Architektur Fleet + osquery

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Was ist FleetDM?

  • FleetDM ist eine Open-Source-Plattform zur zentralen Verwaltung und Überwachung von Servern, Clients und Cloud-Systemen.
  • Es basiert auf dem osquery-Agent, der auf den Zielsystemen installiert wird und Systemdaten in Echtzeit abfragt.
  • FleetDM ersetzt manuelle Systemaudits durch automatisierte SQL-basierte Abfragen, Policies und Live-Analysen.
  • Mit FleetDM lassen sich:
    • Sicherheits- und Konfigurationsrichtlinien zentral durchsetzen
    • Systeme live abfragen („wer ist eingeloggt?“, „welche Ports sind offen?“)
    • Host- und Softwareinventar automatisiert erfassen
    • Schwachstellen und Fehlkonfigurationen identifizieren
    • Compliance-Richtlinien wie CIS umsetzen
    • Webhooks und Alarme bei Policy-Verstoß auslösen
  • FleetDM wird über eine zentrale Weboberfläche, ein CLI (fleetctl) oder eine API gesteuert.
  • Alle Daten werden per HTTPS (TLS) übertragen – auch das Enrollment und die Kommunikation zwischen Agent und Server.

Für wen ist FleetDM gedacht?

  • IT-Administratoren in kleinen bis mittelgroßen Netzwerken (KMU, Bildungseinrichtungen)
  • Security-Teams in Rechenzentren oder Cloud-Umgebungen
  • Infrastrukturverantwortliche mit Fokus auf Audit, Monitoring und Compliance
  • Red/Blue Teams in Testumgebungen oder Laborszenarien
  • DevOps-Teams zur Einbindung in CI/CD-Prozesse mit Security-Hooks

Warum FleetDM statt anderer Tools?

  • FleetDM ist agentenbasiert, Open Source und vollständig unter eigener Kontrolle betreibbar.
  • Es ersetzt keine AV- oder EDR-Lösungen, sondern ergänzt diese durch Transparenz, Abfragen und Policy-Validierung.
  • Im Vergleich zu klassischen Monitoringlösungen (z. B. Nagios, Zabbix):
    • FleetDM fragt intern auf Betriebssystemebene per SQL
    • FleetDM erkennt Software, Benutzer, Dienste, Richtlinien – live oder geplant
    • FleetDM ist kein „Ping OK“ – sondern ein interaktives Sicherheitswerkzeug

Architektur Fleet + osquery

  • Fleet wird einmal zentral installiert
  • osquery läuft als Agent auf allen zu überwachenden Hosts
  • Die Kommunikation erfolgt über HTTPS
  • Zentrale Verwaltung erfolgt über die Fleet Web-Oberfläche
+---------------------+       HTTPS       +---------------------+
|     srv01.dev       | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          |     Fleet Server     |
+---------------------+       HTTPS       |  (Web, API, MySQL)   |
|     srv02.db        | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          +---------------------+
+---------------------+       HTTPS
|   client01.user      | <---------------->
|     osqueryd         |
+----------------------+

Zusammenfassung

  • Nur ein System benötigt Fleet (z. B. fleet.it113.int)
  • Alle Zielsysteme erhalten nur den osquery-Agent
  • Zentrale Abfragen, Regeln und Analysen laufen über Fleet
  • Verbindung ist TLS-gesichert
  • Zugriff über Webinterface, CLI oder API
Abgerufen von „http://wiki.ixheim.de/index.php?title=Architektur_Fleet_%2B_osquery&oldid=62030