Einführung
In dieser Videoanleitung haben wir die Reaktion auf Vorfälle und deren Untersuchung mit osquery auf Windows- und Linux-Endpunkten demonstriert.
Raumeinführung
Osquery ist ein Open Source Werkzeug erstellt von Facebook. Mit Osquery können Sicherheitsanalysten, Incident Responder, Threat Hunters usw. einen Endpunkt (oder mehrere Endpunkte) mit SQL-Syntax abfragen. Osquery kann auf mehreren Plattformen installiert werden: Windows, Linux, macOS und FreeBSD.
Viele namhafte Unternehmen, neben Facebook, verwenden Osquery, nutzen Osquery in ihren Tools und/oder suchen nach Personen, die sich mit Osquery auskennen.
Einige der Werkzeuge (Open Source und kommerziell), die Osquery verwenden, sind unten aufgeführt.
- Alienvault: Der AlienVault-Agent basiert auf Osquery.
- Cisco: Cisco AMP (Advanced Malware Protection) für Endpunkte nutzt Osquery in Cisco Orbital.
Das Erlernen von Osquery ist für Sie von Vorteil, wenn Sie in dieses Feld einsteigen möchten oder wenn Sie bereits in diesem Bereich tätig sind und Ihre Kenntnisse verbessern möchten.
Notiz: Es ist sehr hilfreich, wenn Sie bereits mit SQL-Abfragen vertraut sind. Wenn nicht, schauen Sie sich das an SQL-Lernprogramm.
Zimmer Link: https://tryhackme.com/room/osqueryf8
Holen Sie sich Blue Team Notes
Raumantworten
Was ist die Osquery-Version?
Was ist die SQLite-Version?
Wie lautet der Metabefehl, um die Ausgabe so einzustellen, dass ein Wert pro Zeile angezeigt wird?
Was sind die 2 Metabefehle zum Beenden von osqueryi?
Wie viele Tabellen gibt es für diese Version von Osquery?
Wie viele der Tabellen dieser Version sind mit Windows kompatibel?
Wie viele Tabellen sind mit Linux kompatibel?
Welche ist die erste aufgeführte Tabelle, die sowohl mit Linux als auch mit Windows kompatibel ist?
Was ist die Osquery-Version?
Wie lautet der Pfad für den laufenden Prozess osqueryd.exe?
Was ist die UID für den Bravo-Benutzer?
Was ist der Hashwert für diese Datei?
Überprüfen Sie alle Datei-Hashes im Home-Verzeichnis für jeden Benutzer. Eine Datei zeigt keine Hashes an. Welche Datei ist das?
In einem der Home-Verzeichnisse befindet sich eine Datei, die als bösartig eingestuft wird. Fragen Sie die Yara-Tabelle ab, um diese Datei zu finden. Verwenden Sie die Signaturdatei, die in „/var/osquery/yara/scanner.yara“ gespeichert ist. Welche Datei ist das?
Was waren die „Übereinstimmungen“?
Scannen Sie die Datei von Q#3 mit derselben Yara-Datei. Was ist der Eintrag für „Strings“?
Auf dem Windows-Endpunkt befindet sich ein weiterer Sicherheitsagent. Wie heißt dieser Agent?
Was wird mit win_event_log_data benötigt?
Wie viele Quellen werden für win_event_log_channels zurückgegeben?
Was ist das Schema für win_event_log_data?
Die zuvor mit Yara auf dem Linux-Endpunkt gescannte Datei befindet sich auf dem Windows-Endpunkt. An welchem Datum/zu welcher Uhrzeit wurde diese Datei zum ersten Mal erkannt? (Antwortformat: JJJJ-MM-TT HH:MM:SS)
Wie lautet die Abfrage, um das erste Sysmon-Ereignis zu finden? Wählen Sie nur die Ereignis-ID aus, sortieren Sie nach Datum/Uhrzeit und beschränken Sie die Ausgabe auf nur 1 Eintrag.
Was ist die Sysmon-Ereignis-ID?