Introducción a OSQuery

OSQuery es un conjunto de librerías que recopilan información del sistema operativo del equipo y la almacenan en una base de datos relacional, permitiendo al analista su exploración de forma flexible mediante consultas SQL. Las tablas representan los diferentes conceptos que forman un sistema operativo, como pueden ser procesos en ejecución, módulos de kernel cargados, conexiones de red abiertas, complementos de navegador instalados, eventos de hardware o hashes de archivos.

Para construir consultas SQL compatibles con OSQuery es necesario conocer su esquema de datos. Consulta la documentación accesible en https://osquery.io/schema/4.2.0/ para obtener la relación de tablas y campos utilizados para organizar la información recogida del equipo investigado.

Integración de OSQuery con Cytomic Orion

Cytomic Orion utiliza principalmente los notebooks para ejecutar sentencias OSQuery, recoger los datos recibidos y presentarlos de forma clara al analista. No se requiere desarrollar un notebook desde 0, en su lugar el analista tiene acceso a una plantilla que recoge los parámetros necesarios, envía las sentencias a los equipos implicados y recopila los resultados. Consulta Acceso a OSQuery para acceder a la funcionalidad y Resultados de una sentencia OSQuery para obtener información sobre la presentación de los datos recogidos.

Adicionalmente, esta funcionalidad también está disponible a través de la API de integración. Consulta API de acceso a OSQuery.

Requisitos de OSQuery

• Cytomic EPDR o Cytomic EDR versión 3.71 o superior instalado en los equipos de los que se quiere recuperar información de infraestructura.

• Sistema operativo Windows.

• Envío de sentencias compatibles con OSQuery versión 4.02.00.