Einführung
Wir haben die Grundlagen und die Einführung von Osquery für Cybersicherheit behandelt. Wir haben die Abfrage von Windows-, MacOs- und Linux-SQL-Tabellen durchgearbeitet. Dies war Teil von TryHackMe Osquery: Die Grundlagen
Osquery ist ein Open Source Agent erstellt von Facebook im Jahr 2014. Es wandelt das Betriebssystem in eine relationale Datenbank um. Es ermöglicht uns, mithilfe von SQL-Abfragen Fragen aus den Tabellen zu stellen, z. B. die Liste der laufenden Prozesse, ein auf dem Host erstelltes Benutzerkonto und den Prozess der Kommunikation mit bestimmten verdächtigen Domänen zurückzugeben. Es wird häufig von Sicherheitsanalysten, Incident Respondern, Threat Hunters usw. verwendet. Osquery kann auf mehreren Plattformen installiert werden: Windows, Linux, macOS und FreeBSD.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Folgende Lernziele werden abgedeckt:
- Was ist Osquery und welches Problem löst es?
- Osquery im interaktiven Modus
- So verwenden Sie den interaktiven Modus von Osquery zur Interaktion mit dem Betriebssystem
- So verknüpfen Sie zwei Tabellen, um eine einzige Antwort zu erhalten
Antworten auf die Herausforderungen
Wenn Sie sich das Schema der Prozesstabelle ansehen, welche Spalte zeigt die Prozess-ID für den jeweiligen Prozess an?
Untersuchen Sie den Befehl .help. Wie viele Ausgabeanzeigemodi sind für den Befehl .mode verfügbar?
In Osquery Version 5.5.1, wie viele Tabellen für MAC Betriebssysteme sind verfügbar?
Welche Tabelle wird im Windows-Betriebssystem zur Anzeige der installierten Programme verwendet?
Welche Spalte in der Registrierungstabelle enthält im Windows-Betriebssystem den Registrierungswert?
Wenn wir die folgende Suchanfrage ausführen, wie lautet die vollständige SID des Benutzers mit der RID „1009“?
Abfrage: Wählen Sie Pfad, Schlüssel und Namen aus der Registrierung, wobei der Schlüssel = „HKEY_USERS“ ist.
Wenn wir die folgende Suchanfrage ausführen, welche Internet Explorer-Browsererweiterung ist auf diesem Computer installiert?
Abfrage: wählen Sie * aus ie_extensions;
Wie lautet der vollständige Name des Programms, das nach dem Ausführen der folgenden Abfrage zurückgegeben wird?
Abfrage: Wählen Sie Name, Installationsort aus Programmen mit Namen WIE „%wireshark%“;
In welcher Tabelle werden die Nachweise der Prozessausführung im Windows-Betriebssystem gespeichert?
Einer der Benutzer scheint ein Programm ausgeführt zu haben, um Spuren von der Festplatte zu entfernen. Wie heißt das Programm?
Erstellen Sie eine Suchanfrage, um das auf diesem Host installierte VPN zu identifizieren. Wie heißt die Software?
Wie viele Dienste werden auf diesem Host ausgeführt?
Ein Tisch autoexec enthält die Liste der ausführbaren Dateien, die automatisch auf dem Zielcomputer ausgeführt werden. Es scheint eine Batchdatei zu geben, die automatisch ausgeführt wird. Wie heißt diese Batchdatei (mit der Erweiterung .bat)?
Wie lautet der vollständige Pfad der Batchdatei aus der obigen Frage? (Zuletzt in der Liste)
Video-Anleitung
Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten