מהו Osquery?
Osquery הוא כלי קוד פתוח המאפשר לך לבצע שאילתות בנתוני מערכת ההפעלה כאילו הם מאוחסנים במסד נתונים של SQL.
Osquery פותח במקור על ידי פייסבוק וכיום הוא מנוהל על ידי קרן Osquery.
Osquery מספק דרך לבצע שאילתות בזמן אמת על תכונות מערכת כגון תהליכים רצים, מודולי ליבה טעונים, חיבורי רשת פתוחים,
תוספים לדפדפן, אירועי חומרה ו-hash של קבצים.
באמצעות שאילתות דמויות SQL, מערכת osquery מקלה על ביצוע התבוננות פנימית במערכת, מה שהופך אותו לכלי רב עוצמה
למטרות אבטחה וניטור.
Osquery עובד על פני מערכות הפעלה שונות, כולל Windows, macOS ו-Linux, ומאפשר ממשק עקבי לניתוח וניטור המערכת.
Osquery שימושי במיוחד לניטור תשתיות, תאימות, ניתוחי אבטחה ותגובה לאירועים.
שימושים של Osquery
Osquery משמש במגוון דרכים בתחומים שונים כמו אבטחה, תאימות וניטור מערכות.
להלן כמה שימושים נפוצים של Osquery:
ניטור אבטחה
ניטור שלמות הקבצים: Osquery יכול לנטר גישה לקבצים ושינויים בקבצי מערכת או ספריות קריטיות.
ביקורת תהליכים: Osquery יכול לעקוב אחר יצירת תהליכים, שינויים והפסקות, וזה שימושי לאיתור פעילויות שעלולות להיות זדוניות.
ניטור רשת: Osquery יכולה לרשום פרטים על חיבורי רשת, יציאות האזנה ותעבורת רשת, מה שיכול לסייע בזיהוי פעילויות חשודות.
בדיקת תאימות
ניהול תצורה: Osquery יכול לוודא שהגדרות המערכת, גרסאות התוכנה והתצורות תואמות לתקנים פנימיים או לדרישות רגולטוריות.
ניהול חשבון משתמש: Osquery יכול לסייע בביקורת חשבונות משתמש, חברות בקבוצה והרשאות כדי להבטיח גישה מורשית בלבד.
מלאי מערכת
מלאי חומרה: Osquery אוסף פרטים על רכיבי חומרה כמו מעבד, זיכרון, דיסקים ועוד.
מלאי תוכנה: Osquery עוקב אחר תוכנות מותקנות, שירותים פועלים ורכיבי תוכנה אחרים כדי לנהל רישיונות תוכנה
או לזהות התקנות לא מורשות.
תגובה לאירוע
ניתוח פורנזי: Osquery אוסף מידע מערכת מקיף במהירות בתגובה לאירוע אבטחה.
שאילתות בזמן אמת: Osquery מבצע שאילתות בזמן אמת כדי לחקור תקריות או חריגות ללא צורך בגישה ישירה למערכות המושפעות.
שאילתות מתוזמנות
בדיקות רגילות: Osquery מתזמן שאילתות לרוץ במרווחי זמן קבועים, רישום התוצאות לניתוח מגמות או התראה על שינויים בלתי צפויים.
מודולים של Osquery
Osquery מציע מגוון רחב של תכונות שהופכות אותו לכלי רב-תכליתי לניהול מערכת, ניטור ואבטחה.
להלן כמה מהתכונות העיקריות של Osquery:
תמיכה בין פלטפורמות
Osquery יכול לרוץ על לינוקס, macOS, Windows ו- FreeBSD, מה שמאפשר כלי עבודה ושאילתות עקביים בסביבות שונות.
שפת שאילתה עשירה דמוית SQL
אתה יכול לחקור את נתוני המערכת באמצעות שאילתות דמויות SQL, מה שהופך אותם לנגישים גם עבור אלה שאינם
מומחי תכנות מערכות.
זה כולל בחירה, הצטרפות וצבירת נתונים מהיבטי מערכת שונים.
ביצוע שאילתה מתוזמן
ניתן לתזמן שאילתות לפעול במרווחי זמן קבועים, תוך איסוף נתונים לאורך זמן, דבר חיוני לניטור מגמות ושינויים ולביקורת תאימות.
איסוף נתונים מבוסס אירועים
Osquery יכול לתפוס שינויים בזמן שהם מתרחשים על ידי מינוף יכולות איסוף נתונים מונחי אירועים.
לדוגמה, זה יכול לרשום שינויים בקבצים או לעבד יצירות בזמן אמת.
ארכיטקטורה ניתנת להרחבה
הכלי ניתן להרחבה באמצעות תוספים נוספים ויכול להשתלב עם מערכות ניטור והתראה אחרות באמצעות ממשקי ה-API החזקים שלו.
תובנות מערכת מקיפות
Osquery חושף מגוון רחב של נתוני מערכת באמצעות ‘טבלאות’.
לדוגמה, הוא יכול לבצע שאילתות על תוכנות מותקנות, חיבורי רשת פעילים, תוספים לדפדפן, אירועי חומרה,
הגדרות אבטחה ועוד רבים אחרים.
עיצוב ממוקד ביצועים
הוא תוכנן להיות קל משקל וביצועים, למזער את השפעתו על משאבי המערכת תוך מתן נתוני מערכת מפורטים.
שאילתות ארוזות למקרי שימוש נפוצים
Osquery מגיע עם חבילות של שאילתות מובנות מראש המכוונות למטרות ניטור ספציפיות כמו אבטחה, תאימות או תפעול.
אפשרויות רישום ופלט חזקות
ניתן להפנות את הפלט לפורמטים שונים כגון JSON, מה שמקל על האינטגרציה עם כלי ניהול וניתוח יומנים.
תמיכה קהילתית ומסחרית
יש לו רשת תמיכה קהילתית חזקה ואפשרויות תמיכה מסחריות דרך ספקים שונים, מה שמבטיח שעזרה זמינה לפריסה,
פיתוח ופתרון בעיות.