15、使用Wazuh进行威胁狩猎:Osquery与命令监控全解析

于 2025-09-06 16:07:23 发布
阅读量48 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Wazuh实战:安全监控精要 文章标签: Wazuh Osquery 威胁狩猎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/julia4scientist/article/details/151525472

使用Wazuh进行威胁狩猎:Osquery与命令监控全解析

1. Osquery简介

Osquery是2014年由Facebook开发的开源工具,它能将目标操作系统转化为关系型数据库,允许我们使用SQL查询从表中获取信息,如远程机器状态、运行进程、活跃用户账户、活跃网络连接等。它支持在Windows、Linux、macOS和FreeBSD系统上安装,广泛应用于安全分析师、数字取证和事件响应(DFIR)分析师以及威胁猎人的工作中。

以下是一些简单的Osquery使用案例:
- 查询驻留内存大小排名前10的进程 

select pid, name, uid, resident_size from processes order by resident_size desc limit 10;
  • 查询进程计数排名前10的最活跃进程 
select count(pid) as total, name from processes group by name order by total desc limit 10;
2. 安装Osquery

不同平台安装Osquery的过程有所不同,下面介绍在Ubuntu和Windows上的安装方法。

2.1 在Ubuntu Server/Desktop上安装Osquery
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
14、基于Wazuh威胁狩猎:日志数据分析MITRE ATT&CK映射
julia4scientist的博客
09-05 58
本文详细介绍了基于Wazuh威胁狩猎方法,涵盖日志数据的收集分析、MITRE ATT&CK框架的映射应用,以及如何利用Osquery进行端点监控和查询。通过创建Wazuh规则、启用日志索引、结合ATT&CK Navigator分析优先技术,并集成Osquery提升威胁检测能力,帮助安团队构建面的威胁狩猎体系,以及时发现和应对各类安威胁,保障企业信息安
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1317
osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 4659
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
如何使用osquery在Windows上实时监控文件?
2301_77157449的博客
04-28 1640
Windows上的文件监控方法通常分为以下三种:Win32/WinAPI接口:FindFirstChangeNotification, ReadDirectoryChangesW;文件系统过滤器驱动程序和Minifilter,所谓的Minifilter其实就是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。
Osquery Linux (x86_64)系统-内网/无网络环境安装
KeriTAT的博客
06-26 607
osquery是一个强大的系统信息查询程序,由于它是开源的,其对于不同系统各类信息的获取的方法,非常值得我们探索和学习,但在之前,我们首选要学会最基本的安装和使用它。windows 和 linux在线安装方式 请自行查阅其他安装教程,本文是介绍相对比较复杂的内网/无网络环境安装。
osquery的认识
墨痕诉清风的博客
11-15 1239
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
使用Wazuh进行威胁狩猎Osquery命令监控
### 使用Wazuh进行威胁狩猎Osquery命令监控 #### 一、Osquery简介 Osquery是Facebook在2014年开发的开源工具,它能将目标操作系统转化为关系型数据库,允许我们使用SQL查询从表中获取信息,如远程机器状态、...
Wazuh实战:企业安监控
最新发布
09-10
使用Wazuh进行安监控》是一本详尽介绍如何利用Wazuh构建企业级安监控系统的实用指南。该书着重于教授读者如何部署和管理Wazuh系统,以实现包括入侵检测、恶意软件防御、威胁情报集成以及自动化响应在内的面...
利用Wazuh进行威胁狩猎漏洞管理
### 利用Wazuh进行威胁狩猎漏洞管理 #### 1. Osquery配置使用 Osquery是一个强大的工具,能以类似SQL的方式查询系统信息,助力安团队进行主动威胁调查。 ##### 1.1 Osquery配置文件 不同的Osquery配置文件...
osquery 查询系统信息
thinker
06-26 1441
说明 本文是一篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a 在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。 本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架
【系统审计】osquery的安装使用
没枕头我咋睡觉
10-19 4917
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
05_osquery_源码解读_os_version
田一一
12-04 1394
05_osquery_源码解读_os_version1. 表1.1. os_version1.2. os_version表的定义1.3. os_version数据来源1.3.1. Linux系统中的来源1.3.2. Windows系统中的查询1.4 os_version.cpp(Linux的实现)1.4.1 genOSVersion()1.4.2. genOSVersionImpl()1.4.3. genOSRelease()1.5 os_version.cpp(Windows的实现) 1. 表 osqu
探秘 Facebook 的 osquery:一款强大的操作系统查询工具
gitblog_00020的博客
04-11 509
探秘 Facebook 的 osquery:一款强大的操作系统查询工具 【免费下载链接】osquery 项目地址: https://gitcode.com/gh_mirrors/osq/osquery 是 ...
Windows系统下osquery安装部署完指南
gitblog_00524的博客
06-01 913
osquery作为一款强大的端点监控工具,在Windows环境下的部署需要特别注意权限管理和服务配置。本文将面介绍Windows平台下osquery的多种安装方式、服务配置方法以及最佳实践建议。 ## 安装方式选择 ### 1. Chocolatey包管理器安装(推荐) 对于大多数用户而言,使用Chocolatey进行安装是最简便的方式: ```powershell choco inst...
osquery 项目教程
gitblog_00029的博客
10-11 832
osquery 项目的目录结构如下: ``` osquery/ ├── cmake/ ├── docs/ ├── external/ ├── libraries/ ├── osquery/ ├── packs/ ├── plugins/ ├── specs/ ├── tests/ ├── tools/ ├── .artifactignore ├── .clang-format ├── .giti...
osquery 项目使用教程
gitblog_00748的博客
10-11 737
osquery 项目使用教程 【免费下载链接】osquery 项目地址: https://gitcode.com/gh_mirrors/osq/osquery 1. 项目介...
探索操作系统的新维度:osquery 开源项目推荐
gitblog_00301的博客
10-11 428
探索操作系统的新维度:osquery 开源项目推荐 【免费下载链接】osquery 项目地址: https://gitcode.com/gh_mirrors/osq/osquery ...
03_osquery_osqueryi的简单使用
田一一
12-03 1384
03_osquery_osqueryi的简单使用前言1.osqueryi1.1.“.help”1.2. “.show”1.3. "table"1.4. “.schema”2.sql的使用2.1.查看系统信息2.2. 查看OS版本2.3. 查看网卡信息2.4. 查看进程信息2.5. 查询当前已经登陆的用户信息2.6. 查询系统启动时间3.json格式的输出3.1. json格式输出3.2. 使用管道的方式进行查询 前言 osquery存在两种运行模式,分别是osqueryi(交互式模式)、osqueryd(守
Cobalt Strike威胁狩猎:深入解析应对策略
Cobalt Strike的威胁狩猎涉及到监控网络中的异常活动,识别和追踪潜在的攻击行为。通过深入了解Beacon的行为模式,安专家可以设置陷阱和检测策略,以尽早发现和应对威胁。此外,对于安团队而言,理解和应对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值