Osquery: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 88: | Zeile 88: | ||
* systemctl restart osqueryd | * systemctl restart osqueryd | ||
| − | = FleetDM mit Docker Compose | + | |
| + | = FleetDM mit Docker Compose (offizielles Setup) = | ||
| + | |||
| + | == Voraussetzungen == | ||
| + | * Debian 12 mit installiertem Docker & Docker Compose | ||
| + | * osquery soll zentral über Fleet verwaltet werden | ||
== Vorbereitung == | == Vorbereitung == | ||
| − | + | Klon das offizielle Fleet-Repository: | |
| − | |||
| − | |||
| − | Klon das offizielle | ||
* git clone https://github.com/fleetdm/fleet.git | * git clone https://github.com/fleetdm/fleet.git | ||
* cd fleet | * cd fleet | ||
| − | + | Starte die mitgelieferte Docker-Umgebung: | |
| − | + | * docker compose up -d | |
| − | * | + | |
| − | + | Dies startet u. a.: | |
| + | * MySQL | ||
| + | * Redis | ||
| + | * Fleet-Webserver (FleetDM) | ||
| + | * Weitere Dienste wie Mailhog, Prometheus (optional) | ||
| + | |||
| + | == Datenbank initialisieren == | ||
| + | Fleet startet nicht automatisch, wenn die Datenbank leer ist. | ||
| + | |||
| + | Führe einmalig folgende Initialisierung durch: | ||
| + | |||
| + | <pre> | ||
| + | docker run -it --rm \ | ||
| + | --network=fleet_default \ | ||
| + | -e FLEET_MYSQL_USERNAME=root \ | ||
| + | -e FLEET_MYSQL_PASSWORD=fleetpass \ | ||
| + | -e FLEET_MYSQL_DATABASE=fleet \ | ||
| + | -e FLEET_MYSQL_ADDRESS=fleet-mysql-1:3306 \ | ||
| + | -e FLEET_REDIS_ADDRESS=fleet-redis-1:6379 \ | ||
| + | fleetdm/fleet:v4.45.0 fleet prepare db | ||
| + | </pre> | ||
| − | + | Anschließend Fleet-Container neustarten: | |
| − | + | * docker restart fleet-fleet-1 | |
| − | == | + | == Web-Oberfläche aufrufen == |
| − | + | * http://localhost:8080 | |
| − | |||
| − | + | Beim ersten Start: | |
| − | + | * Admin-Benutzer, Passwort und Organisation anlegen | |
| − | == | + | == Hinweise == |
| − | Das | + | * Die `docker-compose.yml` aus dem Repo enthält alle Dienste – kein eigenes Compose-File notwendig. |
| + | * Änderungen an Ports oder Volumes können direkt in der vorhandenen Datei vorgenommen werden. | ||
| + | * Das Netzwerk `fleet_default` wird automatisch erzeugt. | ||
| + | * Der Befehl `fleet prepare db` muss **nur einmal** beim ersten Start ausgeführt werden. | ||
| − | + | == Weitere Schritte == | |
| − | * | + | * osquery-Clients mit Fleet verbinden |
| + | * Queries und Policies definieren | ||
| + | * Live-Abfragen ausführen | ||
Version vom 18. April 2025, 11:14 Uhr
Einführung
osquery ist ein Framework zur sicherheitsrelevanten Systemüberwachung. Es stellt Betriebssystemdaten als SQL-Tabellen dar. So können Dateien, Prozesse, Nutzer, Netzwerke und Konfigurationen abgefragt werden.
Ursprünglich von Facebook entwickelt, eignet sich osquery für forensische Analysen, Security Monitoring und Integritätsprüfungen.
Architektur
Die Anwendung besteht aus zwei Komponenten:
+-------------------+
| osqueryi Shell | <-- Interaktive SQL-Abfragen
+-------------------+
|
v
+-------------------+
| osqueryd | <-- Daemon für geplante Abfragen
+-------------------+
|
v
+-------------------+
| Systemtabellen | <-- z.B. processes, users, etc.
+-------------------+
Installation unter Debian 12
- Von der Webseite neuste Version runterladen und installieren.
https://osquery.io/downloads/official/5.16.0
- wget https://pkg.osquery.io/deb/osquery_5.16.0-1.linux_amd64.deb
- dpkg -i osquery_5.16.0-1.linux_amd64.deb
Konfiguration
Kopiert die Beispielkonfiguration
- cp /opt/osquery/share/osquery/osquery.example.conf /etc/osquery/osquery.conf
Dienst starten
Startet den osquery-Dienst
- systemctl start osqueryd
Prüft den Dienststatus
- systemctl status osqueryd
● osqueryd.service - The osquery Daemon Loaded: loaded (/lib/systemd/system/osqueryd.service; enabled) Active: active (running)
Interaktive Nutzung mit osqueryi
Startet die interaktive Shell
- osqueryi
Beispielabfragen:
Zeigt aktuell eingeloggte Benutzer
- SELECT * FROM logged_in_users;
Zeigt laufende Prozesse von root
- SELECT name, pid FROM processes WHERE uid = 0;
Zeigt alle Cronjobs
- SELECT * FROM crontab;
Zeigt alle offenen Netzwerkports
- SELECT * FROM listening_ports;
Eigene Regeln über Queries konfigurieren
Bearbeitet die zentrale Konfigurationsdatei vi /etc/osquery/osquery.conf
Beispielkonfiguration:
{
"schedule": {
"users_check": {
"query": "SELECT * FROM users;",
"interval": 600
},
"passwd_check": {
"query": "SELECT * FROM file WHERE path = '/etc/passwd';",
"interval": 300
}
}
}
Aktualisiert osquery nach Konfig-Änderungen
- systemctl restart osqueryd
FleetDM mit Docker Compose (offizielles Setup)
Voraussetzungen
- Debian 12 mit installiertem Docker & Docker Compose
- osquery soll zentral über Fleet verwaltet werden
Vorbereitung
Klon das offizielle Fleet-Repository:
- git clone https://github.com/fleetdm/fleet.git
- cd fleet
Starte die mitgelieferte Docker-Umgebung:
- docker compose up -d
Dies startet u. a.:
- MySQL
- Redis
- Fleet-Webserver (FleetDM)
- Weitere Dienste wie Mailhog, Prometheus (optional)
Datenbank initialisieren
Fleet startet nicht automatisch, wenn die Datenbank leer ist.
Führe einmalig folgende Initialisierung durch:
docker run -it --rm \ --network=fleet_default \ -e FLEET_MYSQL_USERNAME=root \ -e FLEET_MYSQL_PASSWORD=fleetpass \ -e FLEET_MYSQL_DATABASE=fleet \ -e FLEET_MYSQL_ADDRESS=fleet-mysql-1:3306 \ -e FLEET_REDIS_ADDRESS=fleet-redis-1:6379 \ fleetdm/fleet:v4.45.0 fleet prepare db
Anschließend Fleet-Container neustarten:
- docker restart fleet-fleet-1
Web-Oberfläche aufrufen
Beim ersten Start:
- Admin-Benutzer, Passwort und Organisation anlegen
Hinweise
- Die `docker-compose.yml` aus dem Repo enthält alle Dienste – kein eigenes Compose-File notwendig.
- Änderungen an Ports oder Volumes können direkt in der vorhandenen Datei vorgenommen werden.
- Das Netzwerk `fleet_default` wird automatisch erzeugt.
- Der Befehl `fleet prepare db` muss **nur einmal** beim ersten Start ausgeführt werden.
Weitere Schritte
- osquery-Clients mit Fleet verbinden
- Queries und Policies definieren
- Live-Abfragen ausführen