macOS 11 以降では、Carbon Black Cloud macOS センサー (v3.5.1) は、以前のバージョンのエージェントで使用されているカーネル拡張機能 (KEXTs) ではなく、システム拡張機能 (ユーザー空間) を介してユーザー空間でデフォルトで動作します。したがって、macOS 11 以降のシステム拡張モードでセンサーを使用する場合、機能上いくつかの違いがあります。
KEXT モードでセンサーを使用すると、古いオペレーティング システムと同じ機能が macOS 11 で実現されます。
特に指定がない限り、Carbon Black Cloud の macOS 機能に関連するドキュメントは、macOS 10.15 以前、または macOS 11 の KEXT を介して提供される機能に関連します。
次のマトリックスは、Carbon Black Cloud の macOS 機能の概要を示しています。macOS 11 以降の列に詳しく説明されている機能は、最初の macOS 11 互換センサー リリース (v3.5.1 以降) のユーザー空間 (システム拡張) におけるセンサーの機能に関連しています。カーネル拡張機能を介して提供される機能については、macOS 10.12 - 11 以降の列を参照してください。
| 機能 | macOS10.12 - 11 (KEXT) | macOS 11+ (ユーザー空間) |
|---|---|---|
| 動作 EDR (分析検出) | X | X |
| 動作ベースの防止 (非レピュテーション ポリシー ルール) | X | 進行中 |
| 対象を絞った防止 (プロセスの終了) | X | X |
| 対象を絞った防止 (プロセスの拒否) | X | 進行中 |
| レピュテーションベースの防止 (CB 分析) | X | X |
| 禁止リスト ベースの防止 (拒否リスト) | X | X |
| 承認リストの容認 (ハッシュ、証明書、IT ツール) | すべて | ハッシュのみ |
| マルウェアの自動削除 | X | X |
| スクリプト検出 | X | X |
| オンデマンド ファイル収集 | X | X |
| オンデマンド ファイルの削除 | X | X |
| オンデマンド - エンドポイントのネットワーク分離 (隔離) | X | X |
| 修正のためのインタラクティブなリモート シェル機能 (Live Response) | X | X |
| 動作ベースのランサムウェアの検出/防止 (非レピュテーション) | X | 処理中 |
| Keylogger (CGEventTap) の検出 | X | 処理中 |
| XProtect ブロック イベントの収集 | X |
