使用OSQUERY作为HIDS检测系统异常

使用OSQUERY作为HIDS检测系统异常

如果要查询所有表，可以通过osqueryi交互shell下的 .table 查询

2 配置 linux通过官网rpm包安装的osquery的配置默认位置是：/etc/osquery/osquery.conf配置格式是json格式，下面是一个配置示例：{  "options": {    "config_plugin": "filesystem",    "logger_plugin": "filesystem",    "logger_path": "/var/log/osquery",    "pidfile": "/var/osquery/osquery.pidfile",    "worker_threads": "10",    "enable_monitor": "true"  },  "schedule": { "system_info": {    "query": "SELECT hostname, cpu_brand, physical_memory FROM system_info;",    "interval": 3600  }  },   "packs": {     "secrity": "/etc/osquery/secrity.conf",     "file":"/etc/osquery/file.conf"    }}其中 Options设置osquery daemon的一些配置，日志产生路径、线程、使用内存限制等。Schedule设置定时任务Packspacks可以看做是一系列schedule的集合。

3 文件监控，文件监控主要分两部分。1 配置监控目录 ， 2 查询file_event表。下面是一个每300秒查询一次file_event表监控目录是/root、/home目录下的文件的示例。/root或/home/目录下的文件发生变化会在300秒内告警。{  "schedule": {    "file_events": {      "query": "SELECT * FROM file_events;",      "removed": false,      "interval": 300    }  },  "file_paths": {    "homes": [      "/root/%%",      "/home/%%"    ]  }}

4 远程配置。  远程配置分两步。 1 向服务器发送主机信息，注册主机。 2 从服务器获取配置。--enroll_secret_path=/etc/osquery/server.pass--tls_server_certs=/etc/osquery/server.pem--tls_hostname=11.0.16.118:443--host_identifier=hostname--enroll_tls_endpoint=/enroll--config_plugin=tls--config_tls_endpoint=/config--config_tls_refresh=86400

--enroll_secret_path 注册主机时需要将一个秘钥发送给服务器端。--tls_server_certs 使用远程配置时，必须使用这里配置的是  --tls_hostname  远程--host_identifier=hostname   注册主机时会将hostname发送给服务端--enroll_tls_endpoint    通过tls获取注册主机的URL--config_plugin   设置config方式--config_tls_endpoint 通过tls获取配置时URL--config_tls_refresh    间隔多少秒会重新获取配置。

三  安装1 本次安装通过本地配置、日志也记录到本地达成以下目标：进程监控：比如ls这种执行时间特别短的进程也需要有日志。网络监控：服务器主动发起连接其他主机的都需要监控。主机arp缓存：主机arp缓存发生变化有告警。文件监控：指定目录内文件发生变化告警。用户新增监控：添加用户告警。用户组新增监控：添加用户组告警。用户密码修改监控：用户修改密码告警。用户登录成功监控：用户登录成功告警。

2.1 下载   wget 下载完成之后安装  rpm -ivh osquery-4.0.2-1.linux.x86_64.rpm

2.3 修改配置文件。osquery.conf 如下：{  "options": {    "config_plugin": "filesystem",    "logger_plugin": "filesystem",    "logger_path": "/var/log/osquery",    "pidfile": "/var/osquery/osquery.pidfile",    "worker_threads": "10",    "enable_monitor": "true"  },  "schedule": {  },   "packs": {     "secrity": "/etc/osquery/secrity.conf",     "file":"/etc/osquery/file.conf"    }}osquery.flags文件：--disable_audit=false--audit_allow_config=true--audit_allow_process_events=true--audit_allow_sockets=true--audit_persist=true--disable_events=false--events_max=50000secrity.conf文件：{"queries": {"processes_events": {"query" : "SELECT FROM process_events;","interval" : 5,"removed": false},"socket_event": {"query" : "select from socket_events where family=2 and remote_address !='0.0.0.0';","interval" : 5,"removed": false},"arp_cache": {"query" : "SELECT FROM arp_cache;","interval" : 5,"removed": false},"file_event": {"query" : "SELECT FROM file_events;","interval" : 5,"removed": false},"users": {"query" : "SELECT FROM users;","interval" : 5,"removed": false},"groups": {"query" : "SELECT FROM groups;","interval" : 5,"removed": false},"shadow": {"query" : "SELECT FROM shadow;","interval" : 5,"removed": false},"last": {"query" : "SELECT FROM last;","interval" : 5,"removed": false}}}

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。