De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

OSQuery - gerenciamento de infraestrutura computacional

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 09 de janeiro de 2017

O Facebook liberou em 2016 o código do aplicativo OSQuery, que utiliza para ter uma visão em tempo real do estado atual de sua infraestrutura computacional.

O framework OSQuery expõe o sistema operacional como um banco de dados relacional de alto desempenho. Este projeto permite que se escrevam queries SQL de forma fácil e eficiente para obter dados sobre os sistemas operacionais. Com OSQuery as tabelas SQL representam o estado atual dos atributos do sistema operacional, tais como:

  • processos em execução
  • módulos do kernel carregados
  • conexões de rede abertas

As tabelas SQL são implementadas por meio de uma API facilmente estendida. Diversas tabelas já existem e muitas mais estão sendo escritas.

Por exemplo: 

  SELECT name, path, pid FROM processes WHERE on_disk = 0;

Este exemplo ilustra como se pode usar osquery para interagir com os processos que estão sendo executados no sistema. Especificamente, esta query retorna todos os processos que estão em execução no momento. A cláusula where da query retorna apenas os processos em que o binário original para lançar o processo não existe mais no sistema de arquivos. Esta é uma tática comum usada por invasores, então, se o seu sistema não estiver comprometido esta query deverá retornar nenhum resultado.

Este texto é uma tradução adaptada de trechos do documento "Introducing OSQuery".

Saiba mais

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Rubens Queiroz de Almeida