Osquery: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 88: | Zeile 88: | ||
* systemctl restart osqueryd | * systemctl restart osqueryd | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | = FleetDM mit Docker Compose = | |
| − | * | + | *[[Architektur Fleet + osquery]] |
| − | + | ==Install the fleetctl command line tool== | |
| − | + | *curl -sSL https://fleetdm.com/resources/install-fleetctl.sh | bash | |
| − | == | + | ==Run a local demo of the Fleet server== |
| − | + | *~/.fleetctl/fleetctl preview | |
| − | * | + | ==The Fleet UI is now available== |
| − | + | *http://localhost:1337 | |
| − | + | *Email: admin@example.com | |
| − | + | *Password: preview1337# | |
| − | + | ==Erster Query== | |
| − | == | + | *Queries |
| − | + | **Add query | |
| − | * | + | ***Query: SELECT * FROM crontab; |
| − | + | **Save | |
| − | + | *Run query | |
| − | + | **Select target host: verwaltung.it113.int | |
| − | + | **Run | |
| − | == | + | *Ergebnisse prüfen |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | * | ||
Aktuelle Version vom 20. April 2025, 10:00 Uhr
Einführung
osquery ist ein Framework zur sicherheitsrelevanten Systemüberwachung. Es stellt Betriebssystemdaten als SQL-Tabellen dar. So können Dateien, Prozesse, Nutzer, Netzwerke und Konfigurationen abgefragt werden.
Ursprünglich von Facebook entwickelt, eignet sich osquery für forensische Analysen, Security Monitoring und Integritätsprüfungen.
Architektur
Die Anwendung besteht aus zwei Komponenten:
+-------------------+
| osqueryi Shell | <-- Interaktive SQL-Abfragen
+-------------------+
|
v
+-------------------+
| osqueryd | <-- Daemon für geplante Abfragen
+-------------------+
|
v
+-------------------+
| Systemtabellen | <-- z.B. processes, users, etc.
+-------------------+
Installation unter Debian 12
- Von der Webseite neuste Version runterladen und installieren.
https://osquery.io/downloads/official/5.16.0
- wget https://pkg.osquery.io/deb/osquery_5.16.0-1.linux_amd64.deb
- dpkg -i osquery_5.16.0-1.linux_amd64.deb
Konfiguration
Kopiert die Beispielkonfiguration
- cp /opt/osquery/share/osquery/osquery.example.conf /etc/osquery/osquery.conf
Dienst starten
Startet den osquery-Dienst
- systemctl start osqueryd
Prüft den Dienststatus
- systemctl status osqueryd
● osqueryd.service - The osquery Daemon Loaded: loaded (/lib/systemd/system/osqueryd.service; enabled) Active: active (running)
Interaktive Nutzung mit osqueryi
Startet die interaktive Shell
- osqueryi
Beispielabfragen:
Zeigt aktuell eingeloggte Benutzer
- SELECT * FROM logged_in_users;
Zeigt laufende Prozesse von root
- SELECT name, pid FROM processes WHERE uid = 0;
Zeigt alle Cronjobs
- SELECT * FROM crontab;
Zeigt alle offenen Netzwerkports
- SELECT * FROM listening_ports;
Eigene Regeln über Queries konfigurieren
Bearbeitet die zentrale Konfigurationsdatei vi /etc/osquery/osquery.conf
Beispielkonfiguration:
{
"schedule": {
"users_check": {
"query": "SELECT * FROM users;",
"interval": 600
},
"passwd_check": {
"query": "SELECT * FROM file WHERE path = '/etc/passwd';",
"interval": 300
}
}
}
Aktualisiert osquery nach Konfig-Änderungen
- systemctl restart osqueryd
FleetDM mit Docker Compose
Install the fleetctl command line tool
- curl -sSL https://fleetdm.com/resources/install-fleetctl.sh | bash
Run a local demo of the Fleet server
- ~/.fleetctl/fleetctl preview
The Fleet UI is now available
- http://localhost:1337
- Email: admin@example.com
- Password: preview1337#
Erster Query
- Queries
- Add query
- Query: SELECT * FROM crontab;
- Save
- Add query
- Run query
- Select target host: verwaltung.it113.int
- Run
- Ergebnisse prüfen