AI动态
AI基础
AI大模型
AI智能体
AI应用
AI编程
AI安全
AI学院
网安动态
安全运维
网站防护
软件安全
渗透测试
拒绝服务
漏洞挖掘
安全学院
区块动态
区块基础
智能合约
DeFi金融
区块开发
区块安全
区块学院
最新发表
最新回复
我的帖子
资讯
电脑
手机
运维
编程
教程
导读
设计中心
2018-3-30 13:00 |来自: 互联网 280 0
前言
通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。
企业安全视角的主机级资产
主机级资产重点关注的是进程、网络连接、账户等主机层面或者说OS级别的信息。需求我认为搜集主机级资产主要是达到两个目的: 1.事中的入侵检测 2.事后的审计与事故排查数据搜集主机级数据的搜集可以使用开源软件osquery。osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。安装osquery支持操作系统较为丰富,常见的linux、window系统都支持。安装包下载地址为:https://osquery.io/downloads/以centos6为例:rpm -ivh https://osquery-packages.s3.amazonaws.com/centos6/noarch/osquery-s3-centos6-repo-1-0.0.noarch.rpmyum install osquery配置osquery的配置非常简单,使用默认配置文件即可cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf启动osqueryctl restart数据查询osquery的数据查询使用的是交互式SQL查询,搜集上的数据已经结构化存储在本地的数据库中。[root@instance-vijcg7zo osquery]# osqueryiUsing a virtual database. Need help, type '.help'osquery
黑名单|存档|手机版|网站地图|免责条款|法律声明|隐私保护|HACKBASE
GMT+8, 2026-6-8 15:22
Powered by Discuz!
注册
登录
