İlginizi Çekebilir
  1. Ana Sayfa
  2. Open Source
  3. Osquery Nedir? Kullanım Alanları ve Fleet Entegrasyonu – Bölüm-1

Osquery Nedir? Kullanım Alanları ve Fleet Entegrasyonu – Bölüm-1

111518_1230_OsqueryNedi1.png

Günümüzde “bilgi” artık çok daha değerli ve sahip olan için gerçekten büyük bir güç. Son yıllarda bilgi işlemeye yönelik yapılan yatırımlar, bu bilgileri korumaya yönelik çıkartılan yasalar bunun en büyük göstergesi. Elimizdeki ham veriyi doğru bir şekilde işleyemediğiniz sürece kimse için bir anlamı yok. Sistemlerinizde başı boş gezen bu verileri toplayıp anlamlandırdığımızda ancak bilgi ye sahip olabiliyoruz. Ufak bir örnek ile anlatmak gerekirse; bugün herhangi bir AVM içerisinde gezi rotanız üzerinden bile çeşitli yöntemler ile yapılan konumlandırmalar sayesinde, önünden geçen kişi sayısına göre o bölgedeki mağazalara fiyat biçer duruma gelindi.

Peki, bizler kendi envanterlerimiz olan sunucu ve istemci bilgisayarları üzerinde ne kadar bilgiye sahibiz? Altyapımızı etkilemesi muhtemel potansiyel tehlikelere karşı düzenli olarak log ya da uygulama seviyesinde veri analizi yaparak gerekli proaktif önlemleri almak için çalışıyor muyuz? İhtiyacımız olan herhangi bir veriye ne kadar hızlı erişebiliyoruz? Ve belki de en önemlisi eğer bunların hepsini yapıyorsak bu bize ne kadara mal oluyor J

Bugün konuşacağımız konunun temeli; ortamlarımızda aktif envanterlerimiz olan sunucu ya da istemc bilgisayarları üzerinden veriler toplamak, bu verileri anlamlandırmak ve ihtiyacımız olan anda kullanmak üzerine. Bu verileri toplamak, merkezi bir uygulama üzerinden yönetmek ve aldığımız dataları anlamlandırmak üzere aşağıda detaylarını paylaştığım 2 ayrı açık kaynak kodlu uygulamayı sizinle paylaşmak istiyorum.


 


Resim-1

Osquery tarafından geliştirilen açık kaynak kodlu bir Framework. Öğrenmek istediğimiz her türlü bilgiyi kurulu olduğu ortam üzerinden basit SQL komutları ile ilişkisel veri tabanı modeli kullanarak sorgulayarak bize ulaştıran ve en önemlisi bunu yaparken sistemi hiç yormayan bir tool. Kurulu olduğu ortam üzerinde çalışan;

  • Processler
  • Aktif kullanıcılar
  • Açık ve kullanımda olan portlar
  • Yüklü olan uygulamalar
  • OS seviyesinde update durumu

 

Gibi örneklerini çoğaltabileceğimiz yüzlerce query ile Windows, MAC ya da Linux dağıtımları fark etmeksizin istediğiniz bilgiye ufak bir SQL sorgusu ile erişmenizi sağlıyor. Dataları kendi üzerinde dahili olarak gelen SQL tablolarında saklıyor ve istediğiniz zaman tek bir cihaz yada bütün envanteriniz için raporlayabiliyorsunuz.

Kolide Fleet ise yine açık kaynak kodlu bir uygulaması. Farklı türevleri de mevcut fakat kullanıcı dostu ara yüzü sebebi ile benim şahsen tercih sebebim. Kolide Fleet ile tek bir noktadan Osquery çalışan bütün aktif envanterinizi yönetebilirsiniz. Kolide Fleet kendi platformları üzerinden SaaS olarak 10 adet host’a kadar limitli bir şekilde kullanılabiliyor fakat bu uygulamaların ne yaptığını ve bize olan faydasını konuştuktan sonra, elbette adım adım görseller ile desteklenmiş detaylı bir local kurulum yazısı paylaşacağım.

Fleet üzerinden sorgulama yapabileceğiz hazır sorgular ile ilgili Ufak birkaç örneği ekran görüntüsü ile aşağıda paylaşıyorum. Tek bir sorgu ile Fleet üzerinde ekli durumda olan yüzlerce Host ya da Client üzerinde tek bir sorgu ile istediğiniz bilgilere erişebilir ya da CSV olarak Export edebilirsiniz.

Resim-2

Osquery genelde güvenlik alanında çalışan arkadaşlar tarafından daha çok ilgi görüyor olsa da özellikle uç noktalarda bulunan cihazlar üzerinde performans problemleri analizi ya da günlük operasyonel işlerinizde kullanmak üzere bir çok farklı amaç için de kullanıbilir. Güvenlik açısından bakıldığında ise şüphelendiğiniz herhangi bir cihaz için; tek bir sorgu ile son 5 dakika içerisinde login olan bütün kullanıcıların listesi ya da çalışan Process’lerin çıktısını fleet üzerinden Osquery kullanarak çağırıp incelemek işinizi oldukça kolaylaştıracaktır.

Birkaç tane örnek yaparak ilerleyebiliriz. Denemek için Osquery nin Offical sitesine giderek Windows için hazırlanan paketi indirip kurabilirsiniz. Setup’a tıklayarak bırakmanız yeterli, kendisi arka planda kurulumu 5 sn içerisinde bitirerek size bir daha uyarı yada soru sormadan kurulumu tamamlayacaktır. Kurulumu yaptıktan sonra sunucu üzerinde çalıştırıyorsanız PowerShell ve ya CMD üzerinden “C:\ProgramData\Osquery” dizini altına geçerek osquery.exe uygulamasını çalıştırmanız gerekiyor

Osquery satırında iken; select * from logged_in_users where type=”active”; diyerek aktif kullanıcıları listeyebilirsiniz.

Resim-3

SELECT * FROM listening_ports where address=”0.0.0.0″ and family=2; komutu ile bütün Interface’ler üzerinde dinlediğimiz portların listesine erişebiliriz.

Resim-4

SELECT * FROM patches; sorgusu ile bilgisayarımızın Patch durumu ile ilgili bilgi sahibi olabiliriz.

Resim-5

Kolide Fleet Osquery yükü bütün cihazlarınızda bu tarz sorguları uzaktan çalıştırarak size tek bir noktadan yönetim kolaylığı sağlıyor. Osquery’nin şu anda yayınlana son versiyonu 3.3.0. Bu versiyon ile neleri sorgulayabileceğimizin daha net anlaşılması için Windows uyumlu hazır tabloların bir listesini aşağıda paylaşıyorum. Kurum ile ilgili detaylı bir yazı dizisi hazırlıyorum yakında paylaşıyor olacağım.


Resim-6

Linux tabanlı sistemler için mevcut hazır 130 tablo bulunuyor.


Resim-7

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

https://www.mshowto.org

https://osquery.io/

TAGs: Osquery, ,Kolide Fleet, , Facebook, Osquery Manager, Güvenlik ,,

Yorum Yap

Yazar Hakkında

Faruk TERZIOGLU - 2003 senesinden beri aktif olarak bilgi teknolojileri sektöründe çalıyor. Uzmanlık alanları BT altyapı çözümleri ve yazılım tanımlı veri merkezi teknolojileri, Microsoft ailesi ürünleri, Açık kaynak kodlu sanallaştırma platformları ve uygulamaları olup bulut teknolojileri öncelikli ilgilendiği alanlar arasındadır. 2018 yılında Alibaba Cloud tarafından Bulut Teknolojileri Çözümleri alanında MVP olarak ilan edilmiştir.

Yorum Yap