So überwachen Sie die Sicherheit mit Osquery in Ubuntu 17.04

Unser Equipment in Top-Zustand zu halten, ist eines der grundlegenden Ziele eines jeden Systemadministrators, IT-Supports oder Management- Mitarbeiters, da es davon abhängt, dass die gesamte Architektur einwandfrei funktioniert.

Forensische Tools sind ein Dienstprogramm, das immer zur Hand ist, da sie uns helfen können, negative Bewegungen in unserem System zu erkennen. Manchmal scheint unser Team aus dem Takt zu geraten und verhält sich seltsam. Deshalb können uns Tools wie das, das wir heute präsentieren, vor einem schlimmeren Ende bewahren.

Obwohl es mehrere Tools gibt, mit denen wir bei dieser Gelegenheit verschiedene Aspekte sowohl der Hardware als auch der Software steuern können, werden wir über ein Tool sprechen, mit dem wir unser Betriebssystem in eine Datenbank umwandeln können, um die verschiedenen Konsultationen durchzuführen Echtzeit, über den Status mehrerer Parameter: Abfrage .

Was ist Osquery?
Osquery ist ein in SQL entwickeltes Tool, mit dem wir das System ständig überwachen und analysieren können, um nach Fehlern zu suchen und umgehend Maßnahmen zu ergreifen, um die Integrität des Systems zu gewährleisten. Osquery kann in Linux-, Mac OS- oder Windows-Umgebungen implementiert werden und ist damit eines der besten Multiplattform-Tools für die Analyse eines Betriebssystems.

Die Funktionsweise basiert auf Abfragen, ähnlich wie bei SQWL , mit denen wir folgende Aufgaben ausführen können:

  • Überprüfen Sie den Status und die Verwaltung der Firewall.
  • Überprüfen Sie die Integrität der Verzeichnisse.
  • Führen Sie unter anderem Sicherheitsaudits durch

Bei der Installation von Osquery greifen wir auf folgende Dienstprogramme zu:

  • Osqueryi: Es ist die interaktive Shell der Anwendung, über die wir die Konsultationen in Echtzeit durchführen können.
  • Osqueryd: Es ist ein Daemon oder ein Daemon zum Konfigurieren und Ausführen von Abfragen im Hintergrund.
  • Osqueryctl: Dies ist eine Reihe von Befehlen, mit denen die Konfiguration von Osquery überprüft werden kann.

1. Wie installiere ich Osquery in Ubuntu 17.04?

Schritt 1

Zunächst muss das offizielle Repository installiert werden, damit alles wie erwartet funktioniert. Dazu führen wir Folgendes aus:

 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B 

1-install-Osquery-de-Ubuntu-17.04.png

Schritt 2

Sobald der Schlüssel installiert ist, installieren wir das Repository:

 sudo add-apt-repository "deb [arch = amd64] https://osquery-packages.s3.amazonaws.com/xenial xenial main" 

2-install-repository-ubuntu.png

Schritt 3

Nach der Installation aktualisieren wir die Repository-Pakete, indem wir den folgenden Befehl ausführen:

 sudo apt-get update 
Schritt 4

Nach der Aktualisierung fahren wir mit der Installation von Osquery fort, indem Sie Folgendes ausführen:

 sudo apt-get install osquery 

3-installation-of-Osquery.png

Schritt 5

Nach der Installation können wir die verschiedenen Parameter anzeigen, die verwendet werden müssen, indem wir den folgenden Befehl ausführen:

 osqueryd -help 

4-monitorize-ubuntu.png

Schritt 6

Wenn wir die Optionen der Flags visualisieren wollen, werden wir folgendes ausführen:

 osqueryi --hilfe 
Schritt 7

Das Ausführen von Osqueryi ist die häufigste Methode zum Abrufen aller von der Anwendung angebotenen Abfragetabellen. Wir können Folgendes ausführen.

 osqueryi -verbose 
Schritt 8

Dies ist die interaktive Shell der Anwendung. Um die Konsole zu verlassen, führen wir .exit aus. 5-execute-.exit..png

2. So konfigurieren Sie den Zugriff von Osquery auf das Ubuntu-Systemprotokoll 17.04

Schritt 1

Damit Osquery auf das Betriebssystemprotokoll zugreifen kann, um die Abfragen auf eine viel fortgeschrittenere Weise auszuführen, müssen wir die Datei /etc/rsyslog.conf mit dem bevorzugten Editor ändern:

 sudo nano /etc/rsyslog.conf 

6-configure-the-access-of-Osquery-al-log.png

Schritt 2

In dieser Datei werden wir Folgendes hinzufügen:

 Vorlage ( name = "OsqueryCsvFormat" type = "string" string = "% timestamp ::: date-rfc3339, csv%,% hostname ::: csv%,% syslogseverity ::: csv%,% syslogfacility-text ::: csv%,% syslogtag ::: csv%,% msg ::: csv%  n " ) *. * action (type = "ompipe" Pipe = "/ var / osquery / syslog_pipe" template = "OsqueryCsvFormat") 

7-configure-the-access-of-Osquery-al-log.png

Schritt 3

+ O y salimos del editor usando Ctrl + X . Speichern Sie die Änderungen mit den Tasten Strg + O und beenden Sie den Editor mit Strg + X. Wir starten den Syslog-Daemon neu, um die Änderungen zu übernehmen, indem wir Folgendes ausführen:

 sudo systemctl rsyslog neu starten 

3. So erstellen Sie die Osquery-Konfigurationsdatei in Ubuntu 17.04

Es ist wichtig, eine Konfigurationsdatei von Osquery zu erstellen, da auf diese Weise die Ausführung erleichtert wird.

Schritt 1

Obwohl Osquery keine Standardkonfigurationsdatei hat, enthält es eine Beispieldatei im Pfad / etc / osquery. Die Konfigurationsdatei muss drei Abschnitte enthalten:

  • Eine Liste der geplanten Abfragen , die zur Ausführung bereit sind
  • Eine Liste der Dämonen und Funktionseinstellungen.
  • Eine Liste der zu verwendenden Pakete .
Schritt 2

Nachfolgend zeigen wir die Optionen, die wir mit Osquery in Ubuntu 17.04 verwenden werden:

  • Config_plugin: Hier liest Osquery die Konfigurationsparameter.
  • Logger_plugin: Gibt an, wo die Ergebnisse der Abfragen geschrieben werden.
  • Logger_path: Dies ist der Verzeichnispfad, in dem Informationen wie Warnungen, Fehler und andere Ergebnisse gefunden werden.
  • Disable_logging: Wenn wir den Wert auf false setzen, um die Registrierung zu aktivieren.
  • Log_result_events: Wenn wir den Wert auf true setzen, zeigt jede Zeile eine Statusänderung an .
  • Schedule_splay_percent: Begrenzen Sie die Anzahl der Abfragen.
  • Pidfile: Identifizieren Sie den Osquery-Prozess.
  • Events_expiry: Gibt die Zeit in Sekunden an, in der die Abfrage verfügbar bleibt.
  • Database_path: Dies ist die Route zur Osquery-Datenbank.
  • Ausführlich: Nachrichten aktivieren oder deaktivieren.
  • Worker_threads: Bezieht sich auf die Anzahl der Threads, die beim Ausführen der Abfrage verwendet werden.
  • Enable_monitor: Aktiviert oder deaktiviert den Programmiermonitor.
  • Disable_events: Hiermit können wir die osquery-Ereignisprotokollierung deaktivieren.
  • Disable_audit: Deaktiviert den Betriebssystemprüfprozess.
  • Audit_allow_config: Ermöglicht dem Audit-Auditor, die Audit-Konfiguration zu ändern.
  • Audit_allow_sockets: Ermöglicht dem Auditor, den Sockets zugeordnete Regeln hinzuzufügen.
  • Host_identifier: Gibt den Computer an, auf dem Osquery ausgeführt wird.
  • Enable_syslog: Ermöglicht Osquery, Informationen aus dem Ubuntu Syslog zu sammeln.
  • Schedule_default_interval: Ermöglicht das Festlegen des Werts einer geplanten Abfrage.
Schritt 3

Als Nächstes erstellen wir die Datei osquery.conf und führen Folgendes aus:

 sudo nano /etc/osquery/osquery.conf 
Schritt 4

Diese Datei verwendet das JSON-Format. Dort müssen wir folgende Zeilen eintragen:

 { "Optionen": { "config_plugin": "Dateisystem", "logger_plugin": "Dateisystem", "logger_path": "/ var / log / osquery", "disable_logging": "false", "log_result_events": "true", "schedule_splay_percent": "10", "pidfile": "/var/osquery/osquery.pidfile", "events_expiry": "3600", "Datenbankpfad": "/var/osquery/osquery.db", "verbose": "false", "worker_threads": "2", "enable_monitor": "true", "disable_events": "false", "disable_audit": "false", "audit_allow_config": "true", "host_identifier": "hostname", "enable_syslog": "true", "audit_allow_sockets": "true", "schedule_default_interval": "3600" }, 

8-format-JSON..png

Schritt 5

Nun werden die folgenden Zeilen hinzugefügt, die mit der Zeitplanung der Abfragen verbunden sind:

 "Zeitplan": { "crontab": { "query": "SELECT * FROM crontab;", "Intervall": 300 } }, 
Schritt 6

Zusätzlich können wir einen anderen Abfragetyp namens Decorators hinzufügen, der den Daten bereits ausgeführter Abfragen vorangeht.
Dazu werden wir Folgendes hinzufügen:

 "Dekorateure": { "load": [ "SELECT uuid AS host_uuid FROM system_info;", "SELECT user AS username FROM angemeldet_in_benutzer ***** BY time DESC LIMIT 1;" ] }, 
Schritt 7

Schließlich können wir angeben, wo Osquery Pakete auflisten soll. Dazu fügen wir Folgendes hinzu:

 "packs": { "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf", "Incident-Response": "/usr/share/osquery/packs/incident-response.conf", "it-compliance": "/usr/share/osquery/packs/it-compliance.conf", "vuln-management": "/usr/share/osquery/packs/vuln-management.conf" } } 
Schritt 8

+ O y salimos del editor. Speichern Sie die Änderungen mit den Tasten Strg + O und beenden Sie den Editor. Wir können die Datei überprüfen, indem wir den folgenden Befehl ausführen:

 sudo osqueryctl config-check 

4. Wie verwende ich Osquery in Ubuntu 17.04?

Schritt 1

Sobald diese Dateien konfiguriert sind, können wir Osquery mit einer Konfigurationsdatei starten. Dazu führen wir Folgendes aus:

 sudo osqueryi --config_path /etc/osquery/osquery.conf -verbose 
Schritt 2

Sobald wir auf die Konsole zugreifen, geben wir Folgendes ein:

 ; Wählen Sie * von eingeloggten_Nutzern aus. 

10 - wähle --- aus-eingeloggt_in_Benutzern.png

Schritt 3

Mit dieser Abfrage sehen wir, welche Benutzer gerade verbunden sind. Um die vorherigen Sitzungsanfänge zu kennen, führen wir Folgendes aus:

 ; wähle * von letztem; 

11-usar-Osquery-en-Ubuntu-17.04.png

Schritt 4

Zur Visualisierung der in crontab geplanten Aufgaben verwenden wir die folgende Zeile:

 ; Befehl auswählen, Pfad von Crontab; 

12-aufgaben-geplant-in-crontab.png

Schritt 5

Auf diese Weise haben wir in Ubuntu 17 mehrere Abfragetypen mit Osquery. Sie können das Tool jederzeit durch Ausführen des folgenden Befehls starten.

 sudo systemctl start osqueryd 

Wenn Sie die Kontrolle über alles haben möchten, was auf Ihrem Computer geschieht, ist es gut, dass Sie Tools wie dieses verwenden, insbesondere für Sicherheitsprobleme. Darüber hinaus können Sie mit dem folgenden Tutorial Ihr Ubuntu-System überwachen und alles sehen, was darin passiert.

See also  Fix in Google Chrome: Das Plugin konnte nicht geladen werden

Ubuntu überwachen

administrator

Leave a Reply

Your email address will not be published. Required fields are marked *