osquery在网络安全入侵场景中的应用实战(一)

最新推荐文章于 2025-06-01 09:13:52 发布
原创 最新推荐文章于 2025-06-01 09:13:52 发布 · 884 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #安全威胁分析 #网络安全 #系统安全

背景

在网络安全威胁日益复杂的背景下,入侵溯源需要高效获取系统底层数据并进行关联分析。osquery作为一款跨平台(支持 Linux/macOS/Windows)的轻量级系统监控工具,通过模拟 SQL 数据库的查询语法,将操作系统的进程、文件、网络、注册表等元数据抽象为可查询的表格(如processes表对应进程信息、file表对应文件属性),允许安全人员以标准化方式快速提取关键证据,成为入侵事件响应中 “数据采集 - 特征匹配 - 痕迹定位” 的核心工具。

其核心优势在于:

  1. 细粒度数据访问:直接查询内核级信息(如内存映射、文件 inode、网络连接状态),无需依赖日志解析;
  2. 实时性与灵活性:支持交互式查询(osqueryi命令行)和定时任务(osquery.conf配置),满足应急响应的即时分析与持续监控需求;
  3. 跨平台一致性:通过统一的 SQL 语法覆盖不同操作系统的检测逻辑,降低多环境溯源的技术成本,不用担心脚本无法在不同的系统上执行。

实战

在入侵场景中,osquery作为一款基于SQL的系统监控工具,可通过查询操作系统元数据实现高效溯源。以下是典型场景及对应命令:

一、进程异常行为检测

非特权用户运行高风险程序

场景解释:普通用户(UID≠0)直接调用sudo/su等权限提升工具,或执行/bin/bash/python等高危程序,可能是攻击者尝试提权或运行恶意脚本。
检测目标:通过进程名称和命令行路径,识别非特权用户的异常操作。
SQL逻辑:筛选UID非0的进程,匹配危险程序名称(如sudo)或包含/bin和/sbin的命令行(系统关键目录)。

SELECT pid, uid, username, name, cmdline 
FROM processes 
WHERE uid != 0 
  AND (name IN ('sudo', 'su', 'bash', 'sh', 'python', 'perl') 
       OR cmdline LIKE '%/bin/%' 
       OR cmdline LIKE '%/sbin/%');

近期新建的异常进程(过去5分钟)

场景解释:短时间内大量新建进程可能是恶意软件(如挖矿程序、木马)启动的特征。
检测目标:捕获最新启动的进程,结合cmdline分析是否为合法程序。
SQL逻辑:通过start_time时间戳筛选5分钟内创建的进程,获取进程路径和启动参数。

SELECT pid, name, cmdline, cwd, start_time 
FROM processes 
WHERE start_time > strftime('%s', 'now', '-5 minutes');

二、网络连接与端口监控

外部IP连接(排除内网段)

场景解释:恶意外联(如C2通信)通常连接公网IP,排除内网段(10.、192.168.等)可聚焦可疑外部连接。
检测目标:发现未经授权的对外网络连接,定位与攻击者控制服务器的通信。
SQL逻辑:使用正则表达式排除本地回环(127.)和私有IP段,筛选process_open_sockets 表中的远程地址。

SELECT pid
最低0.47元/天 解锁文章

200万优质内容无限畅学
osquery的认识
墨痕诉清风的博客
11-15 1140
说明 osquery个由FaceBook开源用于对系统进行查询、监控以及分析款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
osquery 查询系统信息
thinker
06-26 1277
说明 本文是篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a 在4年的时间里,有243个贡献者共提交了4573个commit,为osquery的发展作出了贡献。osquery个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行个简要的介绍。 本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 4460
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
如何使用osquery在Windows上实时监控文件?
2301_77157449的博客
04-28 1585
Windows上的文件监控方法通常分为以下三种:Win32/WinAPI接口:FindFirstChangeNotification, ReadDirectoryChangesW;文件系统过滤器驱动程序和Minifilter,所谓的Minifilter其实就是符合过滤器标准的过滤组件,它其实是组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。
Windows系统下osquery安装与部署完全指南
最新发布
gitblog_00524的博客
06-01 754
Windows系统下osquery安装与部署完全指南 前言 osquery作为款强大的端点监控工具,在Windows环境下的部署需要特别注意权限管理和服务配置。本文将全面介绍Windows平台下osquery的多种安装方式、服务配置方法以及最佳实践建议。 安装方式选择 1. Chocolatey包管理器安装(推荐) 对于大多数用户而言,使用Chocolatey进行安装是最简便的方式: choco...
Osquery Linux (x86_64)系统-内网/无网络环境安装
KeriTAT的博客
06-26 547
osquery个强大的系统信息查询程序,由于它是开源的,其对于不同系统各类信息的获取的方法,非常值得我们探索和学习,但在之前,我们首选要学会最基本的安装和使用它。windows 和 linux在线安装方式 请自行查阅其他安装教程,本文是介绍相对比较复杂的内网/无网络环境安装。
osquery网络安全入侵场景中的应用实战(二)
shutdown -s -t
05-05 1009
上次写了结果还不错,这次篇目二再增加场景osquery主要解决的时员工被入侵之后电脑该如何溯源取证的问题。通常EDR会有日志,但是不会上报全量的日志。发现机器有恶意文件需要上级取证的时候,往往是比较麻烦的,会有这样或者那样的问题:比如公司员工遍布海内外,第时间拿不到主机;使用远程桌面,但有可能遭遇设备远程策略被破坏打不开;溯源很多过程和步骤平时使用低频,旦发生对运营人员来说,不重不漏完成也是个巨大挑战。
Osquery威胁狩猎与Linux事件调查实战指南
在实际的安全分析工作中,Osquery通常与SIEM(安全信息和事件管理)系统、入侵检测系统(IDS)、以及其他安全工具相结合使用,以实现全面的安全监控和事件响应。此外,理解和应用系统日志、网络流量分析和蜜罐技术等...
白帽子转型甲方杂绪
zero
05-08 381
1.企业安全建设涵盖的内容 安全门含义很广的学科,信息安全网络安全、网络空间安全等都是安全中的个分支,有交集却也有不同。 对于甲方企业安全来说,通常又分为:安全体系(等保、合规、审计)、基础设施安全(主机、网络、终端)、应用安全Web、移动)、业务安全(账户、交易、内容、活动)、安全运营(应急响应、安全培训)、数据安全(加密、脱敏、存储)等等,不同企业在不同的发展阶段所侧重的安全点也不致。 在上述的每个类型中有很多子类,每个子类都有个循序渐进的路线,比如:安全测试工作 安全测试般分为定期的
智能安全分析最佳实践:自动化工具与威胁检测
随着信息技术的快速发展,智能安全分析在防范现代网络威胁中的作用日益凸显。本文首先概述了智能安全分析的基本概念及其重要性,随后深入探讨了威胁检测的理论基础,包括不同类型的安全威胁和检测技术。第二
【系统审计】osquery的安装与使用
没枕头我咋睡觉
10-19 4726
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
05_osquery_源码解读_os_version
田一一
12-04 1347
05_osquery_源码解读_os_version1. 表1.1. os_version1.2. os_version表的定义1.3. os_version数据来源1.3.1. Linux系统中的来源1.3.2. Windows系统中的查询1.4 os_version.cpp(Linux的实现)1.4.1 genOSVersion()1.4.2. genOSVersionImpl()1.4.3. genOSRelease()1.5 os_version.cpp(Windows的实现) 1. 表 osqu
探秘 Facebook 的 osquery款强大的操作系统查询工具
gitblog_00020的博客
04-11 480
探秘 Facebook 的 osquery款强大的操作系统查询工具 是 Facebook 开源的个强大且灵活的系统监控和安全取证工具。它将 SQL 查询语言引入到操作系统层面,允许开发者和安全专家以结构化的方式获取和分析系统的各种信息。这篇文章将深入解析 osquery 的技术特性、应用场景及其优势,引导你更好地理解和利用这工具。 项目概述 osquery 将操作系统(如 macOS, L...
osquery 项目教程
gitblog_00029的博客
10-11 772
osquery 项目教程 1. 项目目录结构及介绍 osquery 项目的目录结构如下: osquery/ ├── cmake/ ├── docs/ ├── external/ ├── libraries/ ├── osquery/ ├── packs/ ├── plugins/ ├── specs/ ├── tests/ ├── tools/ ├── .artifactignore ├── .c...
osquery 项目使用教程
gitblog_00748的博客
10-11 658
osquery 项目使用教程 1. 项目介绍 osquery个由 Facebook 开发的开源项目,它通过 SQL 查询的方式来监控和分析操作系统。osquery 将操作系统抽象为个高性能的关系数据库,用户可以通过 SQL 语句来查询系统的各种状态和信息,如运行中的进程、加载的内核模块、网络连接、浏览器插件、硬件事件等。 osquery 支持 Linux、macOS 和 Windows 操...
探索操作系统的新维度:osquery 开源项目推荐
gitblog_00301的博客
10-11 367
探索操作系统的新维度:osquery 开源项目推荐 项目介绍 osquery款由 SQL 驱动的操作系统监控、分析和检测框架,适用于 Linux、macOS 和 Windows 系统。它将操作系统抽象为高性能的关系型数据库,用户可以通过 SQL 查询来探索和分析系统状态。osquery 不仅提供了丰富的系统数据表,还支持自定义插件和扩展,使得用户能够灵活地进行系统监控和分析。 项目技术分析 ...
使用 OSquery 和 YARA 进行审计
weixin_43520214的博客
03-20 2743
网络安全:使用 OSquery 和 YARA 进行审计
20款经济高效的开源网络安全工具推荐
2302_76672693的博客
10-06 684
20款经济高效的开源网络安全工具推荐
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值