OSQUERY实战.pdf

这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件，全平台意味着它能够适配于Windows，Linux，Mac，Ios，Andriod，并能够通过非常简单的Query语句进行系统信息查询，所以被广泛用于运维、监控，而由于其监控能力的丰富，也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。 作为一个web渗透转型二进制的安全工程师，他很感慨的说：“人生不要给自己设限”。他一边详细阐述Osquery的原理，一边感谢来自于osquery社区的支持，同时也毫不客气的吐槽踩过的深坑，例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况，单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是，Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注，在此提醒各位，过马路不要看手机… 最后，他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司，需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题，而作为一个自研的解决方案，osquery出色的完成了其设计初衷的使命。 •关于我 •Osquery介绍 •Osquery检测原理分析 •Osquery的优缺点 •Osquery?HIDS?