taibeihacker
Moderator
红色金丝雀MAC监视器是advanced, stand-alone system monitoring tool tailor-made for macOS security research, malware triage, and system troubleshooting。利用Apple Endpoint安全性(ES),它收集和丰富了系统事件,以图形方式显示它们,其扩展的功能集旨在仅表现出与您相关的事件。收集到的遥测包括除了丰富的元数据外,还包括过程,分解和文件事件,使用户可以将事件上下文化并轻松地讲述故事。 Red Canary MAC显示器具有独立的接口和丰富的分析功能,设计了用于广泛的技能水平和背景,以检测MACOS威胁,否则这些威胁将不会引起人们的注意。作为Red Canary对研究社区的承诺的一部分,可以免费下载MAC监视器分销包。
转到发布部分,然后下载最新的安装程序: https://github.com/REDCANARYCO/MAC-MONITOR/RELEASES打开APP: RED CANARY MAC MONION.APP您将提示“打开系统设置”以“允许”系统扩展。接下来,系统设置将自动开放到完整的磁盘访问- 您需要翻转开关以启用红色金丝雀安全扩展名。完整的磁盘访问是端点安全性的要求。 ️单击应用程序中的“开始”按钮,您将提示您重新打开应用程序。完毕!
From the Finder删除该应用程序并进行身份验证以删除系统扩展。您不能从码头做到这一点。很容易!您也可以在应用程序菜单栏中或进入应用程序设置中删除安全扩展名。 (1.0.3)支持使用./contents/sharedsupport/uninstall.sh脚本使用。
当您可以下载新版本时,我们将制作新版本。我们将为每个版本提供更新的注释和遥测摘要(如果适用)。作为最终用户,您所需要做的就是下载更新并运行安装程序。我们会照顾其余的。
配电包,可轻松安装。请参阅发布部分。每个主要构建对应于代码名称。这些版本中的第一个是金心力学。遥测报告中的遥测报告/(即安全扩展可以收集的所有工件)。图标(符号和颜色的含义)中的图标/更新的静音集摘要/静音集/atomicesclient中的摘要是一个单独的,但非常紧密相关的项目,显示端点安全性的绳索在: atomicesclient/此外,您可以在此处提交功能请求和错误报告。创建新问题时,您将能够使用两个提供的模板之一。这些选项也可以从应用程序内“帮助”菜单访问。
功能请求错误报告
Dynamic runtime ES event subscriptions。您有能力可以在线修改事件订阅- 使您可以在轨迹上工作时降低噪音。
Path muting at the API level-苹果的端点安全团队最近为实现高级路径静音/反转功能提供了很多工作。在这里,我们涵盖了大多数API功能: es_mute_path和es_mute_path_events以及es_mute_mute_type_type_prefix的类型,es_mute_type_type_literal,es_mute_mute_mute_path_type_type_type_target_target_ptar_preit_preit_preter_mute_mute_pather_pathe_pathe_pathe_pathe_pathe_pathe_pathe_pathe_pather。现在,我们不支持反转。I'd love it if the ES team added inversion on a per-event basis instead of per-client。
Detailed event facts。Right click on any event在表行中以访问事件元数据,过滤,静音和退订选项。用户体验的核心是能够钻入任何给定事件或一组事件的能力。为了启用此功能,我们已经开发了“事件事实”窗口,其中包含有关任何给定事件的元数据/附加丰富。每个事件都有一个策划的集合元数据。例如,过程执行事件通常包含代码签名信息,环境变量,相关事件等。在下面,您可以看到文件创建和BTM启动项目添加的事件事件的示例。
Event correlation是任何分析师工具带中非常重要的组成部分。查看哪些事件与另一个事件“相关”的能力使您能够以有意义的方式操纵遥测(仅仅将其倾倒到JSON或代表个人事件之外)。我们在过程级别执行事件相关性- 这意味着,对于任何给定的事件(具有主动性和/或目标过程),我们可以深入链接任何给定流程预期的事件。
Process grouping是代表围绕给定的ES_EVENT_TYPE_NOTIFY_EXEC或ES_EVENT_TYPE_NOTIFY_FORK事件的另一种有用方法。通过以这种方式对过程进行分组,您可以轻松识别活动链。
Artifact filtering使用户可以根据:事件类型,启动过程路径或目标过程路径从视图中删除(但不会破坏)事件。此出色的功能使分析能够快速减少噪声,同时仍保留所有数据。
有损过滤(即从痕迹删除的事件)也以“掉落平台二进制”的形式获得,这是另一种削减噪声的有用技术。
Telemetry export。现在,我们支持Pretty JSON和JSONL(一个JSON对象每条线),以完成完整或部分系统跟踪(键盘快捷键)。您可以在“导出遥测”下的菜单栏中访问这些选项。Process subtree generation。在查看任何给定事件的事件事实窗口时,我们将尝试在左侧侧边栏中生成一个过程谱系子树。这棵树很棘手- 单击任何过程,您将被带到其事件事实。Similarly, you can right click on any process in the tree to pop out the facts for that event。Dynamic event distribution chart。这是Swiftui团队启用的有趣之处。该图显示了您订阅的事件的分布,当前范围内(即未过滤),并且计数多得多。这使您能够非常快速地确定嘈杂的事件。图表自动显示/隐藏自身,但是您可以使用工具栏中的:“迷你绘制”按钮将其带回。
Requirements
Processor:我们建议一台苹果硅机器,但英特尔也工作!系统存储器: 4GB+推荐MacOS版本: 13.1+(Ventura)How can I install this thing?
Homebrew?BREW INSTALS-CASK RED-ANARY-MAC-MAC-MAC-MAC-MONITOR转到发布部分,然后下载最新的安装程序: https://github.com/REDCANARYCO/MAC-MONITOR/RELEASES打开APP: RED CANARY MAC MONION.APP您将提示“打开系统设置”以“允许”系统扩展。接下来,系统设置将自动开放到完整的磁盘访问- 您需要翻转开关以启用红色金丝雀安全扩展名。完整的磁盘访问是端点安全性的要求。 ️单击应用程序中的“开始”按钮,您将提示您重新打开应用程序。完毕!
Install footprint
事件监视器应用程序,该应用程序建立了XPC连接到Security Extension:/Applications/Red Canary Mac Monitor.App w/com.redcanary.agent的签名标识符。安全扩展Uninstall
Homebrew?BRER卸载Red-Canary-Mac-Monitor。使用此选项时,可能会提示您进行身份验证以删除系统扩展。From the Finder删除该应用程序并进行身份验证以删除系统扩展。您不能从码头做到这一点。很容易!您也可以在应用程序菜单栏中或进入应用程序设置中删除安全扩展名。 (1.0.3)支持使用./contents/sharedsupport/uninstall.sh脚本使用。
How are updates handled?
Homebrew?BREW UPDATE BREW升级Red-Canary-Mac-Monitor。使用此选项时,可能会提示您进行身份验证以删除系统扩展。当您可以下载新版本时,我们将制作新版本。我们将为每个版本提供更新的注释和遥测摘要(如果适用)。作为最终用户,您所需要做的就是下载更新并运行安装程序。我们会照顾其余的。
How to use this repository
在这里我们将举办:配电包,可轻松安装。请参阅发布部分。每个主要构建对应于代码名称。这些版本中的第一个是金心力学。遥测报告中的遥测报告/(即安全扩展可以收集的所有工件)。图标(符号和颜色的含义)中的图标/更新的静音集摘要/静音集/atomicesclient中的摘要是一个单独的,但非常紧密相关的项目,显示端点安全性的绳索在: atomicesclient/此外,您可以在此处提交功能请求和错误报告。创建新问题时,您将能够使用两个提供的模板之一。这些选项也可以从应用程序内“帮助”菜单访问。
功能请求错误报告
How are releases structured?
每个发行版Red Canary Mac Monitor都有相应的构建名称和版本号。第一个版本的构建名称为: Goldcardinal和版本编号1.0.1。What are some standout features?
High fidelity ES events modeled and enriched,其中一些事件包含进一步的富集。例如,一个流程是文件隔离,文件被隔离,代码签名证书等。Dynamic runtime ES event subscriptions。您有能力可以在线修改事件订阅- 使您可以在轨迹上工作时降低噪音。
Path muting at the API level-苹果的端点安全团队最近为实现高级路径静音/反转功能提供了很多工作。在这里,我们涵盖了大多数API功能: es_mute_path和es_mute_path_events以及es_mute_mute_type_type_prefix的类型,es_mute_type_type_literal,es_mute_mute_mute_path_type_type_type_target_target_ptar_preit_preit_preter_mute_mute_pather_pathe_pathe_pathe_pathe_pathe_pathe_pathe_pathe_pather。现在,我们不支持反转。I'd love it if the ES team added inversion on a per-event basis instead of per-client。
Detailed event facts。Right click on any event在表行中以访问事件元数据,过滤,静音和退订选项。用户体验的核心是能够钻入任何给定事件或一组事件的能力。为了启用此功能,我们已经开发了“事件事实”窗口,其中包含有关任何给定事件的元数据/附加丰富。每个事件都有一个策划的集合元数据。例如,过程执行事件通常包含代码签名信息,环境变量,相关事件等。在下面,您可以看到文件创建和BTM启动项目添加的事件事件的示例。
Event correlation是任何分析师工具带中非常重要的组成部分。查看哪些事件与另一个事件“相关”的能力使您能够以有意义的方式操纵遥测(仅仅将其倾倒到JSON或代表个人事件之外)。我们在过程级别执行事件相关性- 这意味着,对于任何给定的事件(具有主动性和/或目标过程),我们可以深入链接任何给定流程预期的事件。
Process grouping是代表围绕给定的ES_EVENT_TYPE_NOTIFY_EXEC或ES_EVENT_TYPE_NOTIFY_FORK事件的另一种有用方法。通过以这种方式对过程进行分组,您可以轻松识别活动链。
Artifact filtering使用户可以根据:事件类型,启动过程路径或目标过程路径从视图中删除(但不会破坏)事件。此出色的功能使分析能够快速减少噪声,同时仍保留所有数据。
有损过滤(即从痕迹删除的事件)也以“掉落平台二进制”的形式获得,这是另一种削减噪声的有用技术。
Telemetry export。现在,我们支持Pretty JSON和JSONL(一个JSON对象每条线),以完成完整或部分系统跟踪(键盘快捷键)。您可以在“导出遥测”下的菜单栏中访问这些选项。Process subtree generation。在查看任何给定事件的事件事实窗口时,我们将尝试在左侧侧边栏中生成一个过程谱系子树。这棵树很棘手- 单击任何过程,您将被带到其事件事实。Similarly, you can right click on any process in the tree to pop out the facts for that event。Dynamic event distribution chart。这是Swiftui团队启用的有趣之处。该图显示了您订阅的事件的分布,当前范围内(即未过滤),并且计数多得多。这使您能够非常快速地确定嘈杂的事件。图表自动显示/隐藏自身,但是您可以使用工具栏中的:“迷你绘制”按钮将其带回。