Einführung

In dieser Videoanleitung haben wir die Reaktion auf Vorfälle und deren Untersuchung mit osquery auf Windows- und Linux-Endpunkten demonstriert.

Raumeinführung

Osquery ist ein Open Source Werkzeug erstellt von Facebook. Mit Osquery können Sicherheitsanalysten, Incident Responder, Threat Hunters usw. einen Endpunkt (oder mehrere Endpunkte) mit SQL-Syntax abfragen. Osquery kann auf mehreren Plattformen installiert werden: Windows, Linux, macOS und FreeBSD.

Viele namhafte Unternehmen, neben Facebook, verwenden Osquery, nutzen Osquery in ihren Tools und/oder suchen nach Personen, die sich mit Osquery auskennen.

Einige der Werkzeuge (Open Source und kommerziell), die Osquery verwenden, sind unten aufgeführt.

  • Alienvault: Der AlienVault-Agent basiert auf Osquery.
  • Cisco: Cisco AMP (Advanced Malware Protection) für Endpunkte nutzt Osquery in Cisco Orbital.

Das Erlernen von Osquery ist für Sie von Vorteil, wenn Sie in dieses Feld einsteigen möchten oder wenn Sie bereits in diesem Bereich tätig sind und Ihre Kenntnisse verbessern möchten.

Notiz: Es ist sehr hilfreich, wenn Sie bereits mit SQL-Abfragen vertraut sind. Wenn nicht, schauen Sie sich das an SQL-Lernprogramm.

Zimmer Link: https://tryhackme.com/room/osqueryf8

 

Holen Sie sich Blue Team Notes

 

Raumantworten

Was ist die Osquery-Version?

Was ist die SQLite-Version?

Was ist der Standardausgabemodus?

Wie lautet der Metabefehl, um die Ausgabe so einzustellen, dass ein Wert pro Zeile angezeigt wird?

Was sind die 2 Metabefehle zum Beenden von osqueryi?

Welche Tabelle würden Sie abfragen, um die auf dem Windows-Endpunkt installierte Version von Osquery zu ermitteln?

Wie viele Tabellen gibt es für diese Version von Osquery?

Wie viele der Tabellen dieser Version sind mit Windows kompatibel?

Wie viele Tabellen sind mit Linux kompatibel?

Welche ist die erste aufgeführte Tabelle, die sowohl mit Linux als auch mit Windows kompatibel ist?

Wie lautet die Abfrage, um das Benutzernamenfeld aus der Benutzertabelle anzuzeigen, wobei der Benutzername 3 Zeichen lang ist und mit „en“ endet? (Verwenden Sie in Ihrer Antwort einfache Anführungszeichen.)
Was ist das Osquery-Registrierungsgeheimnis?

Was ist die Osquery-Version?

Wie lautet der Pfad für den laufenden Prozess osqueryd.exe?

Wie viele „Funktionen“ fügt das Plug-In laut der Readme-Datei von Polylogyx dem Osquery-Kern hinzu?
Was ist der „current_value“ für kernel.osrelease?

Was ist die UID für den Bravo-Benutzer?

Einer der Benutzer hat einen „Binary Padding“-Angriff durchgeführt. Auf welche Datei zielte der Angriff ab?

Was ist der Hashwert für diese Datei?

Überprüfen Sie alle Datei-Hashes im Home-Verzeichnis für jeden Benutzer. Eine Datei zeigt keine Hashes an. Welche Datei ist das?

In einem der Home-Verzeichnisse befindet sich eine Datei, die als bösartig eingestuft wird. Fragen Sie die Yara-Tabelle ab, um diese Datei zu finden. Verwenden Sie die Signaturdatei, die in „/var/osquery/yara/scanner.yara“ gespeichert ist. Welche Datei ist das?

Was waren die „Übereinstimmungen“?

Scannen Sie die Datei von Q#3 mit derselben Yara-Datei. Was ist der Eintrag für „Strings“?

Wie lautet die Beschreibung des Windows Defender-Dienstes?

Auf dem Windows-Endpunkt befindet sich ein weiterer Sicherheitsagent. Wie heißt dieser Agent?

Was wird mit win_event_log_data benötigt?

Wie viele Quellen werden für win_event_log_channels zurückgegeben?

Was ist das Schema für win_event_log_data?

Die zuvor mit Yara auf dem Linux-Endpunkt gescannte Datei befindet sich auf dem Windows-Endpunkt. An welchem Datum/zu welcher Uhrzeit wurde diese Datei zum ersten Mal erkannt? (Antwortformat: JJJJ-MM-TT HH:MM:SS)

Wie lautet die Abfrage, um das erste Sysmon-Ereignis zu finden? Wählen Sie nur die Ereignis-ID aus, sortieren Sie nach Datum/Uhrzeit und beschränken Sie die Ausgabe auf nur 1 Eintrag.

Was ist die Sysmon-Ereignis-ID?

Video-Anleitung

,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen