introduzione
Abbiamo trattato le nozioni di base e l'introduzione di Osquery For CyberSecurity. Abbiamo esaminato le tabelle SQL di Windows, MacOs e Linux. Questo faceva parte TryHackMe Osquery: nozioni di base
Osteria è un open source agente creato da Facebook nel 2014. Converte il sistema operativo in un database relazionale. Ci consente di porre domande dalle tabelle utilizzando query SQL, come restituire l'elenco dei processi in esecuzione, un account utente creato sull'host e il processo di comunicazione con determinati domini sospetti. È ampiamente utilizzato da analisti di sicurezza, addetti alla risposta agli incidenti, cacciatori di minacce, ecc. Osquery può essere installato su più piattaforme: Windows, Linux, macOS e FreeBSD.
Ottieni le note sul certificato OSCP
Sono coperti i seguenti obiettivi di apprendimento:
- Cos'è Osquery e quale problema risolve?
- Osteria in modalità interattiva
- Come utilizzare la modalità interattiva di Osquery per interagire con il sistema operativo
- Come unire due tabelle per ottenere un'unica risposta
Risposte alle sfide
Osservando lo schema della tabella dei processi, quale colonna mostra l'ID del processo specifico?
Esaminare il comando .help, quante modalità di visualizzazione dell'output sono disponibili per il comando .mode?
Nella versione 5.5.1 di Osquery, quante tabelle per MAC I sistemi operativi sono disponibili?
Nel sistema operativo Windows, quale tabella viene utilizzata per visualizzare i programmi installati?
Nel sistema operativo Windows, quale colonna contiene il valore del registro all'interno della tabella del registro?
Quando eseguiamo la seguente query di ricerca, qual è il SID completo dell'utente con RID "1009"?
Domanda: seleziona percorso, chiave, nome dal registro dove chiave = 'HKEY_USERS';
Quando eseguiamo la seguente query di ricerca, qual è l'estensione del browser Internet Explorer installata su questo computer?
Domanda: seleziona * da ie_extensions;
Dopo aver eseguito la seguente query, qual è il nome completo del programma restituito?
Domanda: seleziona nome, posizione_installazione dai programmi in cui nome LIKE '%wireshark%';
Quale tabella memorizza la prova dell'esecuzione del processo nel sistema operativo Windows?
Sembra che uno degli utenti abbia eseguito un programma per rimuovere le tracce dal disco; come si chiama quel programma?
Crea una query di ricerca per identificare la VPN installata su questo host. Qual è il nome del software?
Quanti servizi sono in esecuzione su questo host?
Un tavolo autoexec contiene l'elenco degli eseguibili che vengono eseguiti automaticamente sul computer di destinazione. Sembra che ci sia un file batch che viene eseguito automaticamente. Qual è il nome di quel file batch (con estensione .bat)?
Qual è il percorso completo del file batch trovato nella domanda precedente? (Ultimo nell'elenco)
Videoguida
Ottieni note sul campo sulla sicurezza informatica iscrivendoti al mio canale YouTube