osquery

Osquery é uma estrutura de instrumentação, monitoramento e análise do sistema operacional alimentado por SQL.
Disponível para Linux, MacOS e Windows.

• Página inicial: Osquery.io
• Downloads: Osquery.io/downloads
• Documentação: ReadThEdocs
• Overflow de pilha: Perguntas sobre transbordamento de pilha
• Esquema de tabela: Osquery.io/schema
• Pacotes de consulta: Osquery.io/packs
• Slack: Navegue pelos arquivos ou junte -se à conversa
• Status de construção:
• Práticas recomendadas do CII:

Osquery expõe um sistema operacional como um banco de dados relacional de alto desempenho. Isso permite que você escreva consultas baseadas em SQL para explorar dados do sistema operacional. Com os os diferentes, as tabelas SQL representam conceitos abstratos, como processos de execução, módulos de kernel carregados, conexões de rede abertas, plug -ins de navegador, eventos de hardware ou hashes de arquivo.

As tabelas SQL são implementadas por meio de uma API simples de plug -in e extensões. Já existem uma variedade de tabelas e mais estão sendo escritas: https://osquery.io/schema. Para entender melhor a expressividade que lhe é oferecida por Osquery, considere as seguintes consultas SQL:

Liste os users :

 SELECT * FROM users;

Verifique os processes que têm um executável excluído:

 SELECT * FROM processes WHERE on_disk = 0 ;

Obtenha o nome do processo, a porta e o PID, para os processos que ouvem em todas as interfaces:

 SELECT DISTINCT processes . name , listening_ports . port , processes . pid
  FROM listening_ports JOIN processes USING (pid)
  WHERE listening_ports . address = ' 0.0.0.0 ' ;

Encontre todos os MacOS Launchdaemon que lança um executável e o mantém funcionando:

 SELECT name, program || program_arguments AS executable
  FROM launchd
  WHERE (run_at_load = 1 AND keep_alive = 1 )
  AND (program != ' ' OR program_arguments != ' ' );

Verifique se há anomalias ARP da perspectiva do host:

 SELECT address, mac, COUNT (mac) AS mac_count
  FROM arp_cache GROUP BY mac
  HAVING count (mac) > 1 ;

Como alternativa, você também pode usar um sub-quadro SQL para realizar o mesmo resultado:

 SELECT address, mac, mac_count
  FROM
    ( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
  WHERE mac_count > 1 ;

Essas consultas podem ser:

• realizado em uma base ad-hoc para explorar o estado do sistema operacional usando o shell Osqueryi
• executado por meio de um agendador para monitorar o estado do sistema operacional em um conjunto de hosts
• Lançado a partir de aplicativos personalizados usando APIs de Thrift de Osquery

Para baixar as compilações estáveis ​​mais recentes e para obter informações e instruções de instalação do repositório, visite https://osquery.io/downloads.

Utilizamos um esquema de versão numerada simples XYZ , onde X é uma versão principal, Y é menor e z é um patch. Planejamos lançamentos menores aproximadamente a cada dois meses. Esses lançamentos são rastreados em nossa página de marcos. Uma liberação de patch é usada quando há bugs imprevistos com nossa liberação menor e precisamos corrigir rapidamente. Uma liberação rara de 'revisão' pode ser usada se precisarmos alterar as configurações de construção.

As liberações maiores, menores e patches são marcadas no GitHub e podem ser visualizadas na página de lançamentos. Abrimos uma nova edição da lista de verificação de lançamento quando preparamos um lançamento menor. Se você estiver interessado no status de uma versão, encontre o problema da lista de verificação correspondente e observe que o problema será marcado quando terminar a lista de verificação. Consideramos um lançamento 'In Testing' durante o período de hospedagem de novos downloads em nosso site e adicioná -los aos nossos repositórios hospedados. Marcaremos o lançamento como 'estável' no Github quando houve testes suficientes, isso geralmente leva duas semanas.

Construir Osquery da fonte é incentivado! Confira nosso guia de construção. Confira também nosso guia contribuinte e junte -se à comunidade no Slack.

Existem muitos gerentes de frota de Osquery por aí. O projeto Osquery não endossa, recomenda ou testar. Eles são fornecidos como ponto de partida

Ao contribuir com oskery, você concorda que suas contribuições serão licenciadas conforme definido no arquivo de licença.

Acompanhamos os anúncios de segurança em nossas notas de lançamento da versão marcada no GitHub. Nós os agregamos em segurança.md também.

A documentação de Osquery está disponível online. A documentação para lançamentos mais antigos também pode ser encontrada pelo número da versão.

Se você estiver interessado em aprender mais sobre Osquery, leia a postagem do blog de lançamento para experiência no projeto, visite o Guia dos Usuários.

Discussão de desenvolvimento e uso está acontecendo na folga de Osquery, pegue um convite aqui!