facebook宣布上線新版osquery工具,該工具已經移植到windows10平台,安全團隊可利用這個工具快速識别、分析windows網絡中存在的威脅。
osquery是一種實作(instrumentation)架構,旨在幫助使用者通過sql查詢,友善、有效地檢視自己的作業系統。osquery的基本功能是将作業系統展示為關系型資料庫,作業系統中的程序、網絡連接配接、已加載核心子產品、硬體事件與浏覽器插件以sql表的形式展現,易于查詢。
osquery架構是一款開源工具,是facebook在2014年10月釋出,一直以來僅提供os x與linux版。facebook表示,其安全團隊一直在使用osquery等工具來搜集公司網絡中運作的浏覽器擴充的資料,然後将這些資訊與威脅情報資料進行比較,以快速識别、移除潛在的惡意擴充。
osquery是facebook漏洞賞金計劃中的其中一個開源項目,這個計劃旨在獎勵發現漏洞的研究人員。值得注意的是,osquery在github平台上甚至超越了rapid7的metasploit架構,成為最受歡迎的“安全”類存儲庫。
“這種被稱為‘威脅捕捉’(threat hunting)的主動技術是對傳統檢測型安全的重要提升,但是迄今為止提供這種技術的商業代理寥寥無幾,”facebook安全工程師尼克·安德森在一篇博文中如是說。
在企業安全公司trail of bits工程師的幫助下,facebook将osquery移植到了windows平台,該公司在一篇博文中詳述了此工具所面臨的挑戰與帶來的益處。
trail of bits表示,“osquery是一個跨平台工具,是以網管可使用它來監控整個基礎設施上複雜的作業系統狀态。已經部署osquery的使用者可無縫接入windows機器,大大提升其工作效率。”
使用者若希望在windows網絡中使用osquery,須利用現成的源代碼建構應用。目前,工具隻能基于windows 10建構。osquery開發工具包包括建構過程中所需要的所有資訊與腳本。
netflix: 安全猴 security monkey
“安全猴”是netflix三年前開發的一個安全工具,能夠對亞馬遜雲服務的配置進行監控和安全分析,元件功能包括監控各種aws賬号元件,機遇規則的開發和執行活動,在審計規則被觸發時通知使用者,并存儲配置曆史資訊用作電子驗證和審計目的。
netflix: scumblr和sketchy
scumblr和sketchy是netflix今年夏天同時釋出的兩款web應用,可以幫助安全團隊監控和記錄社交媒體和網絡聊天中的安全威脅和攻擊。
facebook: osquery
osquery是facebook剛剛釋出的一個安全工具,為安全專業人士提供了一個可調用底層作業系統功能的系統,例如啟動程序、加載核心子產品、在sql資料庫表中打開網絡連接配接進行查詢和監控等。
facebook:conceal
conceal是面向android平台的一組簡單的java api,能夠對sd卡等公共儲存設備中的大檔案進行快速加密和認證。conceal由facebook設計,開發者可利用conceal開發出能适用于老版本android的記憶體和處理器開銷較低的加密算法。
etsy: skyline
skyline是電商網站etsy技術團隊開發的一個類似nagios的實時異常偵測系統,主要目的是為安全團隊提供一個可擴充的被動監控名額體系——可以同時跟蹤成百上千的名額。
etsy與facebook: midas
midas是etsy與facebook安全團隊合作為mac電腦開發的一個輕量級可擴充的入侵偵測系統。開發團隊希望從midas開始,企業開始留意osx系統端點的常見攻擊模式。
twitter: secureheaders
secureheaders是twitter送給web開發者的一份大禮,作為一款web安全開發工具,secureheaders能夠自動實施安全相關的header規則,包括内容安全政策(csp),防止xss、hsts等攻擊,防止火綿羊(firesheep)攻擊以及xfo點選劫持等。
google: rapid response
grr(google rapid response)是google開發的一個時間響應架構,支援進行遠端實時驗證。google将grr以開源工具的方式與安全界分享,可以作為fireeye/mandiant 的mir事件響應平台的替代産品。
google:rappor
rappor(randomized aggregatable privacy-preserving ordinal response )是google上月才釋出的隐私工具,能夠從終端使用者軟體采集衆包統計資料,同時又不侵犯使用者隐私。
aol:moloch
moloch由aol的技術團隊開發,是一個網絡流量分析驗證工具,能夠大規模抓取ipv4資料包,進行索引并存儲,可通過一個簡單的web界面浏覽、搜尋和輸出所有pcap資料。
原文釋出時間:2017年3月24日
本文由:securityweek 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/facebook-osquery-tool-migrate-to-windows-10-platform
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站