Dans le paysage des solutions de sécurité modernes, les solutions d’Endpoint Detection & Response (raccourci EDR) deviennent de plus en plus communes. Utilisées comme compléments à des solutions antivirales classiques et offrant aux opérateurs de SOC la possibilité de détecter et corréler directement des Indicateurs de Compromissions (IOC en anglais) sur les endpoints de leur parc informatique, elles peuvent également aider à faire la chasse (« Threat Hunting » en anglais) à des indicateurs comme des appels au noyau, l’apparition de nouveaux services non whitelistés, les modifications de clés de registres suspectes et autres…
C’est dans ce contexte que se présente la solution Osquery. Écrite en C, conçue pour les systèmes d’exploitation Windows, macOS, Linux, FreeBSD, et originellement développée par Facebook avant d’être open sourcée en 2014, elle présente la particularité d’exposer le système d’exploitation comme une base de données relationnelle, permettant ainsi l’écriture de requêtes au format SQL afin d’explorer l’OS. Les tables comprises dans ladite base de données représenteront par exemple les processus actifs, les logiciels ou packages installés, les connexions réseaux ouverts, les plugins de navigateurs, des évènements sur le disque ou les hash de fichiers.
1. Osquery
La solution elle-même se décline sous deux formes :
- Le daemon osqueryd permettant l’orchestration de requêtes devant être exécutées sur toute notre infrastructure, accumulant les résultats de ces requêtes au fur et à mesure, et générant un flux de logs indiquant...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
