Introducción
We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of TryHackMe Osquery: The Basics
Osquería es un fuente abierta agente creado por Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, linux, macOS y FreeBSD.
Obtenga notas del certificado OSCP
The following learning objectives are covered:
- What is Osquery, and what problem it solves?
- Osquery in Interactive Mode
- How to use the interactive mode of Osquery to interact with the operating system
- How to join two tables to get a single answer
Respuestas al desafío
Mirando el esquema de la tabla de procesos, ¿qué columna muestra la identificación del proceso en particular?
Examine el comando .help, ¿cuántos modos de visualización de salida están disponibles para el comando .mode?
En Osquery versión 5.5.1, ¿cuántas tablas para MAC ¿Los sistemas operativos están disponibles?
¿En el sistema operativo Windows, qué tabla se utiliza para mostrar los programas instalados?
En el sistema operativo Windows, ¿qué columna contiene el valor del registro dentro de la tabla de registro?
Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es el SID completo del usuario con RID '1009'?
Consulta: seleccione ruta, clave, nombre del registro donde clave = 'HKEY_USERS';
Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es la extensión del navegador Internet Explorer instalada en esta máquina?
Consulta: seleccione * de ie_extensions;
Después de ejecutar la siguiente consulta, ¿cuál es el nombre completo del programa devuelto?
Consulta: seleccione nombre, ubicación_instalación de programas cuyo nombre sea COMO '%wireshark%';
¿Qué tabla almacena la evidencia de la ejecución del proceso en el sistema operativo Windows?
Uno de los usuarios parece haber ejecutado un programa para eliminar rastros del disco; como se llama ese programa?
Create a search query to identify the VPN installed on this host. What is name of the software?
¿Cuántos servicios se ejecutan en este host?
Una mesa autoexec contiene la lista de ejecutables que se ejecutan automáticamente en la máquina de destino. Parece haber un archivo por lotes que se ejecuta automáticamente. ¿Cuál es el nombre de ese archivo por lotes (con la extensión .bat)?
¿Cuál es la ruta completa del archivo por lotes que se encuentra en la pregunta anterior? (Último en la lista)
Tutorial en vídeo
Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube