Introducción

En este tutorial en vídeo, demostramos la respuesta e investigación de incidentes utilizando osquery en terminales de Windows y Linux.

Introducción a la sala

Osquería es un fuente abierta herramienta creada por Facebook. Con Osquery, los analistas de seguridad, los respondedores de incidentes, los cazadores de amenazas, etc., pueden consultar un punto final (o varios puntos finales) utilizando la sintaxis SQL. Osquery se puede instalar en múltiples plataformas: Windows, Linux, macOS y FreeBSD.

Muchas empresas conocidas, además de Facebook, utilizan Osquery, lo utilizan en sus herramientas y/o buscan personas que conozcan Osquery.

Algunas de las herramientas (código abierto y comercial) que utilizan Osquery se enumeran a continuación.

  • bóveda alienígena: El Agente de AlienVault está basado en Osquery.
  • cisco: Cisco AMP (Protección avanzada contra malware) para terminales utiliza Osquery en Orbital de Cisco.

Aprender Osquery será beneficioso si estás buscando ingresar a este campo o si ya estás en el campo y estás buscando mejorar tus habilidades.

Nota: Es muy beneficioso si ya está familiarizado con las consultas SQL. Si no, mira esto Tutorial de SQL.

Enlace de habitación: https://tryhackme.com/room/osqueryf8

 

Obtenga notas del equipo azul

 

Respuestas de la habitación

¿Cuál es la versión de Osquery?

¿Cuál es la versión de SQLite?

¿Cuál es el modo de salida predeterminado?

¿Cuál es el metacomando para configurar la salida para que muestre un valor por línea?

¿Cuáles son los 2 metacomandos para salir de osqueryi?

¿Qué tabla consultaría para instalar la versión de Osquery en el terminal de Windows?

¿Cuántas tablas hay para esta versión de Osquery?

¿Cuántas de las tablas de esta versión son compatibles con Windows?

¿Cuántas tablas son compatibles con Linux?

¿Cuál es la primera tabla listada que es compatible tanto con Linux como con Windows?

¿Cuál es la consulta para mostrar el campo de nombre de usuario de la tabla de usuarios donde el nombre de usuario tiene 3 caracteres y termina en 'en'? (use comillas simples en su respuesta)
¿Qué es el secreto de inscripción de Osquery?

¿Cuál es la versión de Osquery?

¿Cuál es la ruta para el proceso osqueryd.exe en ejecución?

Según el archivo Léame de Polylogyx, ¿cuántas "características" agrega el complemento al núcleo de Osquery?
¿Cuál es el 'valor_actual' de kernel.osrelease?

¿Cuál es el uid para el usuario bravo?

Uno de los usuarios realizó un ataque de 'Relleno binario'. ¿Cuál fue el archivo objetivo del ataque?

¿Cuál es el valor hash de este archivo?

Verifique todos los hashes de archivos en el directorio de inicio de cada usuario. Un archivo no mostrará ningún hash. ¿Qué archivo es ese?

Hay un archivo clasificado como malicioso en uno de los directorios de inicio. Consulta la tabla de Yara para encontrar este archivo. Utilice el archivo sig que está guardado en '/var/osquery/yara/scanner.yara'. ¿Qué archivo es?

¿Cuáles fueron los 'partidos'?

Escanee el archivo desde Q#3 con el mismo archivo Yara. ¿Cuál es la entrada para 'cadenas'?

¿Cuál es la descripción del servicio Windows Defender?

Hay otro agente de seguridad en el terminal de Windows. ¿Cómo se llama este agente?

¿Qué se requiere con win_event_log_data?

¿Cuántas fuentes se devuelven para win_event_log_channels?

¿Cuál es el esquema para win_event_log_data?

El archivo anterior escaneado en el terminal de Linux con Yara está en el terminal de Windows. ¿En qué fecha/hora se detectó este archivo por primera vez? (Formato de respuesta: AAAA-MM-DD HH:MM:SS)

¿Cuál es la consulta para encontrar el primer evento de Sysmon? Seleccione solo la identificación del evento, ordene por fecha/hora y limite la salida a solo 1 entrada.

¿Cuál es la identificación del evento Sysmon?

Tutorial en vídeo

,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos