何過程，您將被帶到其事件事實。同樣，您可以右鍵單擊樹上的任何過程以彈出該事件的事實。
• 動態事件分配圖。這是Swiftui團隊啟用的有趣之處。該圖顯示了您訂閱的事件的分佈，目前在範圍內（即未過濾），並且數量多。這使您能夠非常快速地確定嘈雜的事件。圖表自動顯示/隱藏自身，但是您可以將其帶回工具欄中的“迷你圖”按鈕。

• 任何動態分析工具的另一個非常重要的功能是不要讓事件限制器或內存效率低下的實現妨礙用戶體驗。為了解決這個問題（我們目前最好的），我們已經實現了異步的父 /孩子般的核心數據堆棧，該數據堆棧將我們的事件存儲為“實體”中的內存。這使我們能夠使用Mac Monitor存儲幾乎無限的事件。雖然，隨著事件限制變得非常大，插入時間確實變得更加徵稅。
• 由於MAC監視器是基於一個安全擴展程序，該安全性始終在後台運行（例如EDR傳感器），因此我們在功能上烤製，因此當不發生系統跟踪時，它不會處理事件。這意味著，當不發生跟踪時，紅色的加油安全擴展（ com.redcanary.agent.securityextension ）將不必要地利用資源 /電池電量。
• 配電包：經常忽略安裝過程。但是，如果用戶對正在安裝的內容沒有很好的了解，或者是否太複雜而無法安裝進入障礙，則可能足夠高，無法勸阻人們使用它。這就是為什麼我們將Mac顯示器作為公證的分銷包裝。

我們知道您想從源代碼和/或構建工具或商業產品中學習多少。但是，目前，MAC顯示器將作為免費的封閉源工具分發。享受所提供的東西，請繼續提供您的出色反饋。此外，如果您想進一步了解實施的一個方面，請不要猶豫。當涉及到實施，用法和研究方法論方面，我們是一本公開的書。