Introduction
We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of TryHackMe Osquery: The Basics
Osquery est un Open source agent créé par Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, Linux, macOS et FreeBSD.
Obtenir les notes du certificat OSCP
The following learning objectives are covered:
- What is Osquery, and what problem it solves?
- Osquery in Interactive Mode
- How to use the interactive mode of Osquery to interact with the operating system
- How to join two tables to get a single answer
Réponses au défi
En regardant le schéma de la table des processus, quelle colonne affiche l'ID de processus pour le processus particulier ?
Examinez la commande .help. Combien de modes d'affichage de sortie sont disponibles pour la commande .mode ?
Dans Osquery version 5.5.1, combien de tables pour MAC Les systèmes d'exploitation sont disponibles ?
Dans le système d'exploitation Windows, quel tableau est utilisé pour afficher les programmes installés ?
Dans le système d'exploitation Windows, quelle colonne contient la valeur de registre dans la table de registre ?
Lorsque nous exécutons la requête de recherche suivante, quel est le SID complet de l'utilisateur avec le RID « 1009 » ?
Requête: sélectionnez le chemin, la clé et le nom dans le registre où key = 'HKEY_USERS' ;
Lorsque nous exécutons la requête de recherche suivante, quelle est l'extension du navigateur Internet Explorer installée sur cette machine ?
Requête: sélectionnez * dans ie_extensions ;
Après avoir exécuté la requête suivante, quel est le nom complet du programme renvoyé ?
Requête: sélectionnez le nom, l'emplacement_installation dans les programmes où le nom LIKE '%wireshark%' ;
Quelle table stocke la preuve de l’exécution du processus dans le système d’exploitation Windows ?
L'un des utilisateurs semble avoir exécuté un programme pour supprimer les traces du disque ; quel est le nom de ce programme ?
Create a search query to identify the VPN installed on this host. What is name of the software?
Combien de services sont exécutés sur cet hôte ?
Une table exécution automatique contient la liste des exécutables qui sont automatiquement exécutés sur la machine cible. Il semble y avoir un fichier batch qui s'exécute automatiquement. Quel est le nom de ce fichier batch (avec l'extension .bat) ?
Quel est le chemin complet du fichier batch trouvé dans la question ci-dessus ? (Dernier de la liste)
Vidéo pas à pas
Obtenez des notes de terrain sur la cybersécurité en devenant membre de ma chaîne YouTube