учебные пособия

Как следить за безопасностью с помощью Osquery в Ubuntu 17.04

  Дата публикации: May/2024
{title}

Поддержание нашего оборудования в идеальном состоянии является одной из основных задач каждого системного администратора и ИТ-поддержки или управленческого персонала, поскольку для правильной работы зависит вся архитектура.

Инструменты судебной экспертизы - это полезность, которую всегда полезно иметь под рукой, поскольку они могут помочь нам обнаружить негативные движения в нашей системе. Иногда кажется, что наша команда не в себе и ведет себя странно, поэтому инструменты, подобные представленному сегодня, могут спасти нас от худшего конца.

Хотя существует множество инструментов, которые позволяют нам отслеживать различные аспекты, как аппаратные, так и программные, на этот раз мы поговорим об инструменте, который даст нам возможность преобразовать нашу операционную систему в базу данных для выполнения различных запросов, в в режиме реального времени, о состоянии нескольких параметров: Osquery .

Что такое Osquery?

Osquery - это инструмент, разработанный на SQL, который позволяет нам постоянно отслеживать и анализировать систему в поисках сбоев, предпринимать немедленные действия, сохраняя при этом ее целостность. Osquery может быть реализован в средах Linux, Mac OS или Windows, что делает его одним из лучших кроссплатформенных инструментов для анализа операционной системы.

Его работа основана на запросах, похожих на SQWL, с помощью которых мы можем выполнять такие задачи, как:

  • Проверьте состояние и администрирование брандмауэра.
  • Проверьте целостность каталогов.
  • Выполните аудит безопасности, среди многих других задач
Когда мы устанавливаем Osquery, мы получаем доступ к следующим утилитам:
  • Osqueryi: это интерактивная оболочка приложения, с помощью которой мы можем выполнять запросы в режиме реального времени.
  • Osqueryd: это демон или демон для настройки и выполнения фоновых запросов.
  • Osqueryctl: это набор команд для проверки конфигурации Osquery.

    1. Как установить Osquery на Ubuntu 17.04

    Шаг 1
    Прежде всего необходимо будет установить официальный репозиторий, чтобы все работало как положено, для этого мы выполним следующее: 

     sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

    {title}

    Шаг 2
    После того, как ключ установлен, мы приступаем к установке репозитория: 

     sudo add-apt-repository "deb [arch = amd64] https://osquery-packages.s3.amazonaws.com/xenial xenial main"

    {title}

    Шаг 3
    После установки мы обновляем пакеты репозитория, выполняя следующую команду: 

     sudo apt-get update

    Шаг 4
    После обновления мы продолжаем установку Osquery, выполнив следующее: 

     sudo apt-get установить osquery

    {title}

    Шаг 5
    После установки мы можем увидеть различные параметры для использования, выполнив следующую команду: 

     osqueryd –help

    {title}

    Шаг 6
    Если мы хотим визуализировать параметры флагов, мы выполним следующее: 

     osqueryi - помощь

    Шаг 7
    Запуск Osqueryi является наиболее распространенным способом просмотра всех таблиц запросов, предлагаемых приложением. Мы можем выполнить следующее. 

     osqueryi - многословный

    Шаг 8
    Это интерактивная оболочка приложения. Для выхода из консоли мы запустим .exit.

    {title}

    2. Как настроить доступ Osquery к системному журналу Ubuntu 17.04

    Шаг 1
    Чтобы позволить Osquery получить доступ к журналу операционной системы, чтобы выполнять запросы более сложным способом, мы должны изменить файл /etc/rsyslog.conf с помощью предпочтительного редактора: 

     sudo nano /etc/rsyslog.conf

    {title}

    Шаг 2
    В этом файле мы добавим следующее: 

     template (name = "OsqueryCsvFormat" type = "string" string = "% timestamp ::: date-rfc3339, csv%, % hostname ::: csv%, % syslogseverity ::: csv%, % syslogfacility-text ::: csv%, % syslogtag ::: csv%, % msg ::: csv% \ n ") *. * action (type =" ompipe "Pipe =" / var / osquery / syslog_pipe "template =" OsqueryCsvFormat ")

    {title}

    Шаг 3
    Мы сохраняем изменения, используя клавиши Ctrl + O, и закрываем редактор, используя Ctrl + X. Мы перезапускаем демон Syslog, чтобы применить изменения, выполнив следующее: 

     sudo systemctl перезапустить rsyslog

    3. Как создать файл конфигурации Osquery в Ubuntu 17.04

    Важно создать файл конфигурации Osquery, поскольку таким образом мы облегчаем его выполнение.

    Шаг 1
    Хотя Osquery не имеет файла конфигурации по умолчанию, он включает файл примера в путь / etc / osquery. В файле конфигурации должно быть три раздела:

    • Список запланированных запросов, готовых к выполнению
    • Список демонов и настройки функций.
    • Список пакетов для использования.

    Шаг 2
    Далее мы покажем опции, которые мы будем использовать с Osquery в Ubuntu 17.04:

    • Config_plugin: здесь Osquery будет читать параметры конфигурации.
    • Logger_plugin: указывает, куда будут записаны результаты запросов.
    • Logger_path: это путь к каталогу, в котором можно найти такую ​​информацию, как предупреждения, ошибки и другие результаты.
    • Disable_logging: если мы установим его значение в false, чтобы включить регистрацию.
    • Log_result_events: если мы установим его значение в true, каждая строка будет указывать изменение состояния.
    • Schedule_splay_percent: ограничение количества запросов.
    • Pidfile: определить процесс Osquery.
    • Events_expiry: указывает время в секундах, в течение которого запрос будет оставаться доступным.
    • Database_path: это путь к базе данных Osquery.
    • Подробно: активировать или деактивировать сообщения.
    • Worker_threads: указывает на количество потоков, используемых при выполнении запроса.
    • Enable_monitor: активирует или деактивирует монитор программирования.
    • Disable_events: позволяет отключить ведение журнала событий.
    • Disable_audit: отключает процесс аудита операционной системы.
    • Audit_allow_config: позволяет аудитору аудита изменять параметры аудита.
    • Audit_allow_sockets: позволяет аудитору добавлять связанные правила в сокеты.
    • Host_identifier: идентифицирует компьютер, на котором работает Osquery.
    • Enable_syslog: позволяет Osquery собирать информацию из системного журнала Ubuntu.
    • Schedule_default_interval: позволяет установить значение запланированного запроса.

    Шаг 3
    Далее мы создадим файл osquery.conf, выполнив следующее: 

     sudo nano /etc/osquery/osquery.conf

    Шаг 4
    Этот файл будет использовать формат JSON. Там мы должны зарегистрировать следующие строки: 

     {"options": {"config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/ var / log / osquery", "disable_logging": "false", "log_result_events": "true", "schedule_splay_percent": "10", "pidfile": "/var/osquery/osquery.pidfile", "events_expiry": "3600", "database_path": "/var/osquery/osquery.db", "verbose" : "false", "worker_threads": "2", "enable_monitor": "true", "disable_events": "false", "disable_audit": "false", "audit_allow_config": "true", "host_identifier": " имя хоста ", " enable_syslog ":" true ", " audit_allow_sockets ":" true ", " schedule_default_interval ":" 3600 "},

    {title}

    Шаг 5
    Теперь мы добавим следующие строки, связанные с планированием запросов: 

     "schedule": {"crontab": {"query": "SELECT * FROM crontab;", "interval": 300}},

    Шаг 6
    Дополнительно мы можем добавить другой тип запросов, называемый Decorators, который предшествует данным уже выполненных запросов.
    Для этого мы добавим следующее: 

     "decorators": {"load": ["SELECT uuid AS host_uuid FROM system_info;", "SELECT user AS имя пользователя из logged_in_users ***** ПО ВРЕМЕНИ DESC LIMIT 1;" ]},

    Шаг 7
    Наконец, мы можем указать, куда Osquery отправляет список пакетов, для этого добавляем следующее: 

     "packs": {"osquery-мониторинг": "/usr/share/osquery/packs/osquery-monitoring.conf", "инцидент-ответ": "/usr/share/osquery/packs/incident-response.conf", "it-соответствие": "/usr/share/osquery/packs/it-compliance.conf", "vuln-management": "/usr/share/osquery/packs/vuln-management.conf"}}

    Шаг 8
    Мы сохраняем изменения с помощью клавиш Ctrl + O и закрываем редактор. Мы можем проверить файл, выполнив следующую команду: 

     sudo osqueryctl config-check

    4. Как использовать Osquery в Ubuntu 17.04

    Шаг 1
    После настройки этих файлов мы можем запустить Osquery с файлом конфигурации, для этого выполним следующее: 

     sudo osqueryi --config_path /etc/osquery/osquery.conf –verbose

    Шаг 2
    Как только мы получим доступ к консоли, мы введем следующее: 

     ; выберите * из logged_in_users;

    {title}

    $config[ads_text5] not found

    Шаг 3
    С помощью этого запроса мы видим, какой пользователь в данный момент подключен, чтобы узнать предыдущие логины, мы выполним следующее: 

     ; выберите * из последнего;

    {title}

    Шаг 4
    Для визуализации задач, запланированных в crontab, мы будем использовать следующую строку: 

     ; выберите команду, путь из crontab;
    {title}

    Шаг 5
    Вот как у нас есть несколько типов запросов с использованием Osquery в Ubuntu 17. Мы всегда можем запустить инструмент, выполнив следующую команду. 

     sudo systemctl start osqueryd
    Если вы хотите контролировать все, что происходит на вашем компьютере, хорошо, что вы используете такие инструменты, особенно для решения вопросов безопасности. В дополнение к этому вы также можете отслеживать свою систему Ubuntu и видеть все, что в ней происходит, с помощью следующего руководства.

    $config[ads_text5] not found

    Монитор Ubuntu

СТАТЬЯ ПО ТЕМЕ Как экспортировать пароли из Firefox Quantum 58 или выше

..

Для этого воспользуемся бесплатной утилитой под названием FF Password Exporter.