Architektur Fleet + osquery: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Architektur Fleet + osquery== *Fleet wird einmal zentral installiert *osquery läuft als Agent auf allen zu überwachenden Hosts *Die Kommunikation erfolgt…“)
(kein Unterschied)

Version vom 20. April 2025, 10:00 Uhr

Architektur Fleet + osquery

  • Fleet wird einmal zentral installiert
  • osquery läuft als Agent auf allen zu überwachenden Hosts
  • Die Kommunikation erfolgt über HTTPS
  • Zentrale Verwaltung erfolgt über die Fleet Web-Oberfläche
+---------------------+       HTTPS       +---------------------+
|     srv01.dev       | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          |     Fleet Server     |
+---------------------+       HTTPS       |  (Web, API, MySQL)   |
|     srv02.db        | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          +---------------------+
+---------------------+       HTTPS
|   client01.user      | <---------------->
|     osqueryd         |
+----------------------+

Zusammenfassung

  • Nur ein System benötigt Fleet (z. B. fleet.it.int)
  • Alle Zielsysteme erhalten nur den osquery-Agent
  • Zentrale Abfragen, Regeln und Analysen laufen über Fleet
  • Verbindung ist TLS-gesichert
  • Zugriff über Webinterface, CLI oder API

Was man mit Fleet machen kann

  • Live-Abfragen auf Hosts ausführen (SQL)
  • Regelmäßige Abfragen planen (Schedules)
  • Sicherheits-Policies definieren (z. B. "läuft SSH?")
  • Host-Inventar anzeigen (Hardware, OS, IP, Benutzer)
  • Software-Inventar anzeigen (installierte Pakete, Versionen)
  • Prozesse und offene Ports abfragen
  • Benutzerkonten und Rechte prüfen
  • Logs und Events zentral sammeln (Logger via TLS)
  • Hosts in Teams verwalten (Zugriff und Abfragen getrennt)
  • Benutzerverwaltung mit Rollen (Admin, Maintainer, Observer)
  • Webhook-Aktionen bei Policy-Verstoß auslösen
  • REST-API für Integration (CI/CD, Monitoring, Automatisierung)
  • Enrollment von Hosts mit Secret & TLS absichern
  • Zentrale Konfiguration an osquery verteilen

Was Fleet nicht macht

  • Keine Endpoint Protection (kein Virenscanner)
  • Kein Intrusion Prevention (keine Blockierung)
  • Keine direkte Remote-Steuerung (kein SSH, keine Shell)
  • Keine automatische Reaktion (nur manuelle oder Webhook)

Voraussetzungen

  • Debian 12 mit installiertem Docker & Docker Compose
  • osquery soll zentral über Fleet verwaltet werden
Abgerufen von „http://wiki.ixheim.de/index.php?title=Architektur_Fleet_%2B_osquery&oldid=62028