osquery

OSQuery ist ein SQL Powered -Betriebssysteminstrumentierungs-, Überwachungs- und Analyse -Framework.
Verfügbar für Linux, MacOS und Windows.

• Homepage: Osquery.io
• Downloads: osquery.io/downloads
• Dokumentation: Redethedocs
• Stapelüberlauf: Stapelüberlauffragen
• Tabellenschema: osquery.io/schema
• Abfragepakete: osquery.io/packs
• Slack: Durchsuchen Sie die Archive oder schließen Sie sich dem Gespräch an
• Status erstellen:
• CII Best Practices:

OSQuery enthält ein Betriebssystem als relationale Hochleistungsdatenbank. Auf diese Weise können Sie SQL-basierte Abfragen schreiben, um Betriebssystemdaten zu untersuchen. Mit OSQuery stellen SQL -Tabellen abstrakte Konzepte wie Auslaufprozesse, geladene Kernelmodule, geöffnete Netzwerkverbindungen, Browser -Plugins, Hardwareereignisse oder Datei -Hashes dar.

SQL -Tabellen werden über ein einfaches Plugin- und Erweiterungs -API implementiert. Es gibt bereits eine Vielzahl von Tabellen und weitere werden geschrieben: https://osquery.io/schema. Betrachten Sie die folgenden SQL -Abfragen, um die Ausdruckskraft, die Ihnen von OSQuery zugänglich ist, am besten zu verstehen:

Listen Sie die users auf:

 SELECT * FROM users;

Überprüfen Sie die processes , bei denen eine ausführbare Datei gelöscht wurde:

 SELECT * FROM processes WHERE on_disk = 0 ;

Holen Sie sich den Prozessnamen, den Port und die PID für Prozesse, die auf allen Schnittstellen zuhören:

 SELECT DISTINCT processes . name , listening_ports . port , processes . pid
  FROM listening_ports JOIN processes USING (pid)
  WHERE listening_ports . address = ' 0.0.0.0 ' ;

Finden Sie jeden MacOS -Launchdaemon, der eine ausführbare Datei auf den Markt bringt und es läuft:

 SELECT name, program || program_arguments AS executable
  FROM launchd
  WHERE (run_at_load = 1 AND keep_alive = 1 )
  AND (program != ' ' OR program_arguments != ' ' );

Überprüfen Sie aus Sicht des Gastgebers nach ARP -Anomalien:

 SELECT address, mac, COUNT (mac) AS mac_count
  FROM arp_cache GROUP BY mac
  HAVING count (mac) > 1 ;

Alternativ können Sie auch einen SQL-Unterbild verwenden, um dasselbe Ergebnis zu erzielen:

 SELECT address, mac, mac_count
  FROM
    ( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
  WHERE mac_count > 1 ;

Diese Abfragen können sein:

• ad-hoc durchgeführt, um den Betriebssystemzustand mithilfe der Osqueryi-Shell zu untersuchen
• ausgeführt über einen Scheduler, um den Betriebssystemzustand über eine Reihe von Hosts zu überwachen
• Start von benutzerdefinierten Anwendungen mit OSQuery Thrift APIs

So herunterladen die neuesten stabilen Builds und für Repository- und Installationsanweisungen finden Sie unter https://osquery.io/downloads.

Wir verwenden ein einfaches nummeriertes Versionsschema XYZ , bei dem X eine Hauptversion ist, y minderjährig und z ein Patch. Wir planen kleinere Veröffentlichungen ungefähr alle zwei Monate. Diese Veröffentlichungen sind auf unserer Meilensteine ​​-Seite verfolgt. Eine Patch -Release wird verwendet, wenn unsere Nebenveröffentlichung unvorhergesehene Fehler gibt und wir schnell patchen müssen. Eine seltene Release "Revision" kann verwendet werden, wenn wir die Erstellungskonfigurationen ändern müssen.

Major-, Moll- und Patch -Veröffentlichungen werden auf GitHub markiert und können auf der Seite der Veröffentlichungen angezeigt werden. Wir eröffnen eine neue Ausgabe von Release -Checkliste, wenn wir eine kleine Version erstellen. Wenn Sie sich für den Status einer Version interessieren, finden Sie die entsprechende Checkliste und beachten Sie, dass das Problem mit der Abschluss der Checkliste geschlossen wird. Wir betrachten eine Veröffentlichung "in Tests" während des Zeitraums der Hosting neuer Downloads auf unserer Website und dem Hinzufügen zu unseren gehosteten Repositories. Wir werden die Veröffentlichung als "stabil" auf GitHub markieren, wenn genügend Tests aufgetreten sind. Dies dauert normalerweise zwei Wochen.

Der Bau von Osquery aus der Quelle wird ermutigt! Schauen Sie sich unseren Build Guide an. Schauen Sie sich auch unseren beitragenden Leitfaden an und schließen Sie sich der Community on Slack an.

Es gibt viele Osquery -Flottenmanager. Das OSQuery -Projekt unterstützt, empfiehlt oder testet diese nicht. Sie werden als Ausgangspunkt bereitgestellt

Wenn Sie zu OSQuery beitragen, erklären Sie sich damit einverstanden, dass Ihre Beiträge gemäß den Definition in der Lizenzdatei lizenziert werden.

Wir verfolgen die Sicherheitsankündigungen in unseren verzeichneten Versionsnotizen zu GitHub. Wir aggregieren diese auch in Sicherheit.

Die OSQuery -Dokumentation ist online verfügbar. Die Dokumentation für ältere Veröffentlichungen finden Sie auch nach der Versionsnummer.

Wenn Sie mehr über OSQuery erfahren möchten, lesen Sie den Start -Blog -Beitrag für Hintergrundinformationen zum Projekt, besuchen Sie den Benutzerhandbuch.

Entwicklungs- und Nutzungsdiskussionen findet in der Osquery Slack statt. Ergreiche eine Einladung hier!