מהו OSQuery?
OSQuery הוא כלי קוד פתוח שפותח במקור על ידי Facebook ומאפשר למשתמשים לשאול שאלות
על מערכת ההפעלה שלהם באמצעות SQL.
זהו פתרון חזק במיוחד עבור אבטחת מידע, ניטור תשתיות וניהול מערכות,
המאפשר למנהלי מערכות ואבטחת מידע לאסוף מידע קריטי בצורה מובנית וגמישה.
יתרונות ושימושים עיקריים של OSQuery
OSQuery מאפשר למשתמשים לגשת בזמן אמת לנתונים על המערכת באמצעות שאילתות SQL.
בין השימושים המרכזיים של OSQuery:
אבטחת מידע וסייבר
זיהוי פעילות זדונית: ניטור קבצים חשודים, שינויים בהרשאות, או הרצת תוכנות חשודות.
זיהוי חדירות (Intrusion Detection): חיפוש עדויות על חדירה למערכת על ידי חיבורי רשת,
תהליכים רצים, והרשאות משתמש.
מעקב אחר מתקפות מתקדמות (APT): חקירה על גישה בלתי מורשית ושימוש
בכלים מתקדמים לתיעוד אירועים חשודים.
ניטור מערכות ו-IT
מעקב אחר שינויים בקונפיגורציה: בדיקה של שינויים ברשומות מערכת,
שירותים רצים ופעולות קריטיות.
ביצוע אודיט וניהול משתמשים: ניטור גישה למערכות, מעקב אחר התחברויות והרשאות.
איסוף נתוני ביצועים: בדיקת ניצול משאבים, תהליכים פעילים וניהול אפליקציות.
תגובה לאירועים וניהול יומנים (SIEM)
שילוב עם פתרונות SIEM כגון Splunk, Elastic Stack, Wazuh
לצורך ניתוח נתונים מתקדם.
איסוף מידע תפעולי קריטי עבור צוותי SOC (Security Operations Center).
מודולים מרכזיים של OSQuery
OSQuery מחלק את הנתונים שלו לטבלאות וירטואליות המייצגות היבטים שונים של מערכת ההפעלה.
ניתן להפעיל שאילתות SQL כדי לאסוף מידע רלוונטי.
מודולים עיקריים:
מערכת קבצים (Filesystem)
file_events: מעקב אחר שינויים בקבצים.
hash: חישוב ערכי Hash של קבצים לאימות תקינותם.
process_open_files: בדיקה אילו קבצים פתוחים על ידי תהליכים.
תהליכים ויישומים (Processes & Applications)
processes: מידע על כל התהליכים הפעילים במערכת.
startup_items: רשימת אפליקציות שמופעלות בעת עליית המערכת.
chrome_extensions: תוספים המותקנים בדפדפן Chrome.
רשת (Networking)
listening_ports: מידע על כל הפורטים הפתוחים.
dns_cache: בדיקת רשומות DNS שנשמרו במערכת.
interface_addresses: כתובות רשת של כל הכרטיסים במערכת.
ניהול משתמשים (Users & Authentication)
logged_in_users: משתמשים מחוברים למערכת.
sudoers: בדיקת הרשאות sudo.
user_groups: משתמשים לפי קבוצות.
רכיבי חומרה וקרנל (Hardware & Kernel)
usb_devices: זיהוי התקני USB מחוברים.
kernel_modules: מודולי קרנל נטענים.
os_version: גרסת מערכת ההפעלה.
עלויות OSQuery
OSQuery הוא כלי חינמי ומבוסס קוד פתוח, מה שאומר שאין עלויות רישוי או מנוי לשימוש בו.
ישנם מספר שיקולים כספיים שכדאי לקחת בחשבון:
משאבי תשתית:
נדרש כוח מחשוב ואחסון במידה ואוספים כמות גדולה של נתונים.
אינטגרציה עם פתרונות אחרים:
אם משתמשים ב-SIEM בתשלום (למשל Splunk או Elastic), העלות יכולה להיות גבוהה.
תחזוקה ופיתוח:
למרות שהוא כלי קוד פתוח, נדרשת תחזוקה שוטפת והבנה טכנית לניהול השאילתות וההטמעות.
