java中的接口是类吗
398
2022-10-08
使用OSQUERY作为HIDS检测系统异常
如果要查询所有表,可以通过osqueryi交互shell下的 .table 查询
2 配置 linux通过官网rpm包安装的osquery的配置默认位置是:/etc/osquery/osquery.conf配置格式是json格式,下面是一个配置示例:{ "options": { "config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/var/log/osquery", "pidfile": "/var/osquery/osquery.pidfile", "worker_threads": "10", "enable_monitor": "true" }, "schedule": { "system_info": { "query": "SELECT hostname, cpu_brand, physical_memory FROM system_info;", "interval": 3600 } }, "packs": { "secrity": "/etc/osquery/secrity.conf", "file":"/etc/osquery/file.conf" }}其中 Options设置osquery daemon的一些配置,日志产生路径、线程、使用内存限制等。Schedule设置定时任务Packspacks可以看做是一系列schedule的集合。
3 文件监控,文件监控主要分两部分。1 配置监控目录 , 2 查询file_event表。下面是一个每300秒查询一次file_event表监控目录是/root、/home目录下的文件的示例。/root或/home/目录下的文件发生变化会在300秒内告警。{ "schedule": { "file_events": { "query": "SELECT * FROM file_events;", "removed": false, "interval": 300 } }, "file_paths": { "homes": [ "/root/%%", "/home/%%" ] }}
4 远程配置。 远程配置分两步。 1 向服务器发送主机信息,注册主机。 2 从服务器获取配置。--enroll_secret_path=/etc/osquery/server.pass--tls_server_certs=/etc/osquery/server.pem--tls_hostname=11.0.16.118:443--host_identifier=hostname--enroll_tls_endpoint=/enroll--config_plugin=tls--config_tls_endpoint=/config--config_tls_refresh=86400
--enroll_secret_path 注册主机时需要将一个秘钥发送给服务器端。--tls_server_certs 使用远程配置时,必须使用这里配置的是 --tls_hostname 远程--host_identifier=hostname 注册主机时会将hostname发送给服务端--enroll_tls_endpoint 通过tls获取注册主机的URL--config_plugin 设置config方式--config_tls_endpoint 通过tls获取配置时URL--config_tls_refresh 间隔多少秒会重新获取配置。
三 安装1 本次安装通过本地配置、日志也记录到本地达成以下目标:进程监控:比如ls这种执行时间特别短的进程也需要有日志。网络监控:服务器主动发起连接其他主机的都需要监控。主机arp缓存:主机arp缓存发生变化有告警。文件监控:指定目录内文件发生变化告警。用户新增监控:添加用户告警。用户组新增监控:添加用户组告警。用户密码修改监控:用户修改密码告警。用户登录成功监控:用户登录成功告警。
2.1 下载 wget 下载完成之后安装 rpm -ivh osquery-4.0.2-1.linux.x86_64.rpm
2.3 修改配置文件。osquery.conf 如下:{ "options": { "config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/var/log/osquery", "pidfile": "/var/osquery/osquery.pidfile", "worker_threads": "10", "enable_monitor": "true" }, "schedule": { }, "packs": { "secrity": "/etc/osquery/secrity.conf", "file":"/etc/osquery/file.conf" }}osquery.flags文件:--disable_audit=false--audit_allow_config=true--audit_allow_process_events=true--audit_allow_sockets=true--audit_persist=true--disable_events=false--events_max=50000secrity.conf文件:{"queries": {"processes_events": {"query" : "SELECT FROM process_events;","interval" : 5,"removed": false},"socket_event": {"query" : "select from socket_events where family=2 and remote_address !='0.0.0.0';","interval" : 5,"removed": false},"arp_cache": {"query" : "SELECT FROM arp_cache;","interval" : 5,"removed": false},"file_event": {"query" : "SELECT FROM file_events;","interval" : 5,"removed": false},"users": {"query" : "SELECT FROM users;","interval" : 5,"removed": false},"groups": {"query" : "SELECT FROM groups;","interval" : 5,"removed": false},"shadow": {"query" : "SELECT FROM shadow;","interval" : 5,"removed": false},"last": {"query" : "SELECT FROM last;","interval" : 5,"removed": false}}}
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~