文 档: OSQUERY实战
作 者: Spoock
语 言: 中文
标 签 Osquery 信息采集 数据分析 入侵检测
介 绍:

这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件,全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单的Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。

作为一个web渗透转型二进制的安全工程师,他很感慨的说:“人生不要给自己设限”。他一边详细阐述Osquery的原理,一边感谢来自于osquery社区的支持,同时也毫不客气的吐槽踩过的深坑,例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况,单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是,Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注,在此提醒各位,过马路不要看手机…

最后,他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司,需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题,而作为一个自研的解决方案,osquery出色的完成了其设计初衷的使命。

  • •关于我
  • •Osquery介绍
  • •Osquery检测原理分析
  • •Osquery的优缺点
  • •Osquery?HIDS?
援 引: https://mp.weixin.qq.com/s/FMt0nXoV3tMip3md1vTCfQ
提 示: 本站只提供资料的整理、索引服务,如需转载或引用,请注明本页地址及援引.
附件下载
相关推荐
从数据角度看安全运维
- 工作现状 - 数据分析处理 - 安全加固措施
数据驱动安全思考
- 数据优势及行业转变 - 数据驱动安全 - 安全场景与应用 - 数据的闭
企业运营后台之数据安全
这个议题来自于携程资深数据安全工程师挖土。数据安全是当前安全领域最为火热的话题之
“黑产”在做什么数据分析
#Contents讲述一个真实的对抗故事 - 0x001 如今的“黑产”现状
企业业务安全建设经验分享
- 01 业务面临风险 - 02 业务安全能力 - 03 进阶思考
云上webshell检测算法实战
#目录 - 1 问题&一些检测方法Why - 2 把问题抽象出来 - 3