Osquery - Nástroj na monitorovanie a hľadanie kybernetických hrozieb

Singel-post cover image

Čo je Osquery

Osquery je freeware platforma umožňujúca bezpečnostný monitoring a analýzu stavu PC zariadení s operačnými systémami Windows, macOS, Linux a FreeBSD. Osquery narába s operačným systémom ako s vysokovýkonnou relačnou databázou, čo užívateľovi umožňuje získavať systémové dáta pomocou štandardných SQL dopytov. Pri tvorbe dopytov sa využíva bohatá sada preddefinovaných tabuliek, z ktorých každá predstavuje konkrétny zdroj informácie o dianí a aktuálnom stave zariadenia.

Osquery je možné inštalovať a používať aj na jednom zariadení, avšak jeho skutočná sila sa ukáže pri hromadnom nasadení a využití softvéru na centrálnu správu. Vďaka tomu získavajú tímy administrátorov a bezpečnostných pracovníkov zlepšenú viditeľnosť do stavu bezpečnosti a diania naprieč celou infraštruktúrou či už pri každodennom monitorovaní, proaktívnom hľadaní hrozieb alebo reakcii na bezpečnostný incident. Výstup dopytov je reprezentovaný vo forme textových tabuliek alebo CSV súboru, bez ohľadu na to, ktorú z 273 aktuálne dostupných Osquery tabuliek, prípadne ich kombinácií, používateľ dopytoval. Ako príklad môžeme uviesť niekoľko najbežnejších:

  • bežiace procesy a ich parametre,
  • automaticky spúšťané programy pri štarte systému,
  • systémové služby,
  • zoznam používateľov a práve prihlásených používateľov,
  • registre,
  • Windows Events,
  • plánované úlohy,
  • sieťové porty na ktorých zariadenie počúva,
  • informácie o súboroch vrátane výpočtu hashu,

Vlastnosti

Za vznikom Osquery stojí spoločnosť Facebook, ktorá začala vývoj v roku 2014, z počiatku za účelom monitorovania zabezpečenia operačných systémov Linux a macOS. V roku 2016 pribudla aj podpora pre Windows. Názov pochádza z anglického Operating System Query, čo vystihuje podstatu – “dopyt na operačný systém”. Osquery je neustále vyvíjaný a jeho možnosti viditeľnosti dopĺňané o ďalšie tabuľky.

Výhody

  • Viditeľnosť – Osquery poskytuje viditeľnosť naprieč všetkými monitorovanými systémami.

  • Kybernetická bezpečnosť – Osquery je vynikajúci nástroj v procese vyhľadávania kybernetických hrozieb, digitálnej forenznej analýzy či zisťovania neoprávneného vniknutia, vďaka vhľadu do systémových dát, napríklad všetkých sieťových pripojení, bežiacich procesov či zoznamu vytvorených používateľských účtov.

  • Podpora najpoužívanejších platforiem - Osquery funguje na väčšine OS, konkrétne Windows, macOS, CentOS, FreeBSD a takmer na každom Linuxe zverejnenom od roku 2011, pričom syntax dopytov je stále jednotná.

  • Verejne dostupný zdrojový kód pod licenciou Apache 2.0 - možnosť postaviť si modifikovanú zostavu Osquery, možnost prepojenia s inými produktami a pridanie funkcionalít podľa vlastnej potreby.

Na čo dať pozor

  • Ukladací priestor - množstvo uložených dát môže byť pomerne vysoké (môže prekročiť 100MB za deň na jedno zariadenie).

  • Náročnosť na systém – v prípade zložitých alebo zle skonštruovaných dopytov, je možné vyťažiť cieľový systém.

  • Optimalizácia dopytov - potreba vytvárania vlastných Osquery dopytov šitých na mieru, nakoľko vstavané dopyty častokrát vrátia aj nadbytočné dáta a slúžia skôr ako predlohy pre vytvorenie vlastných.

Celkovo, kvalitu a prínos Osquery pre kybernetickú bezpečnosť potvrdzuje fakt, že vďaka svojim vlastnostiam a výhodám je Osquery zabudovaný aj do niektorých komerčných EDR (Endpoint Detection and Response) riešení, ktoré dnes predstavujú jedno z najvyspelejších a cenovo dostupných spôsobov ochrany proti kybernetickým útokom.

Zdroje