introduzione

Abbiamo trattato le nozioni di base e l'introduzione di Osquery For CyberSecurity. Abbiamo esaminato le tabelle SQL di Windows, MacOs e Linux. Questo faceva parte  TryHackMe Osquery: nozioni di base

Osteria è un open source agente creato da Facebook nel 2014. Converte il sistema operativo in un database relazionale. Ci consente di porre domande dalle tabelle utilizzando query SQL, come restituire l'elenco dei processi in esecuzione, un account utente creato sull'host e il processo di comunicazione con determinati domini sospetti. È ampiamente utilizzato da analisti di sicurezza, addetti alla risposta agli incidenti, cacciatori di minacce, ecc. Osquery può essere installato su più piattaforme: Windows, Linux, macOS e FreeBSD.

Ottieni le note sul certificato OSCP

 

Sono coperti i seguenti obiettivi di apprendimento:

  • Cos'è Osquery e quale problema risolve?
  • Osteria in modalità interattiva
  • Come utilizzare la modalità interattiva di Osquery per interagire con il sistema operativo
  • Come unire due tabelle per ottenere un'unica risposta

Risposte alle sfide

Quante tabelle vengono restituite quando interroghiamo "processo tabella" nella modalità interattiva di Osquery?

Osservando lo schema della tabella dei processi, quale colonna mostra l'ID del processo specifico?

Esaminare il comando .help, quante modalità di visualizzazione dell'output sono disponibili per il comando .mode?

Nella versione 5.5.1 di Osquery, quante tabelle comuni vengono restituite quando selezioniamo sia il sistema operativo Linux che quello Windows?

Nella versione 5.5.1 di Osquery, quante tabelle per MAC I sistemi operativi sono disponibili?

Nel sistema operativo Windows, quale tabella viene utilizzata per visualizzare i programmi installati?

Nel sistema operativo Windows, quale colonna contiene il valore del registro all'interno della tabella del registro?

canta Osquery, quanti programmi sono installati su questo host?
Utilizzando Osquery, qual è la descrizione per l'utente James?

Quando eseguiamo la seguente query di ricerca, qual è il SID completo dell'utente con RID "1009"?

Domanda: seleziona percorso, chiave, nome dal registro dove chiave = 'HKEY_USERS';

Quando eseguiamo la seguente query di ricerca, qual è l'estensione del browser Internet Explorer installata su questo computer?

Domanda: seleziona * da ie_extensions;

Dopo aver eseguito la seguente query, qual è il nome completo del programma restituito?

Domanda: seleziona nome, posizione_installazione dai programmi in cui nome LIKE '%wireshark%';

Quale tabella memorizza la prova dell'esecuzione del processo nel sistema operativo Windows?

Sembra che uno degli utenti abbia eseguito un programma per rimuovere le tracce dal disco; come si chiama quel programma?

Crea una query di ricerca per identificare la VPN installata su questo host. Qual è il nome del software?

Quanti servizi sono in esecuzione su questo host?

Un tavolo autoexec contiene l'elenco degli eseguibili che vengono eseguiti automaticamente sul computer di destinazione. Sembra che ci sia un file batch che viene eseguito automaticamente. Qual è il nome di quel file batch (con estensione .bat)?

Qual è il percorso completo del file batch trovato nella domanda precedente? (Ultimo nell'elenco)

Videoguida

Ottieni note sul campo sulla sicurezza informatica iscrivendoti al mio canale YouTube

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli