Introducción

We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of  TryHackMe Osquery: The Basics

Osquería es un fuente abierta agente creado por Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, linux, macOS y FreeBSD.

Obtenga notas del certificado OSCP

 

The following learning objectives are covered:

  • What is Osquery, and what problem it solves?
  • Osquery in Interactive Mode
  • How to use the interactive mode of Osquery to interact with the operating system
  • How to join two tables to get a single answer

Respuestas al desafío

¿Cuántas tablas se devuelven cuando consultamos "proceso de tabla" en el modo interactivo de Osquery?

Mirando el esquema de la tabla de procesos, ¿qué columna muestra la identificación del proceso en particular?

Examine el comando .help, ¿cuántos modos de visualización de salida están disponibles para el comando .mode?

En Osquery versión 5.5.1, ¿cuántas tablas comunes se devuelven cuando seleccionamos el sistema operativo Linux y Windows?

En Osquery versión 5.5.1, ¿cuántas tablas para MAC ¿Los sistemas operativos están disponibles?

¿En el sistema operativo Windows, qué tabla se utiliza para mostrar los programas instalados?

En el sistema operativo Windows, ¿qué columna contiene el valor del registro dentro de la tabla de registro?

sing Osquery, how many programs are installed on this host?
Usando Osquery, ¿cuál es la descripción del usuario James?

Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es el SID completo del usuario con RID '1009'?

Consulta: seleccione ruta, clave, nombre del registro donde clave = 'HKEY_USERS';

Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es la extensión del navegador Internet Explorer instalada en esta máquina?

Consulta: seleccione * de ie_extensions;

Después de ejecutar la siguiente consulta, ¿cuál es el nombre completo del programa devuelto?

Consulta: seleccione nombre, ubicación_instalación de programas cuyo nombre sea COMO '%wireshark%';

¿Qué tabla almacena la evidencia de la ejecución del proceso en el sistema operativo Windows?

Uno de los usuarios parece haber ejecutado un programa para eliminar rastros del disco; como se llama ese programa?

Create a search query to identify the VPN installed on this host. What is name of the software?

¿Cuántos servicios se ejecutan en este host?

Una mesa autoexec contiene la lista de ejecutables que se ejecutan automáticamente en la máquina de destino. Parece haber un archivo por lotes que se ejecuta automáticamente. ¿Cuál es el nombre de ese archivo por lotes (con la extensión .bat)?

¿Cuál es la ruta completa del archivo por lotes que se encuentra en la pregunta anterior? (Último en la lista)

Tutorial en vídeo

Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos