• 标题
  • 作者
    Spoock
  • 简介

    这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件,全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单的Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。

    作为一个web渗透转型二进制的安全工程师,他很感慨的说:“人生不要给自己设限”。他一边详细阐述Osquery的原理,一边感谢来自于osquery社区的支持,同时也毫不客气的吐槽踩过的深坑,例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况,单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是,Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注,在此提醒各位,过马路不要看手机…

    最后,他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司,需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题,而作为一个自研的解决方案,osquery出色的完成了其设计初衷的使命。

    • •关于我
    • •Osquery介绍
    • •Osquery检测原理分析
    • •Osquery的优缺点
    • •Osquery?HIDS?
  • 援引
    https://mp.weixin.qq.com/s/FMt0nXoV3tMip3md1vTCfQ
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • OSQUERY实战.pdf
    时间: 大小: 3.39 M 下载: 118