Мониторинг мака. Отслеживание системных событий в macOS
Три вещи можно наблюдать бесконечно: горящий огонь, текущую воду и события в операционной системе. И если в Windows средства мониторинга и логирования уже хорошо понятны пользователям и системным администраторам, то в macOS не все так просто. Сегодня мы говорим о бесплатных инструментах отслеживания событий для Mac и их практическом применении.
Как мы привыкли к событиям Windows… С ними все понятно, в сети доступно огромное количество материала по созданию централизованной коллекции событий с помощью Windows Event Forwarding. Многие руководства предлагают пошаговые инструкции с ответами на вопросы из серии «Сколько WEC (Windows Event Collector) вам нужно для парка в 4000 автомобилей?».
Однако очень мало внимания уделяется компьютерам на базе macOS. Причины очевидны: сейчас немногие организации готовы покупать Mac для своих сотрудников. Это дорого, непонятно, как управлять этими машинами, и много проблем с совместимостью. Кроме того, на рынке не так много специалистов, которые знают, как остановить эту операционную систему и как ее обезопасить, потому что существуют угрозы и для macOS. Однако решение проблемы слежки есть, и оно уже встроено в систему, начиная с версии 10.15 Catalina.
Contents
Методы мониторинга
В macOS есть три способа отслеживать события:
- Коммерческий ЭДР.
- Оскерия.
- Эслоггер (ESF).
О последнем мы и поговорим, пытаясь понять, как работает этот инструмент.
Информация
Ранее для мониторинга событий в macOS использовалась подсистема аудита OpenBSM. Она была разработана McAfee Research по специальному заказу Apple в 2004 году. Позже исходный код был передан в TrustedBSD для нужд сообщества. Этот инструмент был удален из macOS в Big Sur и больше не поддерживается.
Endpoint Security Framework (ESF) — это собственный компонент macOS, который активно ищет события и реагирует на них. Инструмент позволяет подписаться на события уведомлений и авторизации. Его принцип работы можно сравнить с трассировкой событий для Windows (ETW). Он позволяет вам видеть низкоуровневые события, связанные с процессами, файлами, некоторыми сетями и памятью и многим другим!
Как это работает?
Раньше, если компания бралась за разработку решения Endpoint Security, она должна была делать так называемое Kernel Extension (модуль ядра). Примерами таких решений являются OpenBSM, Kauth KPI, MAC Framework. Решения, основанные на расширении ядра, было сложно разрабатывать и поддерживать. Незначительные ошибки могли привести к панике ядра, а ошибочный код пробивал новые бреши в безопасности macOS.
В Apple это прекрасно понимали, и поэтому в 2019 году (лучше поздно, чем никогда) они заменили расширения ядра, которые работали в пространстве ядра, на системные расширения, которые работали в пространстве пользователя. Теперь у разработчиков развязаны руки. Все стало намного удобнее.
Информация
Хотя расширения ядра сейчас устарели, их все еще можно использовать в современной macOS — но с оговоркой, что профиль безопасности системы должен быть значительно снижен. Этого может быть очень трудно достичь, и обычно это делается только в целях разработки. Если поставщики не заменят кексты системными расширениями, они могут поставить под угрозу безопасность систем своих клиентов.
Текущая схема работы Endpoint Security
Есть два типа событий: Уведомление и Авторизация. Оба предоставляют одинаковую информацию, но между ними все же есть разница.
- Уведомление – этот тип необходим для информирования о деятельности. Пример: запустить бинарник.
- Авторизация – этот тип необходим для блокировки активности. Пример: когда происходит событие, ядро обращается к системному расширению антивирусного программного обеспечения, чтобы проверить, можно ли запустить процесс. Если ответа нет, то процесс зависает на месте и никогда не запускается в пользовательском пространстве.
Существует большое количество событий, на которые можно подписаться, чтобы получать информацию о происходящем в системе в режиме реального времени.
На сайте разработчиков Apple есть полный список событий с описанием того, что содержит каждая часть информации.
Красная Канарейка Монитор Mac
Red Canary — одна из немногих компаний, которая также занимается безопасностью macOS. В мае 2023 года он выпустил утилиту под названием Mac Monitor. Эта программа отлично подходит для того, чтобы показать, что такое события ESF в целом и как с ними можно работать. Также будет очень полезно для тех, кто ведет прямой отклик в системе.
В настройках можно установить фильтры и подписки на определенные типы событий.
Так выглядит событие запуска команды curl после парсинга.
Здесь мы можем видеть события, которые относятся к основному событию.
А вот и процесс инициализации.
Событие запуска команды curl сырой
Скачать утилиту можно с Ссылка на Гитхаб.
Только для живого ответа
Для реализации полноценного мониторинга Red Canary Mac Monitor нам не подходит по следующим причинам:
- Это приложение должно быть реализовано на всех системах.
- Хакер может легко захватить этот процесс.
- Его, как приложение, замаскировать и поставить на задний план проблематично.
- Утилита собирает вдали от всяких событий и многое упускает из виду.
Следующий инструмент является хорошей бесплатной альтернативой EDR поставщика. Открою вам секрет, коммерческие EDR используют ESF под капотом.
Итак, как вы контролируете?
Перейдем к нативным инструментам. Такие инструменты, как Red Canary Mac Monitor, используют API Endpoint Security и подчеркивают визуальные эффекты и красоту. Решение, которое мы используем в нашем SOC, ориентировано на нативность, полноту и безопасность.
Это eslogger, утилита командной строки, которая обеспечивает прямой доступ к событиям, генерируемым ядром, и поставляется со всеми версиями macOS выше Ventura. Этакий поисковик между событиями.
Плюсы эслогера:
- уже доступно на каждой macOS Ventura;
- не нагружает систему во время использования;
- выдавать лог в текстовом формате, а не в бинарном;
- дает отличную видимость деятельности.
