关于Mac Monitor

Mac Monitor是一款功能强大的高级独立系统安全监控工具，该工具专为macOS安全研究、恶意软件分类和系统故障排除而设计，主要基于Apple Endpoint Security（ES）实现其功能。

Mac Monitor能够收集各种类型的系统事件，然后以图形化的形式展示，并提供了一个可扩展的功能集，旨在过滤、查找和显示我们感兴趣的事件。该工具能够收集的遥测数据除了丰富的元数据外，还包括进程、进程间和文件事件，使用户可以轻松地将事件置于上下文中进行分析。

凭借直观的界面和丰富的分析功能，普通用户和安全专家都可以轻松检测针对macOS操作系统的各类威胁。

功能要求

1、处理器：我们建议在Apple Silicon上使用，但Intel并非不可；

2、系统内存：建议4GB+；

3、macOS版本：建议13.1+（Ventura）；

工具安装

Homebrew安装

brew install --cask red-canary-mac-monitor

普通安装

广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的预编译Mac Monitor。

然后运行“Red Canary Mac Monitor.app”，同意工具所需的相关权限请求。

接下来，系统设置将会自动打开“全磁盘访问”，你需要在这里勾选启用“Red Canary Security Extension”。

最后，点击应用程序中的“Start”按钮即可开始使用Mac Monitor了。

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/redcanaryco/mac-monitor.git

工具卸载

brew uninstall red-canary-mac-monitor

工具使用演示

路径消除和事件订阅

事件详情查看

组件过滤

事件分布图表

代码构建

项目地址

Mac Monitor：【GitHub传送门】

参考资料

https://developer.apple.com/documentation/endpointsecurity/3259700-es_new_client#:~:text=The%20user%20does%20this%20in%20the%20Security%20and%20Privacy%20pane%20of%20System%20Preferences%2C%20by%20adding%20the%20app%20to%20Full%20Disk%20Access.