osquery — Ferramentas CySA+

osquery

Linux Foundation

Expõe o sistema operacional como banco de dados relacional consultável em SQL.

Análise de Endpoint Gratuito e Open Source Agente / Serviço Em Estudo Cross-platform

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O osquery (originalmente do Facebook, hoje Linux Foundation) é um framework de instrumentação de endpoint que expõe o estado do SO como tabelas SQL. Uma query SELECT * FROM processes WHERE on_disk=0; lista todo processo cuja imagem em disco foi apagada — um IOC clássico.

Arquitetura:

osqueryd — daemon de queries agendadas.
osqueryi — REPL interativo.
Fleet / Kolide / FleetDM — servidores open-source populares que distribuem packs para milhares de hosts.

Centenas de tabelas multiplataforma: processes, listening_ports, startup_items, users, logged_in_users, kernel_modules, deb_packages, windows_security_products, etc.

Casos de uso

Threat hunting em escala de frota via SQL
Atestação de compliance (FIM, patches faltantes)
Varreduras de IOC multiplataforma

Exemplo

-- Find processes running from temporary directories
SELECT pid, name, path FROM processes
WHERE path LIKE '%\Temp\%' OR path LIKE '/tmp/%';