​​Сегодня частично затронем тему EndpointSecurity и поговорим | Cybershit

​​Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.

Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.

Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.

Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.

Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.

К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.

Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.

osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 >


osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration