初识osquery

最新推荐文章于 2024-04-11 09:57:27 发布
最新推荐文章于 2024-04-11 09:57:27 发布
阅读量716 收藏 3
点赞数
文章标签: java 操作系统 shell
原文链接:http://www.cnblogs.com/nayu/p/11529044.html
版权

初识osquery

osquery是一个由Facebook的开源用于对系统进行查询,监控以及分析的一款软件.
osquery对其的说明如下:
osquery将操作系统公开为高性能关系数据库。这允许您编写基于SQL的查询来探索操作系统数据。使用osquery,SQL表表示抽象概念,例如运行进程,加载的内核模块,开放网络连接,浏览器插件,硬件事件或文件哈希。
目前网上已经有非常多的相关资料供参考,这里整理下:
【初识osquery】:http://www.polaris-lab.com/index.php/archives/617

【Kolide Fleet osquery体验】: http://0cx.cc/managing-osquery-with-fleet.jspx

【Osquery检测入侵痕迹】https://evilanne.github.io/2019/02/20/Osquery检测入侵痕迹/

【osquery操作系统检测与分析】https://bloodzer0.github.io/ossa/infrastructure-security/host-security/ids-ips/osquery/

使用

搭建过程不再重来了,这里不是重点,如果搭建有问题找运维或网络帮忙解决即可
1、假设某木马执行后会在tmp目录释放指定的文件,这里可以快速对所有主机进行检查

SELECT * from file where directory="/tmp" and filename="xxx"

895028-20190916190227425-1739722777.png

查找有私钥证书的服务器
895028-20190916190251303-820641427.png

2、当有1day漏洞暴发时,可快速查找该软件的服务器进行确认
检查所有存在某软件的服务器

SELECT * FROM processes where name  like 'systemd';

上面是根据是在运行的进程进行判断,也可跟进安装的rpm包进行判断。
3、检测反弹shell

SELECT DISTINCT(processes.pid), processes.parent, processes.name, processes.path, processes.cmdline, processes.cwd, processes.root, processes.uid, processes.gid, processes.start_time, process_open_sockets.remote_address, process_open_sockets.remote_port, (SELECT cmdline FROM processes AS parent_cmdline WHERE pid=processes.parent) AS parent_cmdline FROM processes JOIN process_open_sockets USING (pid) LEFT OUTER JOIN process_open_files ON

如果需要告警功能,可将result文件打到logstash进行解析,在elk中配置告警。
更多的功能如文件完整性检查,后门检测等请自行摸索,

常见问题

1、如果使用docker部署,docker内的日志会很快打满,可以自行清理
2、服务端重启后,客户端会掉线,此时会恢复一部分,但大部分起不来,这是我这遇到的问题

可以在客户端上加上定时探活的脚本:

#!/bin/bash
#-*- coding:utf-8 -*-
process_id=$(ps -ef | grep "osqueryd --flagfile" | grep -v "grep"  | awk '{print $2}')
result=`echo -e "\n" | telnet X.X.X.X 8080 2> /dev/null | grep Connected | wc -l`
if [ $result ]; then
    kill -9 $process_id && nohup /usr/local/osq/launcher --hostname=X.X.X.X:8080 --enroll_secret=TznYHNYSD8ZoFUJOvH4s3pY7ZGuzz2x/ --insecure &
else
    echo "无法连接服务器"
fi

或使用运维工具进行手动启动

 ansible XX -m shell -a " pgrep osquery | xargs kill -s 9 && service osqueryd start && nohup /usr/local/osq/launcher --hostname=X.X.X.X:8080 --enroll_secret=TznYHNYSD8ZoFUJOvH4s3pY7ZGuzz2x/ --insecure & "

转载于:https://www.cnblogs.com/nayu/p/11529044.html

weixin_30787531
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
osquery_windows环境编译的工具
12-04
cmake-3.19.1-win64-x64.msi、 Git-2.29.2.2-64-bit .exe、 python-3.8.1-amd64.exe、 strawberry-perl-5.30.2.1-64bit.msi、vs_buildtools__714742803.1589532331.exe、vs_community__714742803.1589532331.exe、 osquery-git-2020-12-04.rar、 wix311.exe
【系统审计】osquery的安装与使用
没枕头我咋睡觉
10-19 4086
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
Facebook将Osquery工具移植到Windows 10平台 该工具可以识别Windows网络中的威胁
weixin_34186931的博客
09-01 668
Facebook宣布上线新版Osquery工具,该工具已经移植到Windows10平台,安全团队可利用这个工具快速识别、分析Windows网络中存在的威胁。 Osquery是什么 Osquery是一种实现(instrumentation)框架,旨在帮助用户通过SQL查询,方便、有效地查看自己的操作系统Osquery的基本功能是将操作系统展示为关系型...
OSQUERY实战.pdf
08-08
这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件,全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单的Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。 作为一个web渗透转型二进制的安全工程师,他很感慨的说:“人生不要给自己设限”。他一边详细阐述Osquery的原理,一边感谢来自于osquery社区的支持,同时也毫不客气的吐槽踩过的深坑,例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况,单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是,Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注,在此提醒各位,过马路不要看手机… 最后,他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司,需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题,而作为一个自研的解决方案,osquery出色的完成了其设计初衷的使命。 •关于我 •Osquery介绍 •Osquery检测原理分析 •Osquery的优缺点 •Osquery?HIDS?
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 4090
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
python初识
04-08
python 列表初识,通过此代码,你能够了解到python的列表操作
初识EclipseUserAssistance
02-27
火龙果软件工程技术中心 本文内容包括:EclipseUserAssistance概览结束语致谢参考资料本文介绍了EclipseUserAssistance项目,并讨论了众多可为基于Eclipse的应用程序提供高质量用户辅助的方法。...
初识InfluxDB
02-24
InfluxDB的数据模型和其他时序数据库有些许不同,下图是InfluxDB中的一张示意表:1.Measurement:从原理上讲更像SQL中表的概念。这和其他很多时序数据库有些不同,其他时序数据库中Measurement可能与Metric等同,...
osquery-python:osquery的Thrift API的Python绑定
05-13
osquery-python 将操作系统公开为高性能的关系数据库。 这使您可以编写基于SQL的查询来浏览操作系统数据。 使用osquery,SQL表代表抽象概念,例如正在运行的进程,已加载的内核模块,开放的网络连接,浏览器插件,硬件事件或文件哈希。 如果您想了解有关osquery的更多信息,请访问,和。 什么是osquery-python? 在osquery中,SQL表,配置检索,日志处理等通过简单,强大的插件和扩展API来实现。 该项目包含用于在Python中创建osquery扩展的官方Python绑定。 考虑以下示例: #!/usr/bin/env python import osquery @ osquery . register_plugin class MyTablePlugin ( osquery . TablePlugin ): def name ( self
osquery-extensions:按位跟踪的osquery扩展
02-03
osquery-extensions:按位跟踪的osquery扩展
操作系统监控工具osquery.zip
07-19
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统。osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。osquery操作系统中就像是一个高性能的关系数据库,允许你编写基于 SQL 的查询语句来洞察操作系统的数据。使用 osquery,SQL 表代表如下抽象概念:运行时的进程 加载内核模块开放网络连接 SQL 表通过一个简单的可扩展 API 实现,各种表已经存在并且还在不断增加。为了更好的理解 osquery,看看下面的 SQL 查询:-------------------------------------------------------- -- get the name, pid and attached port of all processes  -- which are listening on all interfaces -------------------------------------------------------- SELECT DISTINCT    process.name,    listening.port,    process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid WHERE listening.address = '0.0.0.0';-------------------------------------------------------- -- find every launchdaemon on an OS X host which  --   * launches an executable when the operating  --     system starts --   * keeps the executable running  -- return the name of the launchdaemon and the full  -- path (with arguments) of the executable to be ran. -------------------------------------------------------- SELECT    name,    program || program_arguments AS executable  FROM launchd  WHERE    (run_at_load = 'true' AND keep_alive = 'true')  AND    (program != '' OR program_arguments != '');这些查询可以:在特定条件下探索操作系统状态通过执行调度程序来监控操作系统的主机状态启动使用osquery api的自定义应用程序
如何使用osquery在Windows上实时监控文件?
2301_77157449的博客
04-28 1412
Windows上的文件监控方法通常分为以下三种:Win32/WinAPI接口:FindFirstChangeNotification, ReadDirectoryChangesW;文件系统过滤器驱动程序和Minifilter,所谓的Minifilter其实就是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。
osquery的认识
墨痕诉清风的博客
11-15 991
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
osquery 查询系统信息
thinker
06-26 1075
说明 本文是一篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a 在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。 本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架
05_osquery_源码解读_os_version
田一一
12-04 1148
05_osquery_源码解读_os_version1. 表1.1. os_version1.2. os_version表的定义1.3. os_version数据来源1.3.1. Linux系统中的来源1.3.2. Windows系统中的查询1.4 os_version.cpp(Linux的实现)1.4.1 genOSVersion()1.4.2. genOSVersionImpl()1.4.3. genOSRelease()1.5 os_version.cpp(Windows的实现) 1. 表 osqu
探秘 Facebook 的 osquery:一款强大的操作系统查询工具
最新发布
gitblog_00020的博客
04-11 330
探秘 Facebook 的 osquery:一款强大的操作系统查询工具 项目地址:https://gitcode.com/facebook/osquery osquery 是 Facebook 开源的一个强大且灵活的系统监控和安全取证工具。它将 SQL 查询语言引入到操作系统层面,允许开发者和安全专家以结构化的方式获取和分析系统的各种信息。这篇文章将深入解析 osquery 的技术特性、应用场景及...
使用 OSquery 和 YARA 进行审计
weixin_43520214的博客
03-20 2610
网络安全:使用 OSquery 和 YARA 进行审计
osquery
jianminHuang的博客
05-28 237
osquery,查询操作系统信息。把操作系统当作数据库,使用sql来查询操作系统相关信息。 ./osqueryi 进入查询命令提示符界面 输入命令 select * from os_version 输入命令 .tables .exit 参考: https://osquery.readthedocs.io/en/stable/ https://osquery.io/downloads/official/4.8.0 https://blog.csdn...
初识python公开课.pptx
12-06
初识Python公开课是一场介绍Python编程语言的学习课程。在第一单元第一课中,学员们将初识Python内的内容。这包括Python语言简介和Python集成开发环境的创建。Python是一种跨平台、开源、解释型的高级编程语言,其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值