Introducción
Cubrimos los conceptos básicos y la introducción de Osquery For CyberSecurity. Repasamos la consulta de tablas SQL de Windows, MacOs y Linux. Esto fue parte de TryHackMe Osquery: Conceptos básicos
Osquería es un fuente abierta agente creado por Facebook en 2014. Convierte el sistema operativo en una base de datos relacional. Nos permite hacer preguntas de las tablas mediante consultas SQL, como devolver la lista de procesos en ejecución, una cuenta de usuario creada en el host y el proceso de comunicación con ciertos dominios sospechosos. Es ampliamente utilizado por analistas de seguridad, respondedores de incidentes, cazadores de amenazas, etc. Osquery se puede instalar en múltiples plataformas: Windows, linux, macOS y FreeBSD.
Obtenga notas del certificado OSCP
Se cubren los siguientes objetivos de aprendizaje:
- ¿Qué es Osquery y qué problema resuelve?
- Osquery en modo interactivo
- Cómo utilizar el modo interactivo de Osquery para interactuar con el sistema operativo
- Cómo unir dos mesas para obtener una única respuesta
Respuestas al desafío
Mirando el esquema de la tabla de procesos, ¿qué columna muestra la identificación del proceso en particular?
Examine el comando .help, ¿cuántos modos de visualización de salida están disponibles para el comando .mode?
En Osquery versión 5.5.1, ¿cuántas tablas para MAC ¿Los sistemas operativos están disponibles?
¿En el sistema operativo Windows, qué tabla se utiliza para mostrar los programas instalados?
En el sistema operativo Windows, ¿qué columna contiene el valor del registro dentro de la tabla de registro?
Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es el SID completo del usuario con RID '1009'?
Consulta: seleccione ruta, clave, nombre del registro donde clave = 'HKEY_USERS';
Cuando ejecutamos la siguiente consulta de búsqueda, ¿cuál es la extensión del navegador Internet Explorer instalada en esta máquina?
Consulta: seleccione * de ie_extensions;
Después de ejecutar la siguiente consulta, ¿cuál es el nombre completo del programa devuelto?
Consulta: seleccione nombre, ubicación_instalación de programas cuyo nombre sea COMO '%wireshark%';
¿Qué tabla almacena la evidencia de la ejecución del proceso en el sistema operativo Windows?
Uno de los usuarios parece haber ejecutado un programa para eliminar rastros del disco; como se llama ese programa?
Cree una consulta de búsqueda para identificar la VPN instalada en este host. ¿Cuál es el nombre del software?
¿Cuántos servicios se ejecutan en este host?
Una mesa autoexec contiene la lista de ejecutables que se ejecutan automáticamente en la máquina de destino. Parece haber un archivo por lotes que se ejecuta automáticamente. ¿Cuál es el nombre de ese archivo por lotes (con la extensión .bat)?
¿Cuál es la ruta completa del archivo por lotes que se encuentra en la pregunta anterior? (Último en la lista)
Tutorial en vídeo
Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube