1 頁 (共 1 頁)

osquery安全工具

發表於 : 2016-09-30 10:49:25
yehlu
http://www.ithome.com.tw/news/108711

https://osquery.io/

osquery會將作業系統視為一個關聯資料庫,將程式、網路連結、載入的核心模組、硬體或瀏覽器外掛資訊以SQL呈現,以方便使用者查詢,臉書安全團隊利用osquery查詢網路上運作的瀏覽器擴充程式,比對威脅情報資料後找出惡意擴充程式予以移除。

按讚加入iThome粉絲團
文/陳曉莉 | 2016-09-29發表

示意圖,與新聞事件無關。

圖片來源:
Facebook
臉書(Facebook)於本周釋出了支援Windows 10的osquery安全工具。

osquery是一個基於SQL的偵測工具,可即時檢視企業基礎設施的狀態,臉書早在2014年便開源osquery,但當時只支援Linux與OS X。

osquery基本上是把作業系統當成一個關聯性資料庫, 把程序、網路連結、所載入的核心模組、硬體事件或瀏覽器外掛都以SQL表格呈現,以方便查詢。 例如臉書的安全團隊會利用osquery汲取臉書企業網路上所運作的所有瀏覽器擴充程式,再與威脅情報資料進行比對,以找出惡意的擴充程式並將它們移除。

臉書說明,此一積極的安全技術稱為「威脅捕捉」(threat hunting),可用來強化傳統的安全偵測功能,但並沒有太多業者提供。

由於osquery為一跨平台軟體,且能夠掃描企業基礎設施上的每一台電腦, 使得企業開發人員與安全團隊能夠即時監控低階功能並快速搜尋惡意行為及含有安全漏洞的應用,已是GitHub上最受歡迎的安全專案之一。支援Windows的osquery開發者套件內含文件、開發環境與一個script,安裝後即可開始編碼。

14.04 LTS

代碼: 選擇全部

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo add-apt-repository "deb [arch=amd64] https://osquery-packages.s3.amazonaws.com/trusty trusty main"
sudo apt-get update
sudo apt-get install osquery

Re: osquery安全工具

發表於 : 2016-09-30 10:56:36
yehlu
root@localhost:/home/yehlu#

代碼: 選擇全部

service osqueryd start
root@localhost:/home/yehlu# osquery
osqueryctl osqueryd osqueryi
root@localhost:/home/yehlu#

代碼: 選擇全部

osqueryi
osquery - being built, with love, at Facebook
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Using a virtual database. Need help, type '.help'
osquery> SELECT DISTINCT
...> process.name,
...> listening.port,
...> process.pid
...> FROM processes AS process
...> JOIN listening_ports AS listening
...> ON process.pid = listening.pid
...> WHERE listening.address = '0.0.0.0';
+----------+-------+------+
| name | port | pid |
+----------+-------+------+
| dhclient | 63380 | 2647 |
| dhclient | 68 | 2647 |
| sshd | 22 | 2988 |
| master | 25 | 4067 |
| pptpd | 1723 | 4085 |
| rsync | 873 | 4096 |
+----------+-------+------+
osquery>

代碼: 選擇全部

SELECT DISTINCT 
  process.name, 
  listening.port, 
  process.pid
FROM processes AS process
JOIN listening_ports AS listening
ON process.pid = listening.pid
WHERE listening.address = '0.0.0.0';