Endpoint Securityの最新情報

♪ 落ち着いた雰囲気のヒップホップ音楽 ♪ ♪ こんにちは Danielです Security Engineering and Architecture team に所属しており Endpoint Securityの最新情報について お話しします Endpoint Securityは Mac で セキュリティ製品を構築するための API です C API でサードパーティアンチウィルス エンドポイント検知および対応 データ漏洩防止ソリューションに 充実した セキュリティイベントストリームを提供します Endpoint Securityは 廃止された Kauth KPI 非対応の MAC カーネルフレームワーク OpenBSM 監査証跡の代用として macOS Catalina で初めて導入されました Endpoint SecurityAPI で この機能を利用可能にすることにより カーネル拡張子の作成が不要になりました Endpoint Securityの導入は 大きな成功を収めました この機能を使用したセキュリティ製品に関して 肯定的なフィードバックをいただいています Endpoint Securityの導入の詳細は2020年の 「Endpoint Security Appのビルド」を ご覧ください 本セッションでは macOS Ventura に追加された新しいイベント ミュート機能の改善新しいユーティリティ eslogger についてお話しします 新しいイベントから始めましょう macOS Monterey では100件以上のイベントが Endpoint Securityでサポートされ 今まではこれらのイベントは プロセスのフォーキングや ファイルの開設などカーネル内で生じる 重要なイベントに集中していました macOS Ventura ではユーザー空間で生じる セキュリティ関連のイベントを含むために 一連の観察可能なイベントを拡大しています 具体的に言うと 認証ログイン ログアウト Gatekeeper のXProtect に可視性を追加 新しい認証イベントはユーザが OS に 認証を追加する状況に対応します これにはローカルのユーザ アカウントのログインに加え 管理者としての操作の認証など 他の場所での認証が含まれます このようなイベントは 通常 不審なアクセスパターンを 観察したいセキュリティ 製品により使用されます 以前は 認証イベントを観察したい場合 廃止された OpenBSM監査証跡に依存する 必要がありましたがもはや必要ありません 同等の監査と比較すると 新しいイベントは情報がより豊富で Apple Watchを 使用した 監査では利用不可だった 自動解除への可視性を提供します 同様にユーザセッションにも 可視性が提供されます ログインイベントは誰かまたは何かが コンソールでローカル システムにログインするか リモートアクセスで対応されている方法を使い リモートでログインした際の状況に対応します これらのイベントで利用可能な内容は OpenBSM 監査証跡を大幅に超えます システムのアクセスに対し企業フリートの ラテラルムーブメントを含む より包括的な可視性を得ることができます Getekeeper の任務には既知のマルウェアの 検知と阻止が含まれています macOS Ventura で開始することで Endpoint Securityは マルウェアの検知とマルウェアの阻止と削除を 実行するための可視性を提供します 以前この情報は体系的に利用不可でしたが Endpoint Security APIで利用可能になりました これらの追加機能があれば ほとんどの Endpoint Security顧客は OpenBSM 監査証跡に 依存する必要がなくなります 監査証跡は macOS Big Sur 以降廃止されており 将来の macOS.では削除されます 次はミュート機能について macOS Catalina 以降では監査トークン または 実行可能イメージパスで ミュートが対応されています ミュート機能はデッドロック ハング ウォッチドッグ タイムアウトを防ぐために重要なツールで セキュリティに基づいた 皆さんんのソリューションの パフォーマンスへの影響を 管理するのにも重要です 去年macOS Monterey において デフォルトで実行可能な少量のセットに対して 一部のイベントタイプを ミュートすることで生じる システムの不安定性に対処し始めました ミュートを解除することは できますが システムの 安定性を保つためにミュートにしてください macOS Ventura では目標パスに ミュートを導入して機能を拡大しました 実世界の多くのユースケースでは メスのように精密なミュートが可能です 特定のファイルパスをミュートしたり 皆さんのAppが受信を好まない パスプレフィックスをミュートしたりできます これはログファイルのイベントに興味がなく /var/logに目標パスがある場合に すべてのイベントをミュートする方法です ２つ目の例ではes_mute_path_eventsを /dev/nullなど単一ファイルに ミュートのみの書き込み イベントに使う方法です さらに ミュートロジックを反転させる 可能性も採用しました 特定のプロセスに基づいたイベント 実行可能なパス目標パスを抑制する 代わりに３つのミュートから選択でき 興味のあるプロセスや実行可能パス 目標パスを選択し ミュートした一致しないイベントではなく 一致したイベントのみを受信できます 例えば 特定の永続的な場所のみに ファイルイベントを選択できます es_invert_mutingを使用し 目標パスを 反転する方法を説明します 以前に存在した目標パスを ミュート 目標パスのプレフィックスがある イベントのみを選択します これによりミュート戦略が向上し 最終的にEndpoint Securityに 基づいた製品ですばらしいユーザ体験を 提供できることが期待されます 最後に eslogger をご紹介します Native Client を書かずに Endpoint Securityを提供する 機能に対するリクエストを多く受けました macOS Ventura 以降ではコマンドライン ユーティリティを介してEndpoint Securityの 力を利用できるようになります eslogger は特定のイベントの イベントストリームに入り JSON形式のイベントデータを 標準の出力や 統合ログイン システムに放出します データは Native Client が使用する C 表現のように構造されます esloggerはEndpoint Securityが Venturaで サポートする 80のすべての 通知をサポートします eslogger がエンジニアだけでなく Endpoint Security クライアントに取り組む方や macOSでセキュリティ関連の イベントに対し 可視性を 必要とするセキュリティアナリストや その他の セキュリティ実践者に役立つことを願います

esloggerは OS に付属しすでに Endpoint Securityの資格があります すべてのEndpoint Security クライアントと同様に eslogger はスーパーユーザーとして実行され ユーザーはTerminal.appやSSHなど フルディスクアクセスのプロセスに対し 権限を得る必要があります また Appで使用するものではありません 出力はソフトウェアの更新で変更します Endpoint Security API がネイティブとして インターフェースで 接続するのと同じ性能特性や 機能セットを提供するための ものではありません Appはネイティブとして接続します それではeslogger を使い 新しいイベントを探索してみましょう openssh_login と_logout events を登録し SSH セッションの開始と終了に eslogger を使用してログし 出力をファイルにリダイレクトします

別のタブではSSH を使用し ローカルでログインとログアウトを行います

最初のタブに戻りeslogger を変換します

生の JSON 形式でイベントデータを 見てみましょう お好みの方法でJSON データの 作業方法があるかと思いますが ここでは jq を使い詳細に調べます

情報がかなりあります Endpoint Securityイベントと 興味のあるデータに絞り込みます それらの放出プロセスの情報はすでにあります

どちらもSSHデーモンにより放出されています また 例えば監査トークンを検証し イベントを放出したプロセスの PID を 収集することもできます

最後にこれらのイベントでイベントに特定した フィールドを見てみましょう ユーザアカウントへのSSH ログインと ログアウトに成功しています この方法でEndpoint Securityへの 可視性を得られることに私は満足しています マルウェアの動作を監視し 検知方法を試すのに役立ちます 皆さんもセキュリティソリューションに 新しいイベントや向上したミュート機能を ご活用ください WWDC へのご参加ありがとうございます