开源项目推荐：osquery-defense-kit

开源项目推荐：osquery-defense-kit

osquery-defense-kit Production-ready detection & response queries for osquery 项目地址: https://gitcode.com/gh_mirrors/os/osquery-defense-kit

1. 项目基础介绍

osquery-defense-kit 是一个开源项目，旨在为 osquery 提供生产就绪的检测与响应查询。这个项目由 Chainguard 开发的项目，主要以 Makefile 作为主要的编程语言，包含了250多个针对生产环境设计的查询，这些查询被优化用于检测异常行为和响应潜在的安全威胁。

2. 核心功能

项目的核心功能是提供一系列的查询，这些查询基于 osquery 平台，可以：

• 检测异常行为：查询被设计成在正常行为下返回零行数据，只有在异常行为发生时才会生成警报。
• 响应潜在威胁：通过收集系统数据，帮助安全团队对可能的威胁做出响应。
• 安全策略查询：生成针对特定安全策略的警报。
• MITRE ATT&CK 分类：查询按照 MITRE ATT&CK 的战术分类进行划分，便于理解和应用。

3. 最近更新的功能

根据项目的最新更新，以下是一些新增或改进的功能：

• 性能优化：对查询进行了优化，以确保在部署的系统上不会消耗超过2%的 wall clock time。
• 平台支持：虽然最初专注于 Linux 和 macOS，但项目现在接受任何支持 osquery 的平台的查询，包括 Windows 平台。
• 错误阳性管理：项目团队努力排除真实世界的错误阳性，并且欢迎社区贡献者提出改进建议。
• 案例研究：增加了针对特定恶意软件（如 Shikitega 和 CloudMensis）的案例研究，展示了查询如何检测到这些威胁的不同阶段。

项目的最新版本为 v1.18.0，发布于 2024 年 10 月 21 日，包含了上述及其他多项改进和更新。

osquery-defense-kit Production-ready detection & response queries for osquery 项目地址: https://gitcode.com/gh_mirrors/os/osquery-defense-kit