IKKARDOLAMAS/osquery-endpoint-monitoring

## 🛡️ 案例研究：部署 Osquery 用于企业 Endpoint 监控 ### 📝 项目描述 自动化部署和配置 **Osquery (`osqueryd`)** daemon，以持续监控基础设施并及早发现企业环境中的异常情况。本项目模拟了由 **Argus Technologies** 设计的真实 endpoint 审计，通过 SQL 将操作系统遥测数据转化为可查询的关系型数据库，以降低权限持久化和权限提升的风险。 ### ⚙️ 解决方案架构与配置 部署通过集中式配置文件 (`osquery.conf`) 进行整合，重点关注攻击面的三个关键向量： 1. **进程监控：** 实时追踪已执行的二进制文件和系统线程，收集间隔为 10 秒。 2. **网络审计：** 映射活动 socket 和监听端口，并将它们与各自的进程标识符 (PID) 进行交叉关联。 3. **系统取证分析：** 发现 Kernel 的修改、计划任务 (`crontabs`) 以及具有提升权限的二进制文件 (`SUID`)。 ``` { "options": { "config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/var/log/osquery", "disable_logging": "false", "log_result_events": "true" }, "schedule": { "process_monitoring": { "query": "SELECT name, pid, path, cmdline FROM processes;", "interval": 10 }, "network_monitoring": { "query": "SELECT local_address, local_port, remote_address, remote_port FROM listening_ports JOIN processes USING (pid);", "interval": 10 } } } ```

标签：Mr. Robot, Osquery, 多线程, 端点安全, 补丁管理