Osquery: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 89: | Zeile 89: | ||
| − | = FleetDM mit Docker Compose ( | + | |
| + | = FleetDM mit Docker Compose (stabiles Setup) = | ||
== Voraussetzungen == | == Voraussetzungen == | ||
| Zeile 96: | Zeile 97: | ||
== Vorbereitung == | == Vorbereitung == | ||
| − | + | Lege ein neues Verzeichnis an und wechsle hinein: | |
| − | * | + | * mkdir fleet-quickstart |
| − | * cd fleet | + | * cd fleet-quickstart |
| − | + | Erstelle eine Datei namens docker-compose.yml mit folgendem Inhalt: | |
| − | + | <pre> | |
| + | version: "3.7" | ||
| − | + | services: | |
| − | + | mysql: | |
| − | + | image: mysql:8.0 | |
| − | + | environment: | |
| − | + | MYSQL_ROOT_PASSWORD: fleetpass | |
| + | MYSQL_DATABASE: fleet | ||
| + | volumes: | ||
| + | - mysql-data:/var/lib/mysql | ||
| + | restart: unless-stopped | ||
| − | + | redis: | |
| − | + | image: redis:6.2 | |
| + | restart: unless-stopped | ||
| − | + | fleet: | |
| + | image: fleetdm/fleet:v4.45.0 | ||
| + | depends_on: | ||
| + | - mysql | ||
| + | - redis | ||
| + | ports: | ||
| + | - "8080:8080" | ||
| + | environment: | ||
| + | - FLEET_MYSQL_USERNAME=root | ||
| + | - FLEET_MYSQL_PASSWORD=fleetpass | ||
| + | - FLEET_MYSQL_DATABASE=fleet | ||
| + | - FLEET_MYSQL_ADDRESS=mysql:3306 | ||
| + | - FLEET_REDIS_ADDRESS=redis:6379 | ||
| + | command: > | ||
| + | sh -c " | ||
| + | fleet prepare db && | ||
| + | fleet serve | ||
| + | " | ||
| + | restart: unless-stopped | ||
| − | + | volumes: | |
| − | + | mysql-data: | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
</pre> | </pre> | ||
| − | + | == Start == | |
| − | * docker | + | Startet die Umgebung: |
| + | * docker compose up -d | ||
== Web-Oberfläche aufrufen == | == Web-Oberfläche aufrufen == | ||
| Zeile 135: | Zeile 154: | ||
== Hinweise == | == Hinweise == | ||
| − | * | + | * Keine Kompilierung notwendig |
| − | * | + | * Kein make, kein node, kein bazel |
| − | * | + | * Datenbank wird automatisch initialisiert |
| − | * | + | * Umgebung ist sofort einsatzbereit |
== Weitere Schritte == | == Weitere Schritte == | ||
Version vom 18. April 2025, 11:36 Uhr
Einführung
osquery ist ein Framework zur sicherheitsrelevanten Systemüberwachung. Es stellt Betriebssystemdaten als SQL-Tabellen dar. So können Dateien, Prozesse, Nutzer, Netzwerke und Konfigurationen abgefragt werden.
Ursprünglich von Facebook entwickelt, eignet sich osquery für forensische Analysen, Security Monitoring und Integritätsprüfungen.
Architektur
Die Anwendung besteht aus zwei Komponenten:
+-------------------+
| osqueryi Shell | <-- Interaktive SQL-Abfragen
+-------------------+
|
v
+-------------------+
| osqueryd | <-- Daemon für geplante Abfragen
+-------------------+
|
v
+-------------------+
| Systemtabellen | <-- z.B. processes, users, etc.
+-------------------+
Installation unter Debian 12
- Von der Webseite neuste Version runterladen und installieren.
https://osquery.io/downloads/official/5.16.0
- wget https://pkg.osquery.io/deb/osquery_5.16.0-1.linux_amd64.deb
- dpkg -i osquery_5.16.0-1.linux_amd64.deb
Konfiguration
Kopiert die Beispielkonfiguration
- cp /opt/osquery/share/osquery/osquery.example.conf /etc/osquery/osquery.conf
Dienst starten
Startet den osquery-Dienst
- systemctl start osqueryd
Prüft den Dienststatus
- systemctl status osqueryd
● osqueryd.service - The osquery Daemon Loaded: loaded (/lib/systemd/system/osqueryd.service; enabled) Active: active (running)
Interaktive Nutzung mit osqueryi
Startet die interaktive Shell
- osqueryi
Beispielabfragen:
Zeigt aktuell eingeloggte Benutzer
- SELECT * FROM logged_in_users;
Zeigt laufende Prozesse von root
- SELECT name, pid FROM processes WHERE uid = 0;
Zeigt alle Cronjobs
- SELECT * FROM crontab;
Zeigt alle offenen Netzwerkports
- SELECT * FROM listening_ports;
Eigene Regeln über Queries konfigurieren
Bearbeitet die zentrale Konfigurationsdatei vi /etc/osquery/osquery.conf
Beispielkonfiguration:
{
"schedule": {
"users_check": {
"query": "SELECT * FROM users;",
"interval": 600
},
"passwd_check": {
"query": "SELECT * FROM file WHERE path = '/etc/passwd';",
"interval": 300
}
}
}
Aktualisiert osquery nach Konfig-Änderungen
- systemctl restart osqueryd
FleetDM mit Docker Compose (stabiles Setup)
Voraussetzungen
- Debian 12 mit installiertem Docker & Docker Compose
- osquery soll zentral über Fleet verwaltet werden
Vorbereitung
Lege ein neues Verzeichnis an und wechsle hinein:
- mkdir fleet-quickstart
- cd fleet-quickstart
Erstelle eine Datei namens docker-compose.yml mit folgendem Inhalt:
version: "3.7"
services:
mysql:
image: mysql:8.0
environment:
MYSQL_ROOT_PASSWORD: fleetpass
MYSQL_DATABASE: fleet
volumes:
- mysql-data:/var/lib/mysql
restart: unless-stopped
redis:
image: redis:6.2
restart: unless-stopped
fleet:
image: fleetdm/fleet:v4.45.0
depends_on:
- mysql
- redis
ports:
- "8080:8080"
environment:
- FLEET_MYSQL_USERNAME=root
- FLEET_MYSQL_PASSWORD=fleetpass
- FLEET_MYSQL_DATABASE=fleet
- FLEET_MYSQL_ADDRESS=mysql:3306
- FLEET_REDIS_ADDRESS=redis:6379
command: >
sh -c "
fleet prepare db &&
fleet serve
"
restart: unless-stopped
volumes:
mysql-data:
Start
Startet die Umgebung:
- docker compose up -d
Web-Oberfläche aufrufen
Beim ersten Start:
- Admin-Benutzer, Passwort und Organisation anlegen
Hinweise
- Keine Kompilierung notwendig
- Kein make, kein node, kein bazel
- Datenbank wird automatisch initialisiert
- Umgebung ist sofort einsatzbereit
Weitere Schritte
- osquery-Clients mit Fleet verbinden
- Queries und Policies definieren
- Live-Abfragen ausführen