关于Mac Monitor
Mac Monitor是一款功能强大的高级独立系统安全监控工具,该工具专为macOS安全研究、恶意软件分类和系统故障排除而设计,主要基于Apple Endpoint Security(ES)实现其功能。
Mac Monitor能够收集各种类型的系统事件,然后以图形化的形式展示,并提供了一个可扩展的功能集,旨在过滤、查找和显示我们感兴趣的事件。该工具能够收集的遥测数据除了丰富的元数据外,还包括进程、进程间和文件事件,使用户可以轻松地将事件置于上下文中进行分析。
凭借直观的界面和丰富的分析功能,普通用户和安全专家都可以轻松检测针对macOS操作系统的各类威胁。
功能要求
1、处理器:我们建议在Apple Silicon上使用,但Intel并非不可;
2、系统内存:建议4GB+;
3、macOS版本:建议13.1+(Ventura);
工具安装
Homebrew安装
brew install --cask red-canary-mac-monitor
普通安装
广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的预编译Mac Monitor。
然后运行“Red Canary Mac Monitor.app”,同意工具所需的相关权限请求。
接下来,系统设置将会自动打开“全磁盘访问”,你需要在这里勾选启用“Red Canary Security Extension”。
最后,点击应用程序中的“Start”按钮即可开始使用Mac Monitor了。
源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/redcanaryco/mac-monitor.git
工具卸载
brew uninstall red-canary-mac-monitor
工具使用演示
路径消除和事件订阅
事件详情查看
组件过滤
事件分布图表
代码构建
项目地址
Mac Monitor:【GitHub传送门】
参考资料
es_new_client | Apple Developer Documentation
