لقد أظهرنا الاستجابة للحوادث والتحقيق فيها باستخدام osquery على نقاط نهاية Windows وLinux.

احصل على الملاحظات الميدانية للفريق الأزرق

احصل على ملاحظات دراسة COMPTIA Pentest+

وصف التحدي

دعونا نغطي أساسيات Osquery.

أبرز مقاطع الفيديو

أوسكويري هو مفتوح المصدر الوكيل الذي تم إنشاؤه بواسطة فيسبوك في عام 2014. يقوم بتحويل نظام التشغيل إلى قاعدة بيانات علائقية. يسمح لنا بطرح الأسئلة من الجداول باستخدام SQL الاستعلامات، مثل إعادة قائمة العمليات الجارية، وحساب المستخدم الذي تم إنشاؤه على المضيف، وعملية الاتصال ببعض المجالات المشبوهة. يتم استخدامه على نطاق واسع من قبل محللي الأمن، والمستجيبين للحوادث، وصائدي التهديدات، وما إلى ذلك. ويمكن تثبيت Osquery على منصات متعددة: Windows، لينكسو ماك و فري بي إس دي.

ال SQL اللغة المطبقة في Osquery ليست لغة SQL بأكملها قد تكون معتادًا عليها، ولكنها بالأحرى مجموعة شاملة من SQLite.

من الناحية الواقعية، ستبدأ جميع استفساراتك بـ a يختار إفادة. وهذا أمر منطقي، لأنه باستخدام Osquery، فإنك تستفسر فقط عن المعلومات الموجودة على نقطة النهاية. لن تقوم بتحديث أو حذف أي معلومات/بيانات على نقطة النهاية.

الاستثناء من القاعدة: استخدام أخرى SQL تصريحات، مثل تحديث و يمسح، ممكن، ولكن فقط إذا كنت تقوم بإنشاء جداول وقت التشغيل (طرق العرض) أو تستخدم ملحقًا إذا كان الملحق يدعمها.

سوف تتضمن استفساراتك أيضًا أ من جملة وتنتهي ب فاصلة منقوطة.

إجابات الغرفة

كم عدد الجداول التي يتم إرجاعها عندما نقوم بالاستعلام عن "عملية الجدول" في الوضع التفاعلي لـ Osquery؟

بالنظر إلى مخطط جدول العمليات، أي عمود يعرض معرف العملية لعملية معينة؟

افحص الأمر .help، ما هو عدد أوضاع عرض الإخراج المتوفرة للأمر .mode؟

في الإصدار 5.5.1 من Osquery، كم عدد الجداول المشتركة التي يتم إرجاعها، عندما نختار نظامي التشغيل Linux وWindow؟

في الإصدار 5.5.1 من Osquery، كم عدد الجداول لـ ماك نظام التشغيل متاح؟

في نظام التشغيل ويندوز، ما هو الجدول المستخدم لعرض البرامج المثبتة؟

في نظام التشغيل Windows، ما العمود الذي يحتوي على قيمة التسجيل ضمن جدول التسجيل؟

باستخدام Osquery، كم عدد البرامج المثبتة على هذا المضيف؟
باستخدام Osquery، ما هو الوصف للمستخدم جيمس؟

عندما نقوم بتشغيل استعلام البحث التالي، ما هو SID الكامل للمستخدم ذو RID '1009'؟

استفسار: حدد المسار والمفتاح والاسم من التسجيل حيث المفتاح = 'HKEY_USERS'؛

عندما نقوم بتشغيل استعلام البحث التالي، ما هو ملحق متصفح Internet Explorer المثبت على هذا الجهاز؟

استفسار: حدد * من ie_extensions؛

بعد تشغيل الاستعلام التالي ما هو الاسم الكامل للبرنامج الذي تم إرجاعه؟

استفسار: حدد الاسم، install_location من البرامج حيث الاسم مثل '%wireshark%'؛

ما الجدول الذي يخزن دليل تنفيذ العملية في نظام التشغيل Windows؟

يبدو أن أحد المستخدمين قام بتنفيذ برنامج لإزالة الآثار من القرص؛ ما هو اسم هذا البرنامج؟

قم بإنشاء استعلام بحث للتعرف على VPN المثبتة على هذا المضيف. ما هو اسم البرنامج؟

كم عدد الخدمات التي تعمل على هذا المضيف؟

طاولة com.autoexec يحتوي على قائمة الملفات التنفيذية التي يتم تنفيذها تلقائيًا على الجهاز المستهدف. يبدو أن هناك ملف دفعي يتم تشغيله تلقائيًا. ما هو اسم هذا الملف الدفعي (مع الامتداد .bat)؟

ما هو المسار الكامل للملف الدفعي الموجود في السؤال أعلاه؟ (الأخير في القائمة)

تجول الفيديو

,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات