Abbiamo dimostrato la risposta e l'indagine sugli incidenti utilizzando osquery su endpoint Windows e Linux.

Ottieni appunti sul campo della squadra blu

Ottieni gli appunti di studio COMPTIA Pentest+

Descrizione della sfida

Copriamo le basi di Osquery.

Video in evidenza

Osteria è un open source agente creato da Facebook nel 2014. Converte il sistema operativo in un database relazionale. Ci consente di porre domande dalle tabelle utilizzando SQL query, come la restituzione dell'elenco dei processi in esecuzione, un account utente creato sull'host e il processo di comunicazione con determinati domini sospetti. È ampiamente utilizzato da analisti di sicurezza, addetti alla risposta agli incidenti, cacciatori di minacce, ecc. Osquery può essere installato su più piattaforme: Windows, Linux, macOS e FreeBSD.

IL SQL Il linguaggio implementato in Osquery non è un intero linguaggio SQL a cui potresti essere abituato, ma piuttosto è un superset di SQLite.

Realisticamente tutte le tue domande inizieranno con a SELEZIONARE dichiarazione. Ciò ha senso perché, con Osquery, stai solo interrogando informazioni su un endpoint. Non aggiornerai o eliminerai informazioni/dati sull'endpoint.

L'eccezione alla regola: Utilizzo di altro SQL dichiarazioni, come AGGIORNAMENTO E ELIMINARE, è possibile, ma solo se stai creando tabelle di runtime (viste) o utilizzando un'estensione se l'estensione le supporta.

Le tue domande includeranno anche a DA clausola e termina con a punto e virgola.

Risposte in camera

Quante tabelle vengono restituite quando interroghiamo "processo tabella" nella modalità interattiva di Osquery?

Osservando lo schema della tabella dei processi, quale colonna mostra l'ID del processo specifico?

Esaminare il comando .help, quante modalità di visualizzazione dell'output sono disponibili per il comando .mode?

Nella versione 5.5.1 di Osquery, quante tabelle comuni vengono restituite quando selezioniamo sia il sistema operativo Linux che quello Windows?

Nella versione 5.5.1 di Osquery, quante tabelle per MAC I sistemi operativi sono disponibili?

Nel sistema operativo Windows, quale tabella viene utilizzata per visualizzare i programmi installati?

Nel sistema operativo Windows, quale colonna contiene il valore del registro all'interno della tabella del registro?

Utilizzando Osquery, quanti programmi sono installati su questo host?
Utilizzando Osquery, qual è la descrizione per l'utente James?

Quando eseguiamo la seguente query di ricerca, qual è il SID completo dell'utente con RID "1009"?

Domanda: seleziona percorso, chiave, nome dal registro dove chiave = 'HKEY_USERS';

Quando eseguiamo la seguente query di ricerca, qual è l'estensione del browser Internet Explorer installata su questo computer?

Domanda: seleziona * da ie_extensions;

Dopo aver eseguito la seguente query, qual è il nome completo del programma restituito?

Domanda: seleziona nome, posizione_installazione dai programmi in cui nome LIKE '%wireshark%';

Quale tabella memorizza la prova dell'esecuzione del processo nel sistema operativo Windows?

Sembra che uno degli utenti abbia eseguito un programma per rimuovere le tracce dal disco; come si chiama quel programma?

Crea una query di ricerca per identificare il VPN installato su questo host. Qual è il nome del software?

Quanti servizi sono in esecuzione su questo host?

Un tavolo autoexec contiene l'elenco degli eseguibili che vengono eseguiti automaticamente sul computer di destinazione. Sembra che ci sia un file batch che viene eseguito automaticamente. Qual è il nome di quel file batch (con estensione .bat)?

Qual è il percorso completo del file batch trovato nella domanda precedente? (Ultimo nell'elenco)

Videoprocedura dettagliata

,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli