Einführung

Wir haben die Grundlagen und die Einführung von Osquery für Cybersicherheit behandelt. Wir haben die Abfrage von Windows-, MacOs- und Linux-SQL-Tabellen durchgearbeitet. Dies war Teil von  TryHackMe Osquery: Die Grundlagen

Osquery ist ein Open Source Agent erstellt von Facebook im Jahr 2014. Es wandelt das Betriebssystem in eine relationale Datenbank um. Es ermöglicht uns, mithilfe von SQL-Abfragen Fragen aus den Tabellen zu stellen, z. B. die Liste der laufenden Prozesse, ein auf dem Host erstelltes Benutzerkonto und den Prozess der Kommunikation mit bestimmten verdächtigen Domänen zurückzugeben. Es wird häufig von Sicherheitsanalysten, Incident Respondern, Threat Hunters usw. verwendet. Osquery kann auf mehreren Plattformen installiert werden: Windows, Linux, macOS und FreeBSD.

Holen Sie sich Hinweise zum OSCP-Zertifikat

 

Folgende Lernziele werden abgedeckt:

  • Was ist Osquery und welches Problem löst es?
  • Osquery im interaktiven Modus
  • So verwenden Sie den interaktiven Modus von Osquery zur Interaktion mit dem Betriebssystem
  • So verknüpfen Sie zwei Tabellen, um eine einzige Antwort zu erhalten

Antworten auf die Herausforderungen

Wie viele Tabellen werden zurückgegeben, wenn wir im interaktiven Modus von Osquery „Tabellenprozess“ abfragen?

Wenn Sie sich das Schema der Prozesstabelle ansehen, welche Spalte zeigt die Prozess-ID für den jeweiligen Prozess an?

Untersuchen Sie den Befehl .help. Wie viele Ausgabeanzeigemodi sind für den Befehl .mode verfügbar?

Wie viele gemeinsame Tabellen werden in Osquery Version 5.5.1 zurückgegeben, wenn wir sowohl das Linux- als auch das Windows-Betriebssystem auswählen?

In Osquery Version 5.5.1, wie viele Tabellen für MAC Betriebssysteme sind verfügbar?

Welche Tabelle wird im Windows-Betriebssystem zur Anzeige der installierten Programme verwendet?

Welche Spalte in der Registrierungstabelle enthält im Windows-Betriebssystem den Registrierungswert?

singen Sie Osquery, wie viele Programme sind auf diesem Host installiert?
Wie lautet die Beschreibung für den Benutzer James bei Osquery?

Wenn wir die folgende Suchanfrage ausführen, wie lautet die vollständige SID des Benutzers mit der RID „1009“?

Abfrage: Wählen Sie Pfad, Schlüssel und Namen aus der Registrierung, wobei der Schlüssel = „HKEY_USERS“ ist.

Wenn wir die folgende Suchanfrage ausführen, welche Internet Explorer-Browsererweiterung ist auf diesem Computer installiert?

Abfrage: wählen Sie * aus ie_extensions;

Wie lautet der vollständige Name des Programms, das nach dem Ausführen der folgenden Abfrage zurückgegeben wird?

Abfrage: Wählen Sie Name, Installationsort aus Programmen mit Namen WIE „%wireshark%“;

In welcher Tabelle werden die Nachweise der Prozessausführung im Windows-Betriebssystem gespeichert?

Einer der Benutzer scheint ein Programm ausgeführt zu haben, um Spuren von der Festplatte zu entfernen. Wie heißt das Programm?

Erstellen Sie eine Suchanfrage, um das auf diesem Host installierte VPN zu identifizieren. Wie heißt die Software?

Wie viele Dienste werden auf diesem Host ausgeführt?

Ein Tisch autoexec enthält die Liste der ausführbaren Dateien, die automatisch auf dem Zielcomputer ausgeführt werden. Es scheint eine Batchdatei zu geben, die automatisch ausgeführt wird. Wie heißt diese Batchdatei (mit der Erweiterung .bat)?

Wie lautet der vollständige Pfad der Batchdatei aus der obigen Frage? (Zuletzt in der Liste)

Video-Anleitung

Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen