Introduction

We covered the basics and introduction of Osquery For CyberSecurity. We went over querying Windows, MacOs and Linux SQL tables. This was part of  TryHackMe Osquery: The Basics

Osquery est un Open source agent créé par Facebook in 2014. It converts the operating system into a relational database. It allows us to ask questions from the tables using SQL queries, like returning the list of running processes, a user account created on the host, and the process of communicating with certain suspicious domains. It is widely used by Security Analysts, Incident Responders, Threat Hunters, etc. Osquery can be installed on multiple platforms: Windows, Linux, macOS et FreeBSD.

Obtenir les notes du certificat OSCP

 

The following learning objectives are covered:

  • What is Osquery, and what problem it solves?
  • Osquery in Interactive Mode
  • How to use the interactive mode of Osquery to interact with the operating system
  • How to join two tables to get a single answer

Réponses au défi

Combien de tables sont renvoyées lorsque nous interrogeons le « processus de table » en mode interactif d'Osquery ?

En regardant le schéma de la table des processus, quelle colonne affiche l'ID de processus pour le processus particulier ?

Examinez la commande .help. Combien de modes d'affichage de sortie sont disponibles pour la commande .mode ?

Dans Osquery version 5.5.1, combien de tables communes sont renvoyées lorsque nous sélectionnons à la fois le système d'exploitation Linux et Windows ?

Dans Osquery version 5.5.1, combien de tables pour MAC Les systèmes d'exploitation sont disponibles ?

Dans le système d'exploitation Windows, quel tableau est utilisé pour afficher les programmes installés ?

Dans le système d'exploitation Windows, quelle colonne contient la valeur de registre dans la table de registre ?

sing Osquery, how many programs are installed on this host?
En utilisant Osquery, quelle est la description de l'utilisateur James ?

Lorsque nous exécutons la requête de recherche suivante, quel est le SID complet de l'utilisateur avec le RID « 1009 » ?

Requête: sélectionnez le chemin, la clé et le nom dans le registre où key = 'HKEY_USERS' ;

Lorsque nous exécutons la requête de recherche suivante, quelle est l'extension du navigateur Internet Explorer installée sur cette machine ?

Requête: sélectionnez * dans ie_extensions ;

Après avoir exécuté la requête suivante, quel est le nom complet du programme renvoyé ?

Requête: sélectionnez le nom, l'emplacement_installation dans les programmes où le nom LIKE '%wireshark%' ;

Quelle table stocke la preuve de l’exécution du processus dans le système d’exploitation Windows ?

L'un des utilisateurs semble avoir exécuté un programme pour supprimer les traces du disque ; quel est le nom de ce programme ?

Create a search query to identify the VPN installed on this host. What is name of the software?

Combien de services sont exécutés sur cet hôte ?

Une table exécution automatique contient la liste des exécutables qui sont automatiquement exécutés sur la machine cible. Il semble y avoir un fichier batch qui s'exécute automatiquement. Quel est le nom de ce fichier batch (avec l'extension .bat) ?

Quel est le chemin complet du fichier batch trouvé dans la question ci-dessus ? (Dernier de la liste)

Vidéo pas à pas

Obtenez des notes de terrain sur la cybersécurité en devenant membre de ma chaîne YouTube

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles