nais/osquery-naisdevice-sqls
GitHub: nais/osquery-naisdevice-sqls
OSQuery SQL语句列表,用于系统审计和威胁狩猎。
Stars: 3 | Forks: 0
### 系统要求
为了访问 Kolide 提供的所有表格,您需要:
1. `tables.ext` 扩展 - 您可以从 [#kolide-nav](https://nav-it.slack.com/archives/C010NG02FEU) Slack 频道中的[这条消息](https://nav-it.slack.com/archives/C010NG02FEU/p1611069424010100?thread_ts=1611069093.009800&cid=C010NG02FEU)下载。
- PS:您也可以通过访问 https://github.com/kolide/launcher 并运行 `make build_tables.ext` 来自己构建 `tables.ext`。
2. 查找 Kolide 安装 `osqueryd` 二进制文件的路径,在我的 Linux 机器上它位于 `/usr/local/kolide-k2/bin/osqueryd`。
满足这些要求后,要运行带有 kolide-added 表格的查询,请将以下命令([这里有一些提示](https://github.com/nais/osquery-naisdevice-sqls/#testing-queries-locally))适配到您的机器:
```
[2021-01-29 13:56:46] 0 x10an14@christian-lenovo-laptop:~
-> $ osqueryi <<< "select version, build_distro from osquery_info;"
+---------+--------------+
| version | build_distro |
+---------+--------------+
| 4.5.1 | centos7 |
+---------+--------------+
[2021-01-29 13:58:12] 0 x10an14@christian-lenovo-laptop:~
-> $ command -v osqueryi
/home/x10an14/bin/osqueryi
[2021-01-29 13:58:18] 0 x10an14@christian-lenovo-laptop:~
-> $ cat $(which osqueryi)
#!/usr/bin/env bash
sudo /usr/local/kolide-k2/bin/osqueryd -S --allow-unsafe --extension ~/.local/share/k2/tables.ext
[2021-01-29 13:58:20] 0 x10an14@christian-lenovo-laptop:~
-> $
```
标签:DNS解析, Kolide, osquery, Slack, SQL语句, 二进制文件, 审计, 应用安全, 开源项目, 扩展模块, 提示词模板, 操作系统查询, 日志审计, 构建发行版, 构建过程, 版本信息, 环境配置, 社区资源, 自定义检查, 运维安全