Abbiamo dimostrato la risposta e l'indagine sugli incidenti utilizzando osquery su endpoint Windows e Linux.
Ottieni appunti sul campo della squadra blu
Ottieni gli appunti di studio COMPTIA Pentest+
Descrizione della sfida
Copriamo le basi di Osquery.
Video in evidenza
Osteria è un open source agente creato da Facebook nel 2014. Converte il sistema operativo in un database relazionale. Ci consente di porre domande dalle tabelle utilizzando SQL query, come la restituzione dell'elenco dei processi in esecuzione, un account utente creato sull'host e il processo di comunicazione con determinati domini sospetti. È ampiamente utilizzato da analisti di sicurezza, addetti alla risposta agli incidenti, cacciatori di minacce, ecc. Osquery può essere installato su più piattaforme: Windows, Linux, macOS e FreeBSD.
IL SQL Il linguaggio implementato in Osquery non è un intero linguaggio SQL a cui potresti essere abituato, ma piuttosto è un superset di SQLite.
Realisticamente tutte le tue domande inizieranno con a SELEZIONARE dichiarazione. Ciò ha senso perché, con Osquery, stai solo interrogando informazioni su un endpoint. Non aggiornerai o eliminerai informazioni/dati sull'endpoint.
L'eccezione alla regola: Utilizzo di altro SQL dichiarazioni, come AGGIORNAMENTO E ELIMINARE, è possibile, ma solo se stai creando tabelle di runtime (viste) o utilizzando un'estensione se l'estensione le supporta.
Le tue domande includeranno anche a DA clausola e termina con a punto e virgola.
Risposte in camera
Osservando lo schema della tabella dei processi, quale colonna mostra l'ID del processo specifico?
Esaminare il comando .help, quante modalità di visualizzazione dell'output sono disponibili per il comando .mode?
Nella versione 5.5.1 di Osquery, quante tabelle per MAC I sistemi operativi sono disponibili?
Nel sistema operativo Windows, quale tabella viene utilizzata per visualizzare i programmi installati?
Nel sistema operativo Windows, quale colonna contiene il valore del registro all'interno della tabella del registro?
Quando eseguiamo la seguente query di ricerca, qual è il SID completo dell'utente con RID "1009"?
Domanda: seleziona percorso, chiave, nome dal registro dove chiave = 'HKEY_USERS';
Quando eseguiamo la seguente query di ricerca, qual è l'estensione del browser Internet Explorer installata su questo computer?
Domanda: seleziona * da ie_extensions;
Dopo aver eseguito la seguente query, qual è il nome completo del programma restituito?
Domanda: seleziona nome, posizione_installazione dai programmi in cui nome LIKE '%wireshark%';
Quale tabella memorizza la prova dell'esecuzione del processo nel sistema operativo Windows?
Sembra che uno degli utenti abbia eseguito un programma per rimuovere le tracce dal disco; come si chiama quel programma?
Crea una query di ricerca per identificare il VPN installato su questo host. Qual è il nome del software?
Quanti servizi sono in esecuzione su questo host?
Un tavolo autoexec contiene l'elenco degli eseguibili che vengono eseguiti automaticamente sul computer di destinazione. Sembra che ci sia un file batch che viene eseguito automaticamente. Qual è il nome di quel file batch (con estensione .bat)?
Qual è il percorso completo del file batch trovato nella domanda precedente? (Ultimo nell'elenco)
Videoprocedura dettagliata