新闻链接：http://www.seehand.com/news/846.html
新闻时间：2015-7-24
新闻正文：

Facebook向开源的osquery安全框架中增加了查询包，将用于数据分析的常见用例集集中在一起。

Facebook正在用新功能加强其开源的osquery安全框架，新功能能够让用户更容易地进行组织并深入洞察操作系统信息。

Osquery由Facebook在2014年10月发布，它使OS信息看起来像标准的SQL数据库，可查询洞悉操作和安全状况。

Facebook的安全工程师Javier Macros说，自从osquery首次公开发布后，Facebook增加了新的表，增加了新功能和特性，包括扩展API和截图查询。

“所有这些新功能均使用户在攻击检测、事件报告、漏洞管理以及合规等等方面更有效率，”Marcos告诉eWEEK说。

Facebook现在给osquery增加了查询包，将用于数据分析的常见用例集集中起来。新查询包中，有一项是用于事件响应的，其以Facebook自有构架中使用的方法为基础。

“攻击是有生命周期的，为了达到目的，攻击者通常会通过恶意软件保有一个主机，创建通讯渠道，并行访问网络，识别并窃取他们想要的数据，”Marcos说，“我们使用事件响应查询包去收集与这些阶段有关的数据。”

例如，对于日志的持续性，Facebook记录二进制元数据并收集系统启动时注册的文件；对于横向活动，Facebook记录防火墙的例外和登录的用户，Marcos解释道。

“我们将这些日志发送给我们的SIEM（安全信息和事件管理），在其中进行额外的处理和警报，”Marcos说道。

事件响应包也能够潜在帮助组织机构识别权限提升攻击。Marcos注意道，为了提升权限，必须执行动作或命令。

“此外，提升权限是为了执行需要特别权限的动作，”Marcos说，“Osquery帮助你监视主机上发生的活动。”

Facebook也在开发Mac OS X的攻击查询包，能帮助苹果用户识别潜在的恶意活动。Marcos说，Facebook OS X查询包与现有的OS X安全工具相互补，包括流行的Little Snitch程序。Little Snitch是得到广泛安装的工具，为OS X提供网络监视和限制的功能。

“OS X查询包包含对电脑上的已知恶意软件进行识别的查询，”Marcos说，“如果你对日志有兴趣，但不对网络连接进行限制，你也可以使用osquery的表（例如‘listening_ports’或‘process_open_sockets’）。”

除了OS X攻击和事件响应查询包，Facebook还发布了IT合规和漏洞管理的查询包。IT合规查询包收集能够帮助组织机构理解IT基础框架当前状态的信息，而漏洞管理包用于识别过期的软件。

展望未来，该计划将继续扩展osquery包，使其具有更多的选择，帮助用户识别安全风险。Osquery和查询包是开源软件，能够自由地从Github的Facebook osquery项目页面下载完整的源代码。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课