Einführung

We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of  TryHackMe Osquery: The Basics

Osquery ist ein Open Source Agent erstellt von Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, Linux, macOS und FreeBSD.

Holen Sie sich Hinweise zum OSCP-Zertifikat

 

The following learning objectives are covered:

  • What is Osquery, and what problem it solves?
  • Osquery in Interactive Mode
  • How to use the interactive mode of Osquery to interact with the operating system
  • How to join two tables to get a single answer

Antworten auf die Herausforderungen

Wie viele Tabellen werden zurückgegeben, wenn wir im interaktiven Modus von Osquery „Tabellenprozess“ abfragen?

Wenn Sie sich das Schema der Prozesstabelle ansehen, welche Spalte zeigt die Prozess-ID für den jeweiligen Prozess an?

Untersuchen Sie den Befehl .help. Wie viele Ausgabeanzeigemodi sind für den Befehl .mode verfügbar?

Wie viele gemeinsame Tabellen werden in Osquery Version 5.5.1 zurückgegeben, wenn wir sowohl das Linux- als auch das Windows-Betriebssystem auswählen?

In Osquery Version 5.5.1, wie viele Tabellen für MAC Betriebssysteme sind verfügbar?

Welche Tabelle wird im Windows-Betriebssystem zur Anzeige der installierten Programme verwendet?

Welche Spalte in der Registrierungstabelle enthält im Windows-Betriebssystem den Registrierungswert?

sing Osquery, how many programs are installed on this host?
Wie lautet die Beschreibung für den Benutzer James bei Osquery?

Wenn wir die folgende Suchanfrage ausführen, wie lautet die vollständige SID des Benutzers mit der RID „1009“?

Abfrage: Wählen Sie Pfad, Schlüssel und Namen aus der Registrierung, wobei der Schlüssel = „HKEY_USERS“ ist.

Wenn wir die folgende Suchanfrage ausführen, welche Internet Explorer-Browsererweiterung ist auf diesem Computer installiert?

Abfrage: wählen Sie * aus ie_extensions;

Wie lautet der vollständige Name des Programms, das nach dem Ausführen der folgenden Abfrage zurückgegeben wird?

Abfrage: Wählen Sie Name, Installationsort aus Programmen mit Namen WIE „%wireshark%“;

In welcher Tabelle werden die Nachweise der Prozessausführung im Windows-Betriebssystem gespeichert?

Einer der Benutzer scheint ein Programm ausgeführt zu haben, um Spuren von der Festplatte zu entfernen. Wie heißt das Programm?

Create a search query to identify the VPN installed on this host. What is name of the software?

Wie viele Dienste werden auf diesem Host ausgeführt?

Ein Tisch autoexec enthält die Liste der ausführbaren Dateien, die automatisch auf dem Zielcomputer ausgeführt werden. Es scheint eine Batchdatei zu geben, die automatisch ausgeführt wird. Wie heißt diese Batchdatei (mit der Erweiterung .bat)?

Wie lautet der vollständige Pfad der Batchdatei aus der obigen Frage? (Zuletzt in der Liste)

Video-Anleitung

Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen