osquery

OsQuery เป็นเครื่องมือวัดระบบปฏิบัติการ SQL ที่ขับเคลื่อนด้วย SQL การตรวจสอบและกรอบการวิเคราะห์
พร้อมใช้งานสำหรับ Linux, MacOS และ Windows

• หน้าแรก: osQuery.io
• ดาวน์โหลด: osQuery.io/downloads
• เอกสาร: readthedocs
• สแต็คล้น: สแต็กคำถามล้น
• Schema Table: osquery.io/schema
• แพ็คแบบสอบถาม: osQuery.io/packs
• Slack: เรียกดูคลังเก็บหรือเข้าร่วมการสนทนา
• สร้างสถานะ:
• แนวทางปฏิบัติที่ดีที่สุดของ CII:

OsQuery เปิดเผยระบบปฏิบัติการเป็นฐานข้อมูลเชิงสัมพันธ์ที่มีประสิทธิภาพสูง สิ่งนี้ช่วยให้คุณสามารถเขียนแบบสอบถามที่ใช้ SQL เพื่อสำรวจข้อมูลระบบปฏิบัติการ ด้วย osQuery ตาราง SQL แสดงแนวคิดนามธรรมเช่นกระบวนการทำงานโมดูลเคอร์เนลที่โหลดการเชื่อมต่อเครือข่ายเปิดปลั๊กอินเบราว์เซอร์เหตุการณ์ฮาร์ดแวร์หรือแฮชไฟล์

ตาราง SQL ถูกนำไปใช้ผ่านปลั๊กอินและส่วนขยาย API อย่างง่าย มีการเขียนตารางที่หลากหลายและมีการเขียนอีกมากมาย: https://osquery.io/schema เพื่อให้เข้าใจถึงการแสดงออกที่ดีที่สุดที่คุณได้รับให้พิจารณาแบบสอบถาม SQL ต่อไปนี้:

แสดงรายการ users :

 SELECT * FROM users;

ตรวจสอบ processes ที่มีการเรียกใช้งานที่ถูกลบ:

 SELECT * FROM processes WHERE on_disk = 0 ;

รับชื่อกระบวนการพอร์ตและ PID สำหรับกระบวนการที่ฟังทุกส่วนต่อประสาน:

 SELECT DISTINCT processes . name , listening_ports . port , processes . pid
  FROM listening_ports JOIN processes USING (pid)
  WHERE listening_ports . address = ' 0.0.0.0 ' ;

ค้นหา MacOS Launchdaemon ทุกตัวที่เปิดใช้งานการปฏิบัติการและทำให้มันทำงานได้:

 SELECT name, program || program_arguments AS executable
  FROM launchd
  WHERE (run_at_load = 1 AND keep_alive = 1 )
  AND (program != ' ' OR program_arguments != ' ' );

ตรวจสอบความผิดปกติของ ARP จากมุมมองของโฮสต์:

 SELECT address, mac, COUNT (mac) AS mac_count
  FROM arp_cache GROUP BY mac
  HAVING count (mac) > 1 ;

อีกทางเลือกหนึ่งคุณสามารถใช้ Query ย่อย SQL เพื่อให้ได้ผลลัพธ์เดียวกัน:

 SELECT address, mac, mac_count
  FROM
    ( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
  WHERE mac_count > 1 ;

คำค้นหาเหล่านี้สามารถ:

• ดำเนินการตามแบบเฉพาะกิจเพื่อสำรวจสถานะระบบปฏิบัติการโดยใช้เชลล์ osqueryi
• ดำเนินการผ่านตัวกำหนดตารางเวลาเพื่อตรวจสอบสถานะระบบปฏิบัติการในชุดโฮสต์
• เปิดตัวจากแอปพลิเคชันที่กำหนดเองโดยใช้ OsQuery Thrift APIs

ในการดาวน์โหลด Builds ที่มีเสถียรภาพล่าสุดและสำหรับข้อมูลที่เก็บข้อมูลและคำแนะนำการติดตั้งโปรดเยี่ยมชม https://osquery.io/downloads

เราใช้รูปแบบการกำหนดเวอร์ชันที่มีหมายเลขง่าย XYZ โดยที่ X เป็นรุ่นหลัก y เป็นผู้เยาว์และ Z เป็นแพทช์ เราวางแผนที่จะเผยแพร่เล็กน้อยทุกสองเดือน การเผยแพร่เหล่านี้ถูกติดตามในหน้าเหตุการณ์สำคัญของเรา มีการใช้งานแพทช์เมื่อมีข้อบกพร่องที่ไม่คาดฝันกับการเปิดตัวเล็กน้อยของเราและเราต้องแก้ไขอย่างรวดเร็ว อาจใช้การเปิดตัว 'แก้ไข' ที่หายากหากเราต้องการเปลี่ยนการกำหนดค่าการสร้าง

การเผยแพร่ที่สำคัญผู้เยาว์และแพทช์จะถูกติดแท็กบน GitHub และสามารถดูได้ในหน้ารุ่น เราเปิดรายการตรวจสอบการเปิดตัวใหม่เมื่อเราเตรียมการเปิดตัวเล็กน้อย หากคุณมีความสนใจในสถานะของการเปิดตัวโปรดค้นหาปัญหารายการตรวจสอบที่เกี่ยวข้องและโปรดทราบว่าปัญหาจะถูกทำเครื่องหมายปิดเมื่อเราเสร็จสิ้นรายการตรวจสอบ เราพิจารณาการเปิดตัว 'ในการทดสอบ' ในช่วงระยะเวลาของการโฮสต์การดาวน์โหลดใหม่บนเว็บไซต์ของเราและเพิ่มลงในที่เก็บโฮสต์ของเรา เราจะทำเครื่องหมายการเปิดตัวเป็น 'เสถียร' บน GitHub เมื่อมีการทดสอบเพียงพอซึ่งมักจะใช้เวลาสองสัปดาห์

การสร้าง osQuery จากแหล่งที่มาได้รับการสนับสนุน! ตรวจสอบคู่มือการสร้างของเรา ตรวจสอบคู่มือการสนับสนุนของเราและเข้าร่วมชุมชนใน Slack

มีผู้จัดการกองเรือ OsQuery จำนวนมากอยู่ที่นั่น โครงการ OsQuery ไม่รับรองแนะนำหรือทดสอบสิ่งเหล่านี้ พวกเขามีให้เป็นจุดเริ่มต้น

โดยการสนับสนุน OsQuery คุณยอมรับว่าการมีส่วนร่วมของคุณจะได้รับใบอนุญาตตามที่กำหนดไว้ในไฟล์ใบอนุญาต

เราติดตามการประกาศความปลอดภัยในบันทึกย่อรุ่นที่ติดแท็กของเราใน GitHub เรารวมสิ่งเหล่านี้ลงในความปลอดภัย MD ด้วย

เอกสาร OsQuery พร้อมใช้งานออนไลน์ เอกสารสำหรับรุ่นเก่าสามารถพบได้ตามหมายเลขเวอร์ชันเช่นกัน

หากคุณสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับ OsQuery อ่านโพสต์บล็อกเปิดตัวสำหรับพื้นหลังในโครงการให้ไปที่คู่มือผู้ใช้

การพัฒนาและการอภิปรายการใช้งานกำลังเกิดขึ้นใน OsQuery Slack คว้าคำเชิญที่นี่!