osquery

Osquery - это приборы, мониторинг и аналитику SQL Powering Powering.
Доступно для Linux, MacOS и Windows.

• Домашняя страница: osquery.io
• Загрузки: osquery.io/downloads
• Документация: Readthedocs
• Переполнение стека: вопросы переполнения стека
• Схема таблицы: osquery.io/schema
• Пакеты запросов: osquery.io/packs
• Слова: просмотрите архивы или присоединяйтесь к разговору
• Статус сборки:
• Лучшие практики CII:

Osquery выставляет операционную систему в качестве высокопроизводительной реляционной базы данных. Это позволяет вам писать запросы на основе SQL для изучения данных операционной системы. С Osquery таблицы SQL представляют собой абстрактные концепции, такие как запуск процессов, загруженные модули ядра, открытые сетевые соединения, плагины браузера, аппаратные события или хэши файла.

Таблицы SQL реализованы с помощью простого API плагина и расширений. Разнообразные таблицы уже существуют и написаны больше: https://osquery.io/schema. Чтобы лучше понять выразительность, которая предоставляется вам Osquery, рассмотрите следующие запросы SQL:

Перечислите users :

 SELECT * FROM users;

Проверьте processes , которые имеют удаленный исполняемый файл:

 SELECT * FROM processes WHERE on_disk = 0 ;

Получите имя процесса, порт и pid, для процессов, слушающих все интерфейсы:

 SELECT DISTINCT processes . name , listening_ports . port , processes . pid
  FROM listening_ports JOIN processes USING (pid)
  WHERE listening_ports . address = ' 0.0.0.0 ' ;

Найдите каждый MacOS LaunchDaemon, который запускает исполняемый файл и сохраняет его запуск:

 SELECT name, program || program_arguments AS executable
  FROM launchd
  WHERE (run_at_load = 1 AND keep_alive = 1 )
  AND (program != ' ' OR program_arguments != ' ' );

Проверьте на аномалии ARP с точки зрения хозяина:

 SELECT address, mac, COUNT (mac) AS mac_count
  FROM arp_cache GROUP BY mac
  HAVING count (mac) > 1 ;

В качестве альтернативы, вы также можете использовать SQL Sub-Query для достижения того же результата:

 SELECT address, mac, mac_count
  FROM
    ( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
  WHERE mac_count > 1 ;

Эти запросы могут быть:

• выполняется на специальной основе для изучения состояния операционной системы с использованием оболочки Osqueryi
• выполнено через планировщик для мониторинга состояния операционной системы через набор хостов
• запущены из пользовательских приложений с использованием APIS Osquery Thrift API

Чтобы загрузить последние стабильные сборки и для информации о хранилище и инструкции по установке посетите https://osquery.io/downloads.

Мы используем простую схему пронумерованной версии XYZ , где X является основной версией, Y - незначительная, а Z - патч. Мы планируем незначительные выпуска примерно каждые два месяца. Эти релизы отслеживаются на нашей странице вех. Релиз патча используется, когда есть непредвиденные ошибки с нашим незначительным выпуском, и нам нужно быстро исправить. Редкий выпуск «пересмотра» может быть использован, если нам нужно изменить конфигурации сборки.

Основные, незначительные и патч -релизы помечены на GitHub и могут быть просмотрены на странице выпусков. Мы открываем новую проблему контрольного списка релизов, когда готовим незначительный релиз. Если вы заинтересованы в статусе выпуска, найдите соответствующий вопрос контрольного списка и обратите внимание, что проблема будет помечена закрыта, когда мы закончим контрольный список. Мы рассматриваем релиз «в тестировании» в период размещения новых загрузок на нашем веб -сайте и добавляют их в наши размещенные репозитории. Мы будем отмечать релиз как «стабильный» на GitHub, когда произошло достаточное количество тестирования, обычно это занимает две недели.

Создание Osquery из Source рекомендуется! Проверьте наше руководство по сборке. Также ознакомьтесь с нашим руководством и присоединяйтесь к сообществу на Slack.

Есть много менеджеров флота Osquery. Проект Osquery не поддерживает, не рекомендует и не проверяет их. Они предоставляются в качестве отправной точки

Внесли свой вклад в Osquery, вы соглашаетесь с тем, что ваши взносы будут лицензированы, как определено в файле лицензии.

Мы отслеживаем объявления о безопасности в наших примечаниях по выпуску версии Tagged на GitHub. Мы также объединяем их в Security.md.

Документация Osquery доступна в Интернете. Документация для более старых выпусков также можно найти по номеру версии.

Если вы заинтересованы в том, чтобы узнать больше об Osquery, прочитайте сообщение в блоге запуска для предыстории проекта, посетите руководство пользователей.

Обсуждение в области разработки и использования происходит в Slack Osquery, возьмите приглашение здесь!