Esmat 是一款全新的免費開源工具,它適用於 macOS 的 Command-line 讓使用者可以在 Apple Endpoint Security Framework (端點安全框架)中探索其行為。
什麼是 Apple Endpoint Security Framework(端點安全框架)?
Apple 在 macOS 10.15 (Catalina) 中引入了 Endpoint Security Framework (ESF),端點安全是一個可監控系統有無惡意活動或事件的 API,事件類型包括檔案系統、執行中的程式、記憶體檔案對映、更改使用者或群組。
授權與通知(Authorization vs. Notification)
端點安全可以在兩種模式下執行:授權與通知。授權事件是同步的並且可以用來阻止像是執行中程式的操作;但通知事件是非同步的,因為是非同步的,無法知道當下發生了什麼事,因此只能用來觀察,不能用於阻止。點選 es_event_type_t 可以查看所有可用的授權與通知的事件類型。
Esmat 是做什麼的?
Esmat 是用來監控由使用者所指定的端點安全事件類型,在啟動之後,它就會像碼表一樣工作,每按一次 Ctrl + T,隨即就會列印出在監視中的所有的可執行檔案及事件類型的統計數據。
Esmat 有兩個主要的使用範例:
- 調查執行中程式的行為以及建立子程式?
- 分析端點安全框架(ESF)的能力。
可以到 esmat 的 GitHub 中下載,也可在該頁面中找到關於 esmat 的相關文件。
你的下一步
TWDC 提供 macOS IT 人員相關學習課程,進一步了解 macOS 安全防護科技。或歡迎與我們諮詢 macOS 相關的終端防護軟體。
原文連結:https://uberagent.com/blog/esmat-new-free-macos-endpoint-security-framework-esf-message-analysis-tool/
