macOS 11 以降では、Carbon Black Cloud macOS センサー (v3.5.1) は、以前のバージョンのエージェントで使用されているカーネル拡張機能 (KEXT) ではなく、システム拡張機能 (ユーザー空間) を使用してユーザー空間でデフォルトで動作します。
したがって、macOS 11 以降のシステム拡張モードでセンサーを使用する場合、機能上いくつかの違いがあります。
KEXT モードでセンサーを使用すると、古いオペレーティング システムと同じ機能が macOS 11 で実現されます。
特に指定がない限り、Carbon Black Cloud の macOS 機能に関連するドキュメントは、macOS 10.15 以前、または macOS 11 の KEXT を介して提供される機能に関連します。
次のマトリックスは、Carbon Black Cloud の macOS 機能の概要を示しています。macOS 11 以降の列に詳しく説明されている機能は、最初の macOS 11 互換センサー リリース (v3.5.1 以降) のユーザー空間 (システム拡張) におけるセンサーの機能に関連しています。カーネル拡張機能を介して提供される機能については、macOS 10.12 - 11 以降の列を参照してください。
| 機能 | macOS10.12 - 11 (KEXT) | macOS 11+ (ユーザー空間) |
|---|---|---|
| 動作 EDR (分析検出) | X | X |
| 動作ベースの防止 (非レピュテーション ポリシー ルール) | X | X |
| 対象を絞った防止 (プロセスの終了) | X | X |
| 対象を絞った防止 (プロセスの拒否) | X | X |
| レピュテーションベースの防止 (CB 分析) | X | X |
| 禁止リスト ベースの防止 (拒否リスト) | X | X |
| 承認リストの容認(ハッシュ) | すべて | X |
| 承認リストの容認(証明書、IT ツール) | X | X |
| マルウェアの自動削除 | X | X |
| スクリプト検出 | X | X |
| オンデマンド ファイル収集 | X | X |
| オンデマンド ファイルの削除 | X | X |
| オンデマンド - エンドポイントのネットワーク分離 (隔離) | X | X |
| 修正のためのインタラクティブなリモート シェル機能 (Live Response) | X | X |
| 動作ベースのランサムウェアの検出/防止 (非レピュテーション) | X | X |
| Keylogger (CGEventTap) の検出 | X | X |
| XProtect ブロック イベントの収集 | 進行中 | X |
| 機能 | macOS10.12 - 11 (KEXT) | macOS 11+ (ユーザー空間) |
|---|---|---|
| 監査と修正 (エンタープライズ クラスの Osquery) | X | X |
| API を開いてすべてのエンドポイント データをクエリ | X | X |
| API を開いてすべての修正機能を呼び出す | X | X |
| 機能 | macOS10.12 - 11 (KEXT) | macOS 11+ (ユーザー空間) |
|---|---|---|
| 継続的なエンドポイント テレメトリ データ収集: | X | X |
|
X | X |
|
X | X |
|
X | X |
|
X | X |
|
X | X |
|
X | X |
| 30 日間のデータ保持 (アラートに関連付けられている場合はもっと長い) | X | X |
| 正規表現およびワイルドカード検索/アラート クエリ言語のサポート | X | X |
| カスタム/お客様が作成したアラート基準 | X | X |
| 業界標準の脅威フィード (STIX/TAXII) のサポート | X | X |
| 機能 | macOS10.12 - 11 (KEXT) | macOS 11+ (ユーザー空間) |
|---|---|---|
| センサーのアンインストール防止 (一意のコードが必要) | X | 進行中 |
| センサーの改ざん防止 | X | X |
| 業界標準インストーラ (.msi/.dmg/tar) | X | X |
| コンソール駆動センサーのアップグレード | X | X |
| ポリシー制御されたセンサーのアップグレード | X | X |
| センサーの健全性の監視/アラート | X | X |
