Elastic Security - Usando OSQuery

O que é Osquery?

Osquery é um projeto Opensource desenvolvido a partir do Facebook. Como o nome sugere, o Osquery ajuda a consultar os recursos do sistema operacional usando SQL. Ele expõe os conceitos subjacentes do sistema operacional, como processos, arquivos, rede como tabelas SQL.

Você pode escrever uma consulta SQL simples para ver os processos em execução ativa em seu sistema.

> SELECT pid, name, path FROM processes;

A mesma consulta SQL pode ser agendada para ser executada periodicamente e observar as mudanças no sistema. Isso torna mais fácil observar as métricas do sistema operacional de baixo nível.

Como funciona?

Osquery é compatível com a maioria das distribuições baseadas em Linux, Windows e Mac. O Osquery pode ser baixado aqui.

Osquery tem dois componentes:

• osqueryd - O daemon é executado em seu sistema operacional. o osqueryd agenda e executa consultas SQL no sistema. Fornece o estado atual do sistema quando a consulta é executada no host. O daemon usa APIs de eventos do sistema operacional para registrar as alterações. As consultas executadas pelo daemon são registradas no formato JSON e refletem o estado do sistema. Logs são gerados e exportados para análise posterior.
• osqueryi - É o shell interativo por meio do qual você pode executar consultas SQL. É autônomo e não se comunica com outros daemons Osquery em execução em outro lugar. osqueryd é o binário; quando você executa o osqueryd com o sinalizador -S, ele opera como um shell para executar comandos. Você também pode renomear osqueryd como osqueryi para operar em um modo interativo.

Para interagircom o osqueryd, você pode integrar o SDK da ferramenta de sua escolha.

Usando Osquery in Elastic Stack

Depois de instalar o Osquery em seu respectivo sistema host, usando as instruções dos documentos oficiais. Você precisa rodar um Elasticsearch, Kibana & Fleet Server para que os logs de resultados do osqueryd sejam enviados.

Existem algumas maneiras de se comunicar com o osqueryd e visualizar os dados no Elastic Stack.

• Módulo Filebeat + OSQquery - Este método é relativamente simples. Primeiro, instale o Filebeat usando o guia de início rápido e habilite o módulo osquery para ver os resultados em um painel pronto para usar.
• Integração Elastic Agent + Osquery - Com o Elastic Agent, você pode executar consultas em tempo real no sistema host e agendar consultas para serem executadas periodicamente.

Configurações

1 - Use a IU de integrações em Management para adicionar Osquery Log Collection and Osquery manager. 

Adicione integrações Osquery a uma política. Posteriormente, a política será atribuída ao Elastic Agent.

2 - Instale o Elastic Agent no sistema host em que osqueryd está sendo executado.

3 - Habilite e ingresse o Elastic agent ao Fleet. O Fleet gerencia todos os Elastic Agents instalados nos sistemas host.

Depois de habilitar a integração para executar uma consulta em tempo real, você pode acessar o aplicativo de métricas no Kibana e clicar na máquina em que deseja executar a consulta.

Os resultados coletados das consultas programadas podem ser visualizados na "Kibana Len" e "Discovery" no aplicativo Osquery na guia de gerenciamento. Além disso, você pode adicionar esses pacotes de osquery personalizados aqui.

Aprenda mais...

• Elastic Discuss (Fórum)
• Elastic Trainning 
• Elastic Documentation
• Elastic Security
• Canal no Telegram Elastic Security