você está aqui: Home  → Arquivo de Mensagens

OSQuery - gerenciamento de infraestrutura computacional

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 09 de janeiro de 2017

O Facebook liberou em 2016 o código do aplicativo OSQuery, que utiliza para ter uma visão em tempo real do estado atual de sua infraestrutura computacional.

O framework OSQuery expõe o sistema operacional como um banco de dados relacional de alto desempenho. Este projeto permite que se escrevam queries SQL de forma fácil e eficiente para obter dados sobre os sistemas operacionais. Com OSQuery as tabelas SQL representam o estado atual dos atributos do sistema operacional, tais como:

  • processos em execução
  • módulos do kernel carregados
  • conexões de rede abertas

As tabelas SQL são implementadas por meio de uma API facilmente estendida. Diversas tabelas já existem e muitas mais estão sendo escritas.

Por exemplo:

  SELECT name, path, pid FROM processes WHERE on_disk = 0;

Este exemplo ilustra como se pode usar osquery para interagir com os processos que estão sendo executados no sistema. Especificamente, esta query retorna todos os processos que estão em execução no momento. A cláusula where da query retorna apenas os processos em que o binário original para lançar o processo não existe mais no sistema de arquivos. Esta é uma tática comum usada por invasores, então, se o seu sistema não estiver comprometido esta query deverá retornar nenhum resultado.

Este texto é uma tradução adaptada de trechos do documento "Introducing OSQuery".

Saiba mais



 

 

Veja a relação completa dos artigos de Rubens Queiroz de Almeida

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script