Crescendo — это средство просмотра событий в реальном времени для macOS, которое использует ESF для отображения выполнения и разветвления процессов, событий файлов, событий монтирования общего доступа, загрузок расширений ядра и данных событий IPC. ESF предоставляет огромное количество данных, но цель состояла в том, чтобы просто выбрать то, что могло бы заинтересовать аналитиков при анализе вредоносного ПО или попытке понять, как работает процесс (или компонент). Просто нужное количество данных, не являющееся потоком событий для пользователя. Функции
- Расширение системы с помощью Endpoint Security Framework
- Средство просмотра событий в реальном времени и средство просмотра сведений о событиях
- Поиск для простой фильтрации событий по процессу, PID, имени пользователя или типу события
- Фильтры для неподписанных приложений и приложений, подписанных Apple
- Возможность экспортировать все события в JSON
- Подсветка контекста при выполнении неподписанных приложений
Apple добавила некоторые дополнительные функции безопасности, которые требуют дополнительной настройки для включения системного расширения Crescendo. Перейдите к разделу «Начало работы» в README, чтобы начать. Я надеюсь, что это неудобство будет исправлено в будущих версиях.
