Osquery Facebook tarafından geliştirilen ve düşük seviye sistem bilgilerinin toplanmasını ve olası güvenlik sorunlarını tespit etmeyi kolaylaştıran açık kaynak kodlu bir araçtır. Proje Facebook tarafından geliştirildi diyorum ama arka planda aslında bu projeye destek veren bazı büyük firmalarda bulunmaktadır. Bunlar, Dactiv, Google, Kolide gibi şirketlerden mühendisler ve geliştiriciler bu projeye destek vermeyi kabul etmişler. Peki osquery ne yapabiliyor?. Osquery, öğrenmek istediğimiz her türlü bilgiyi kurulu olduğu ortam üzerinden basit SQL sorguları ile ilişkisel veritabanı kullanarak bize ulaştıran bir araçtır. Hangi bilgilere ulaşabiliriz. Açık ve kullanımda olan portlar Aktif Kullanıcılar Yüklü olan uygulamalar Gibi örneklerini daha da artırabileceğimiz bir çok bilgiye basit SQL sorguları ile ulaşabiliriz. Bir çok platform desteği mevcut (Windows, Linux, OS X) Osquery’nin Temel olarak 2 bileşeni vardır;
osqueryd : Zamanlanmış sorgular da çalıştırabileceğiniz -logları da toplayan- servis
osqueryi: osquery sorguları çalıştırabileceğiniz interaktif arayüz
Osquery kullanan şirketlerden bazıları şunlardır,
- Airbnb
- Dropbox
- Netflix
- Palantir
- Uber
Osquery genelde güvenlik alanında çalışan kişiler tarafından çok ilgi görmektedir. Bunun sebepleri arasında osquery’i analiz ya da farklı amaçlar üzerine de kullanabiliriz, şüphelendiğiniz herhangi bir cihaz için tek bir sorgu ile son 5 dakika içerisinde login olan bütün kullanıcıların listesi ya da çalışan Process’lerin çıktısını Osquery kullanarak çağırıp incelemek işinizi oldukça kolaylaştıracaktır.
EDR Nedir?
Uç noktalarda ve sunucularda şüpheli faaliyetleri( ve bu faaliyetlere ait izleri) tespit etmeye araştırmaya odaklanan araçlardır. Uç nokta ve ağ olaylarını izleyerek analiz, tespit, araştırma, raporlama ve uyarının gerçekleştiği merkezi bir veritabanında bilgileri kaydederek çalışır. Ana sistemlere kurulan bir yazılım ajanı etkinlik izleme ve raporlama için temel oluşturur.
Osquery Kurulum
Osquery’nin kurulumu için https://osquery.io adresine giderek ilgilli işletim sistemine göre indirip çok kolay bir şekilde kurulum yapabilirsiniz. Windows kullanıcıları indirdikleri kurulum dosyasını açtıktan sonra çok kısa bir süre içerisinde kullanıcıya her hangi bir şey sormadan kurulumu tamamlayacaktır. Kurulum işlemi bittiğinde ise Powershell veya CMD üzerinde “C:\ProgramData\Osquery” dizini altına giderek osquery.exe’i çalıştırarak hemen kullanabilirsiniz. Örnek bir kullanım şekli aşağıda bulunmaktadır.
| |
diyerek aktif kullanıcıları listeleyebilirsiniz. Ya da select * from startup_items; diyerek kayıt defteri üzerinde başlangıca eklenen kayıtları görebilir her hangi bir zararlı yazılımın başlangıçta çalışıp çalışmadığına bakabilirsiniz. Sisteme ait loglanan tüm bilgilere dair tablo isimlerini osquery uygulamasına yazacağınız .tables komutuyla görebilirsiniz.
Kolide Fleet
Kolide Fleet ise yine açık kaynak kodlu bir Osquery Manager uygulamasıdır. Kolide Fleet ile tek bir noktadan Osquery çalışan bütün aktif cihazları yönetebilirsiniz. Kolide Fleet Osquery yükü bütün cihazlarınızda bu tarz sorguları uzaktan çalıştırarak size tek bir noktadan yönetim kolaylığı sağlıyor. Tek bir sorgu ile Fleet üzerinde ekli durumda olan yüzlerce Host ya da Client üzerinde tek bir sorgu ile istediğiniz bilgilere erişebilir ya da CSV olarak Export edebilirsiniz. Aşağıda bulunan tabloda osquery’nin şu an için desteklediği Windows uyumlu hazır tabloları bulunmaktadır.
Bir sonraki yazı Kolide Fleet uygulamasının kurulumu üzerine olacaktır.