osquery

Osquery는 SQL 전원 운영 체제 계측, 모니터링 및 분석 프레임 워크입니다.
Linux, MacOS 및 Windows에서 사용할 수 있습니다.

• 홈페이지 : osquery.io
• 다운로드 : osquery.io/downloads
• 문서 : ReadTheDocs
• 스택 오버플로 : 오버플로 스택 질문
• 테이블 스키마 : osquery.io/schema
• 쿼리 팩 : osquery.io/packs
• 슬랙 : 아카이브를 탐색하거나 대화에 참여하십시오
• 상태 빌드 :
• CII 모범 사례 :

Osquery는 운영 체제를 고성능 관계형 데이터베이스로 노출시킵니다. 이를 통해 SQL 기반 쿼리를 작성하여 운영 체제 데이터를 탐색 할 수 있습니다. OsQuery를 사용하면 SQL 테이블은 실행 프로세스,로드 된 커널 모듈, 오픈 네트워크 연결, 브라우저 플러그인, 하드웨어 이벤트 또는 파일 해시와 같은 추상 개념을 나타냅니다.

SQL 테이블은 간단한 플러그인 및 확장 API를 통해 구현됩니다. https://osquery.io/schema는 이미 존재하고 더 많은 테이블이 작성되고 있습니다. Osquery가 제공하는 표현력을 가장 잘 이해하려면 다음 SQL 쿼리를 고려하십시오.

users 나열 :

 SELECT * FROM users;

삭제 된 실행 파일이있는 processes 확인하십시오.

 SELECT * FROM processes WHERE on_disk = 0 ;

모든 인터페이스에서 듣는 프로세스에 대한 프로세스 이름, 포트 및 PID를 가져옵니다.

 SELECT DISTINCT processes . name , listening_ports . port , processes . pid
  FROM listening_ports JOIN processes USING (pid)
  WHERE listening_ports . address = ' 0.0.0.0 ' ;

실행 파일을 시작하고 계속 실행하는 모든 MacOS 런치 데몬을 찾으십시오.

 SELECT name, program || program_arguments AS executable
  FROM launchd
  WHERE (run_at_load = 1 AND keep_alive = 1 )
  AND (program != ' ' OR program_arguments != ' ' );

호스트의 관점에서 ARP 이상을 확인하십시오.

 SELECT address, mac, COUNT (mac) AS mac_count
  FROM arp_cache GROUP BY mac
  HAVING count (mac) > 1 ;

또는 SQL 하위 쿼리를 사용하여 동일한 결과를 달성 할 수도 있습니다.

 SELECT address, mac, mac_count
  FROM
    ( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
  WHERE mac_count > 1 ;

이 쿼리는 다음과 같습니다.

• Osqueryi Shell을 사용하여 운영 체제 상태를 탐색하기 위해 임시 기준으로 수행
• 일련의 호스트에서 운영 체제 상태를 모니터링하기 위해 스케줄러를 통해 실행
• OsQuery Thrift API를 사용하여 사용자 정의 응용 프로그램에서 시작되었습니다

최신 안정적인 빌드를 다운로드하고 저장소 정보 및 설치 지침을 보려면 https://osquery.io/downloads를 방문하십시오.

우리는 간단한 번호가 매겨진 버전화 체계 XYZ 사용합니다. 여기서 X는 주요 버전이고 y는 미성년이며 Z는 패치입니다. 우리는 대략 2 개월마다 사소한 릴리스를 계획합니다. 이 릴리스는 이정표 페이지에서 추적됩니다. 패치 릴리스는 사소한 릴리스에 예기치 않은 버그가있을 때 사용되며 빠르게 패치해야합니다. 빌드 구성을 변경 해야하는 경우 드문 '개정'릴리스가 사용될 수 있습니다.

메이저, 마이너 및 패치 릴리스는 GitHub에 태그가 지정되며 릴리스 페이지에서 볼 수 있습니다. 사소한 릴리스를 준비 할 때 새로운 릴리스 체크리스트 문제가 열립니다. 릴리스 상태에 관심이 있으시면 해당 체크리스트 문제를 찾아서 점검 목록을 마치면 문제가 닫히게됩니다. 우리는 웹 사이트에서 새로운 다운로드를 호스팅하고 호스팅 된 저장소에 추가하는 동안 '테스트에서'릴리스를 고려합니다. 충분한 테스트가 발생하면 Github에서 릴리스를 '안정적인'것으로 표시합니다. 일반적으로 2 주가 걸립니다.

소스에서 osquery를 구축하는 것이 권장됩니다! 빌드 가이드를 확인하십시오. 또한 기고 가이드를 확인하고 Slack의 커뮤니티에 가입하십시오.

많은 Osquery 함대 관리자가 있습니다. OsQuery 프로젝트는이를 보증, 추천 또는 테스트하지 않습니다. 그들은 출발점으로 제공됩니다

OsQuery에 기여함으로써 귀하는 귀하의 기부금이 라이센스 파일에 정의 된대로 라이센스가 부여된다는 데 동의합니다.

GitHub의 태그가 지정된 버전 릴리스 노트에서 보안 공지 사항을 추적합니다. 우리는 이것을 Security.md로 집계합니다.

OsQuery 문서는 온라인으로 제공됩니다. 이전 릴리스에 대한 문서는 버전 번호로도 찾을 수 있습니다.

OSQUERY에 대한 자세한 내용에 관심이 있으시면 프로젝트 배경에 대한 블로그 게시물을 읽으십시오. 사용자 안내서를 방문하십시오.

개발 및 사용 논의는 Osquery Slack에서 일어나고 있습니다.