Маковый мониторинг. Отслеживаем системные события в macOS - «Новости»
16-07-2023, 00:00. Автор: Пелагея
Red Canary Mac Monitor
Одна из немногих компаний, которая занимается в том числе и безопасностью macOS, — Red Canary. В мае 2023 года она выпустила утилиту под названием Mac Monitor. Эта программа отлично подойдет для демонстрации того, как вообще выглядят события ESF и как с ними можно работать. Также она будет очень полезна тем, кто проводит live response в системе.
В настройках можно установить фильтры и подписки на конкретные типы событий.
Так выглядит событие запуска команды curl после парсинга.
Тут мы можем увидеть события, которые относятся к главному событию.
А вот процесс‑инициализатор.
Событие запуска команды curl в сыром виде.
Загрузить утилиту можно по ссылке с GitHub.
Только для live response
Для реализации полноценного мониторинга Red Canary Mac Monitor нам не подойдет по следующим причинам:
- Это приложение придется раскатывать по всем системам.
- Хакер может легко прибить этот процесс.
- Его, как приложение, проблематично замаскировать и поставить в бэкграунд.
- Утилита собирает далеко не все типы событий и многое упускает из виду.
Следующий инструмент — хорошая бесплатная альтернатива вендорскому EDR. Скажу по секрету, коммерческие EDR под капотом поголовно используют ESF.
Ну и как же мониторить?
Перейдем к нативным средствам. Утилиты вроде Red Canary Mac Monitor используют Endpoint Security API и делают упор на визуализацию и красоту. Решение, которое мы запряжем в наш SOC, ориентируется на нативность, полноту и безопасность.
Это eslogger, утилита командной строки, она предоставляет прямой доступ непосредственно к генерируемым ядром событиям и поставляется со всеми версиями macOS выше Ventura. Этакий поисковик среди событий.
Плюсы eslogger:
- уже есть на каждой macOS Ventura;
- не грузит систему при использовании;
- выдает лог в текстовом формате, а не бинарном;
- дает отличную видимость активности.
Перейти обратно к новости