در مقالات قبلی از سری مقالات راهنمای جامع تحلیل لاگ در ویندوز و لینوکس اهمیت تحلیل لاگ در DFIR و Threat Hunting را بررسی نمودیم و با ابزارهای کاربردی مثل Event Log Explorer و APT-Hunter آشنا شدیم. حالا در بخش سوم سراغ ابزاری میرویم که رویکردی متفاوت دارد و سیستم شما را به یک دیتابیس زنده تبدیل میکند: osquery.
این ابزار open source، محصول اولیه تیم امنیتی فیسبوک است و امروزه توسط بسیاری از سازمانها و تیمهای SOC برای پایش لحظهای و واکنش سریع استفاده میشود.
Osqueryچیست؟
osquery یک ابزار امنیتی متنباز (Open Source) است که توسط تیم امنیتی فیسبوک توسعه داده شده و به کارشناسان امنیت سایبری امکان میدهد تا وضعیت سیستمعامل را بهصورت لحظهای( Real-Time Monitoring) پایش کنند. مزیت اصلی این ابزار استفاده از زبان استاندارد SQL برای جستجو و تحلیل دادههاست.
به زبان ساده، osquery سیستم شما را به یک پایگاه داده زنده تبدیل میکند بهگونهای که ساختارهای حیاتی مانند فرآیندها (Processes)، سرویسها (Services)، اتصالات شبکه (Network Connections)، رجیستری (Registry) و سایر بخشهای سیستم به شکل جداول دیتابیس نمایش داده میشوند. همین قابلیت باعث میشود بتوانید با نوشتن کوئریهای ساده یا پیچیده SQL، بهسرعت تهدیدات امنیتی، فعالیتهای غیرعادی و رفتارهای مشکوک را شناسایی کنید.
این ویژگی osquery را به یکی از محبوبترین ابزارهای DFIR (Digital Forensics & Incident Response) و Threat Hunting در ویندوز، لینوکس و macOS تبدیل کرده است.
📌 مثال:
✔️ اگر بخواهید لیست تمام پردازشهای فعال روی ویندوز یا لینوکس را در یک لحظه بررسی کنید، تنها کافیست کوئری زیر را اجرا کنید:
SELECT name, pid, path FROM processes;
✔️ یا برای مشاهده اتصالات شبکه مشکوک:
SELECT * FROM listening_ports WHERE port > 1024;
نصب و راهاندازی osquery
پیشنیازها:
✔️ پشتیبانی از ویندوز، لینوکس و macOS
✔️ دسترسی ادمین برای نصب
✔️ پایتون یا ابزار مدیریت کانفیگ در صورت نیاز به اسکریپتهای اتوماسیون
مراحل نصب osquery
برای بهرهبرداری کامل از osquery و استفاده در DFIR و Threat Hunting، باید مراحل نصب و راهاندازی بهطور دقیق انجام شود. در ادامه، راهنمای گامبهگام آورده شده است:
1 . دانلود نسخه رسمی
به وبسایت رسمی osquery مراجعه کرده و نسخه متناسب با سیستمعامل خود را دریافت کنید:
https://osquery.io/downloads
✔️ برای ویندوز: فایل MSI
✔️ برای لینوکس: فایلهای DEB یا RPM بسته به توزیع
✔️ برای macOS: فایل PKG
2 . نصب پکیج
پس از دانلود، پکیج متناسب با سیستمعامل را نصب کنید:
✔️ ویندوز: نصب با MSI Installer و انتخاب گزینههای پیشفرض یا مسیر دلخواه.
✔️ لینوکس: نصب با دستور dpkg -i یا rpm -i و بررسی وابستگیها.
✔️ macOS : نصب با Installer Package و تایید دسترسیهای لازم.
3 . اجرای سرویس یا محیط تعاملی
✔️ برای پایش مداوم سیستمها: سرویس osqueryd را فعال کنید تا بهصورت Real-Time Monitoring فعالیتها و تغییرات سیستم را ثبت کند.
✔️ برای کوئریگیری تعاملی و تست سریع: از محیط osqueryi استفاده کنید تا بتوانید کوئریهای SQL را بهصورت زنده اجرا کنید و خروجی آنها را مشاهده کنید.
4 . تنظیم مسیر ذخیره لاگها
✔️ اطمینان حاصل کنید که لاگهای osquery در مسیر پیشفرض یا مسیر سفارشی مشخصشده ذخیره شوند تا برای تحلیل بعدی در SIEM، ELK یا ابزارهای Threat Hunting قابل دسترسی باشند.
✔️ توصیه میشود از مسیرهای امن و قابل پشتیبانگیری استفاده کنید تا دادهها از دسترس مهاجمان محافظت شود.
نکات تکمیلی
✔️ بررسی دسترسی ادمین برای نصب و اجرای سرویس الزامی است.
✔️ بعد از نصب، بررسی صحت اجرا با کوئری نمونهای مثل:
SELECT name, pid FROM processes LIMIT 5;
✔️برای محیطهای سازمانی بزرگ، بهتر است نصب بهصورت خودکار (Automation) و با تنظیمات مرکزی انجام شود تا مقیاسپذیری حفظ شود.
کاربردهای osquery در امنیت سایبری
استفاده از osquery به تیمهای امنیتی و کارشناسان SOC این امکان را میدهد که تهدیدات و ضعفهای امنیتی را بهصورت دقیقتر و سریعتر شناسایی کنند. برخی از مهمترین کاربردهای این ابزار عبارتاند از:
✔️ کشف بدافزار (Malware Detection) : شناسایی فرآیندهایی که از مسیرهای ناشناخته یا غیرمعمول اجرا شدهاند؛ این موضوع یکی از نشانههای اصلی آلودگی به بدافزار یا ابزارهای هکری است.
✔️ مدیریت پچ و آسیبپذیری (Patch & Vulnerability Management) : بررسی نسخه نرمافزارها در سیستمها و شناسایی مواردی که نیاز به بهروزرسانی فوری دارند. این رویکرد مانع سوءاستفاده مهاجمان از آسیبپذیریهای شناختهشده میشود.
✔️ شناسایی حملات شبکهای (Network Attack Detection) : پایش اتصالات فعال و شناسایی ترافیک غیرعادی یا ارتباطات ناشناخته که میتواند نشانهای از دسترسی غیرمجاز یا فعالیت بدافزاری باشد.
✔️ مانیتورینگ سیاستهای امنیتی (Security Policy Monitoring) : اطمینان از فعال بودن سرویسهای حیاتی مانند آنتیویروس، فایروال و سرویسهای امنیتی سیستمعامل برای کاهش سطح حمله و افزایش مقاومت سازمان در برابر تهدیدات.
جدول نمونه کوئریهای پرکاربرد osquery برای پایش سیستمها و شناسایی تهدیدات امنیتی
|
حوزه کاربرد |
کوئری نمونه |
توضیح |
نکته امنیتی |
|
فرآیندها (Processes) |
SELECT name, pid, path, uid FROM processes; |
نمایش تمام فرآیندهای در حال اجرا در سیستم |
شناسایی فرآیندهای مشکوک یا ناشناس |
|
ورود و خروج کاربران (Logins) |
SELECT * FROM last; |
مشاهده کاربران اخیر که وارد سیستم شدهاند |
کشف تلاشهای ورود مشکوک یا brute-force |
|
شبکه (Network) |
SELECT * FROM listening_ports WHERE port > 1024; |
نمایش پورتهای فعال و برنامههای متصل |
شناسایی ارتباطات غیرمجاز و تهدیدات شبکهای |
|
سرویسها (Services) |
SELECT name, status FROM services; |
لیست سرویسهای فعال و غیرفعال |
اطمینان از فعال بودن سرویسهای حیاتی |
|
رجیستری ویندوز (Windows Registry) |
SELECT path, data FROM registry WHERE key='HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run'; |
بررسی برنامههایی که در شروع سیستم اجرا میشوند |
شناسایی نرمافزارهای مخرب startup |
|
فایلها و دایرکتوریها (Files & Directories) |
SELECT path, size, mtime FROM file WHERE path LIKE '/etc/%'; |
پایش فایلهای حساس سیستم |
تشخیص تغییرات غیرمجاز یا دستکاری فایلها |
|
پکیجها و نرمافزارها (Installed Packages) |
SELECT name, version FROM packages; |
نمایش نسخههای نصبشده نرمافزارها |
شناسایی نرمافزارهای قدیمی و آسیبپذیر |
|
کاربران سیستم (Users) |
SELECT * FROM users; |
نمایش اطلاعات کاربران سیستم |
شناسایی حسابهای غیرمجاز یا مشکوک |
مزایای استفاده از osquery
استفاده از osquery برای پایش سیستمها و شناسایی تهدیدات امنیتی، مزایای قابل توجهی برای سازمانها و تیمهای امنیتی دارد:
✔️ کراسپلتفرم (Cross-Platform) : پشتیبانی همزمان از سیستمعاملهای ویندوز، لینوکس و macOS، که امکان مانیتورینگ یکپارچه در محیطهای ترکیبی سازمانی را فراهم میکند.
✔️ انعطافپذیر (Flexible) : قابلیت استفاده از SQL برای کوئریگیری، امکان نوشتن دستورات ساده یا پیچیده برای شناسایی تهدیدات را فراهم کرده و یادگیری آن آسان است.
✔️ مقیاسپذیر (Scalable) : مناسب برای سازمانهای کوچک تا بزرگ با صدها تا هزاران دستگاه، بدون کاهش عملکرد یا نیاز به سختافزار ویژه.
✔️ قابلیت یکپارچهسازی (Integration Ready) : امکان اتصال به سیستمهای SIEM و ابزارهای مدیریت متمرکز، برای تحلیل پیشرفته و مدیریت گزارشها.
✔️ متنباز و رایگان (Open Source & Free) : بدون هزینه لایسنس و با پشتیبانی جامعه بزرگ توسعهدهندگان و امنیتی، که امکان بهروزرسانی مداوم و استفاده گسترده را فراهم میکند.
مقایسه osquery با ابزارهای مشابه
|
ویژگیها |
osquery |
APT-Hunter |
Splunk |
|
پلتفرمها |
ویندوز/لینوکس/macOS |
فقط ویندوز |
همه پلتفرمها |
|
نوع تحلیل |
کوئری لحظهای با SQL |
تحلیل خودکار لاگ |
تحلیل بلادرنگ و گسترده |
|
کاربرد اصلی |
مانیتورینگ سیستمها |
شناسایی حملات APT |
SIEM سازمانی |
|
هزینه |
رایگان |
رایگان |
تجاری |
جمعبندی
Osquery ابزاری قدرتمند و منعطف برای کوئریگیری لحظهای از سیستمهاست که میتواند نقش مهمی در DFIR و Threat Hunting ایفا کند. توانایی تبدیل سیستمعامل به یک پایگاه داده SQL، به کارشناسان امنیتی امکان میدهد تا با دستورات ساده، دید عمیقی نسبت به وضعیت امنیتی زیرساختهای خود داشته باشند.
اگر به دنبال ابزاری سبک، رایگان و قابل اطمینان برای پایش لحظهای هستید، osquery انتخابی هوشمندانه خواهد بود.
