Architektur Fleet + osquery: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Architektur Fleet + osquery== *Fleet wird einmal zentral installiert *osquery läuft als Agent auf allen zu überwachenden Hosts *Die Kommunikation erfolgt…“)
 
 
Zeile 1: Zeile 1:
==Architektur Fleet + osquery==
+
== Was ist FleetDM? ==
 +
 
 +
*FleetDM ist eine Open-Source-Plattform zur zentralen Verwaltung und Überwachung von Servern, Clients und Cloud-Systemen.
 +
*Es basiert auf dem osquery-Agent, der auf den Zielsystemen installiert wird und Systemdaten in Echtzeit abfragt.
 +
*FleetDM ersetzt manuelle Systemaudits durch automatisierte SQL-basierte Abfragen, Policies und Live-Analysen.
 +
 
 +
*Mit FleetDM lassen sich:
 +
** Sicherheits- und Konfigurationsrichtlinien zentral durchsetzen
 +
** Systeme live abfragen („wer ist eingeloggt?“, „welche Ports sind offen?“)
 +
** Host- und Softwareinventar automatisiert erfassen
 +
** Schwachstellen und Fehlkonfigurationen identifizieren
 +
** Compliance-Richtlinien wie CIS umsetzen
 +
** Webhooks und Alarme bei Policy-Verstoß auslösen
 +
 
 +
*FleetDM wird über eine zentrale Weboberfläche, ein CLI (fleetctl) oder eine API gesteuert.
 +
*Alle Daten werden per HTTPS (TLS) übertragen – auch das Enrollment und die Kommunikation zwischen Agent und Server.
 +
 
 +
== Für wen ist FleetDM gedacht? ==
 +
 
 +
* IT-Administratoren in kleinen bis mittelgroßen Netzwerken (KMU, Bildungseinrichtungen)
 +
* Security-Teams in Rechenzentren oder Cloud-Umgebungen
 +
* Infrastrukturverantwortliche mit Fokus auf Audit, Monitoring und Compliance
 +
* Red/Blue Teams in Testumgebungen oder Laborszenarien
 +
* DevOps-Teams zur Einbindung in CI/CD-Prozesse mit Security-Hooks
 +
 
 +
== Warum FleetDM statt anderer Tools? ==
 +
 
 +
*FleetDM ist agentenbasiert, Open Source und vollständig unter eigener Kontrolle betreibbar.
 +
*Es ersetzt keine AV- oder EDR-Lösungen, sondern ergänzt diese durch Transparenz, Abfragen und Policy-Validierung.
 +
*Im Vergleich zu klassischen Monitoringlösungen (z. B. Nagios, Zabbix):
 +
** FleetDM fragt intern auf Betriebssystemebene per SQL
 +
** FleetDM erkennt Software, Benutzer, Dienste, Richtlinien – live oder geplant
 +
** FleetDM ist kein „Ping OK“ – sondern ein interaktives Sicherheitswerkzeug
 +
 
 +
== Architektur Fleet + osquery ==
 
*Fleet wird einmal zentral installiert
 
*Fleet wird einmal zentral installiert
 
*osquery läuft als Agent auf allen zu überwachenden Hosts
 
*osquery läuft als Agent auf allen zu überwachenden Hosts
Zeile 22: Zeile 56:
 
</pre>
 
</pre>
  
==Zusammenfassung==
+
== Zusammenfassung ==
 
+
*Nur ein System benötigt Fleet (z. B. fleet.it113.int)
*Nur ein System benötigt Fleet (z. B. fleet.it.int)
 
 
*Alle Zielsysteme erhalten nur den osquery-Agent
 
*Alle Zielsysteme erhalten nur den osquery-Agent
 
*Zentrale Abfragen, Regeln und Analysen laufen über Fleet
 
*Zentrale Abfragen, Regeln und Analysen laufen über Fleet
 
*Verbindung ist TLS-gesichert
 
*Verbindung ist TLS-gesichert
 
*Zugriff über Webinterface, CLI oder API
 
*Zugriff über Webinterface, CLI oder API
==Was man mit Fleet machen kann==
+
 
*Live-Abfragen auf Hosts ausführen (SQL)
+
[[Kategorie:FleetDM]]
*Regelmäßige Abfragen planen (Schedules)
+
[[Kategorie:Security Monitoring]]
*Sicherheits-Policies definieren (z. B. "läuft SSH?")
+
[[Kategorie:osquery]]
*Host-Inventar anzeigen (Hardware, OS, IP, Benutzer)
 
*Software-Inventar anzeigen (installierte Pakete, Versionen)
 
*Prozesse und offene Ports abfragen
 
*Benutzerkonten und Rechte prüfen
 
*Logs und Events zentral sammeln (Logger via TLS)
 
*Hosts in Teams verwalten (Zugriff und Abfragen getrennt)
 
*Benutzerverwaltung mit Rollen (Admin, Maintainer, Observer)
 
*Webhook-Aktionen bei Policy-Verstoß auslösen
 
*REST-API für Integration (CI/CD, Monitoring, Automatisierung)
 
*Enrollment von Hosts mit Secret & TLS absichern
 
*Zentrale Konfiguration an osquery verteilen
 
==Was Fleet nicht macht==
 
*Keine Endpoint Protection (kein Virenscanner)
 
*Kein Intrusion Prevention (keine Blockierung)
 
*Keine direkte Remote-Steuerung (kein SSH, keine Shell)
 
*Keine automatische Reaktion (nur manuelle oder Webhook)
 
== Voraussetzungen ==
 
* Debian 12 mit installiertem Docker & Docker Compose
 
* osquery soll zentral über Fleet verwaltet werden
 

Aktuelle Version vom 20. April 2025, 10:04 Uhr

Was ist FleetDM?

  • FleetDM ist eine Open-Source-Plattform zur zentralen Verwaltung und Überwachung von Servern, Clients und Cloud-Systemen.
  • Es basiert auf dem osquery-Agent, der auf den Zielsystemen installiert wird und Systemdaten in Echtzeit abfragt.
  • FleetDM ersetzt manuelle Systemaudits durch automatisierte SQL-basierte Abfragen, Policies und Live-Analysen.
  • Mit FleetDM lassen sich:
    • Sicherheits- und Konfigurationsrichtlinien zentral durchsetzen
    • Systeme live abfragen („wer ist eingeloggt?“, „welche Ports sind offen?“)
    • Host- und Softwareinventar automatisiert erfassen
    • Schwachstellen und Fehlkonfigurationen identifizieren
    • Compliance-Richtlinien wie CIS umsetzen
    • Webhooks und Alarme bei Policy-Verstoß auslösen
  • FleetDM wird über eine zentrale Weboberfläche, ein CLI (fleetctl) oder eine API gesteuert.
  • Alle Daten werden per HTTPS (TLS) übertragen – auch das Enrollment und die Kommunikation zwischen Agent und Server.

Für wen ist FleetDM gedacht?

  • IT-Administratoren in kleinen bis mittelgroßen Netzwerken (KMU, Bildungseinrichtungen)
  • Security-Teams in Rechenzentren oder Cloud-Umgebungen
  • Infrastrukturverantwortliche mit Fokus auf Audit, Monitoring und Compliance
  • Red/Blue Teams in Testumgebungen oder Laborszenarien
  • DevOps-Teams zur Einbindung in CI/CD-Prozesse mit Security-Hooks

Warum FleetDM statt anderer Tools?

  • FleetDM ist agentenbasiert, Open Source und vollständig unter eigener Kontrolle betreibbar.
  • Es ersetzt keine AV- oder EDR-Lösungen, sondern ergänzt diese durch Transparenz, Abfragen und Policy-Validierung.
  • Im Vergleich zu klassischen Monitoringlösungen (z. B. Nagios, Zabbix):
    • FleetDM fragt intern auf Betriebssystemebene per SQL
    • FleetDM erkennt Software, Benutzer, Dienste, Richtlinien – live oder geplant
    • FleetDM ist kein „Ping OK“ – sondern ein interaktives Sicherheitswerkzeug

Architektur Fleet + osquery

  • Fleet wird einmal zentral installiert
  • osquery läuft als Agent auf allen zu überwachenden Hosts
  • Die Kommunikation erfolgt über HTTPS
  • Zentrale Verwaltung erfolgt über die Fleet Web-Oberfläche
+---------------------+       HTTPS       +---------------------+
|     srv01.dev       | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          |     Fleet Server     |
+---------------------+       HTTPS       |  (Web, API, MySQL)   |
|     srv02.db        | <---------------->|                     |
|     osqueryd        |                   |                     |
+---------------------+                   |                     |
                                          +---------------------+
+---------------------+       HTTPS
|   client01.user      | <---------------->
|     osqueryd         |
+----------------------+

Zusammenfassung

  • Nur ein System benötigt Fleet (z. B. fleet.it113.int)
  • Alle Zielsysteme erhalten nur den osquery-Agent
  • Zentrale Abfragen, Regeln und Analysen laufen über Fleet
  • Verbindung ist TLS-gesichert
  • Zugriff über Webinterface, CLI oder API
Abgerufen von „http://wiki.ixheim.de/index.php?title=Architektur_Fleet_%2B_osquery&oldid=62030