Einführung
We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of TryHackMe Osquery: The Basics
Osquery ist ein Open Source Agent erstellt von Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, Linux, macOS und FreeBSD.
Holen Sie sich Hinweise zum OSCP-Zertifikat
The following learning objectives are covered:
- What is Osquery, and what problem it solves?
- Osquery in Interactive Mode
- How to use the interactive mode of Osquery to interact with the operating system
- How to join two tables to get a single answer
Antworten auf die Herausforderungen
Wenn Sie sich das Schema der Prozesstabelle ansehen, welche Spalte zeigt die Prozess-ID für den jeweiligen Prozess an?
Untersuchen Sie den Befehl .help. Wie viele Ausgabeanzeigemodi sind für den Befehl .mode verfügbar?
In Osquery Version 5.5.1, wie viele Tabellen für MAC Betriebssysteme sind verfügbar?
Welche Tabelle wird im Windows-Betriebssystem zur Anzeige der installierten Programme verwendet?
Welche Spalte in der Registrierungstabelle enthält im Windows-Betriebssystem den Registrierungswert?
Wenn wir die folgende Suchanfrage ausführen, wie lautet die vollständige SID des Benutzers mit der RID „1009“?
Abfrage: Wählen Sie Pfad, Schlüssel und Namen aus der Registrierung, wobei der Schlüssel = „HKEY_USERS“ ist.
Wenn wir die folgende Suchanfrage ausführen, welche Internet Explorer-Browsererweiterung ist auf diesem Computer installiert?
Abfrage: wählen Sie * aus ie_extensions;
Wie lautet der vollständige Name des Programms, das nach dem Ausführen der folgenden Abfrage zurückgegeben wird?
Abfrage: Wählen Sie Name, Installationsort aus Programmen mit Namen WIE „%wireshark%“;
In welcher Tabelle werden die Nachweise der Prozessausführung im Windows-Betriebssystem gespeichert?
Einer der Benutzer scheint ein Programm ausgeführt zu haben, um Spuren von der Festplatte zu entfernen. Wie heißt das Programm?
Create a search query to identify the VPN installed on this host. What is name of the software?
Wie viele Dienste werden auf diesem Host ausgeführt?
Ein Tisch autoexec enthält die Liste der ausführbaren Dateien, die automatisch auf dem Zielcomputer ausgeführt werden. Es scheint eine Batchdatei zu geben, die automatisch ausgeführt wird. Wie heißt diese Batchdatei (mit der Erweiterung .bat)?
Wie lautet der vollständige Pfad der Batchdatei aus der obigen Frage? (Zuletzt in der Liste)
Video-Anleitung
Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten