-
-
Facebook加强Osquery安全分析平台
-
发表于: 2015-7-25 13:37 1691
-
新闻链接:http://www.seehand.com/news/846.html
新闻时间:2015-7-24
新闻正文:
Facebook向开源的osquery安全框架中增加了查询包,将用于数据分析的常见用例集集中在一起。
Facebook正在用新功能加强其开源的osquery安全框架,新功能能够让用户更容易地进行组织并深入洞察操作系统信息。
Osquery由Facebook在2014年10月发布,它使OS信息看起来像标准的SQL数据库,可查询洞悉操作和安全状况。
Facebook的安全工程师Javier Macros说,自从osquery首次公开发布后,Facebook增加了新的表,增加了新功能和特性,包括扩展API和截图查询。
“所有这些新功能均使用户在攻击检测、事件报告、漏洞管理以及合规等等方面更有效率,”Marcos告诉eWEEK说。
Facebook现在给osquery增加了查询包,将用于数据分析的常见用例集集中起来。新查询包中,有一项是用于事件响应的,其以Facebook自有构架中使用的方法为基础。
“攻击是有生命周期的,为了达到目的,攻击者通常会通过恶意软件保有一个主机,创建通讯渠道,并行访问网络,识别并窃取他们想要的数据,”Marcos说,“我们使用事件响应查询包去收集与这些阶段有关的数据。”
例如,对于日志的持续性,Facebook记录二进制元数据并收集系统启动时注册的文件;对于横向活动,Facebook记录防火墙的例外和登录的用户,Marcos解释道。
“我们将这些日志发送给我们的SIEM(安全信息和事件管理),在其中进行额外的处理和警报,”Marcos说道。
事件响应包也能够潜在帮助组织机构识别权限提升攻击。Marcos注意道,为了提升权限,必须执行动作或命令。
“此外,提升权限是为了执行需要特别权限的动作,”Marcos说,“Osquery帮助你监视主机上发生的活动。”
Facebook也在开发Mac OS X的攻击查询包,能帮助苹果用户识别潜在的恶意活动。Marcos说,Facebook OS X查询包与现有的OS X安全工具相互补,包括流行的Little Snitch程序。Little Snitch是得到广泛安装的工具,为OS X提供网络监视和限制的功能。
“OS X查询包包含对电脑上的已知恶意软件进行识别的查询,”Marcos说,“如果你对日志有兴趣,但不对网络连接进行限制,你也可以使用osquery的表(例如‘listening_ports’或‘process_open_sockets’)。”
除了OS X攻击和事件响应查询包,Facebook还发布了IT合规和漏洞管理的查询包。IT合规查询包收集能够帮助组织机构理解IT基础框架当前状态的信息,而漏洞管理包用于识别过期的软件。
展望未来,该计划将继续扩展osquery包,使其具有更多的选择,帮助用户识别安全风险。Osquery和查询包是开源软件,能够自由地从Github的Facebook osquery项目页面下载完整的源代码。
新闻时间:2015-7-24
新闻正文:
Facebook向开源的osquery安全框架中增加了查询包,将用于数据分析的常见用例集集中在一起。
Facebook正在用新功能加强其开源的osquery安全框架,新功能能够让用户更容易地进行组织并深入洞察操作系统信息。
Osquery由Facebook在2014年10月发布,它使OS信息看起来像标准的SQL数据库,可查询洞悉操作和安全状况。
Facebook的安全工程师Javier Macros说,自从osquery首次公开发布后,Facebook增加了新的表,增加了新功能和特性,包括扩展API和截图查询。
“所有这些新功能均使用户在攻击检测、事件报告、漏洞管理以及合规等等方面更有效率,”Marcos告诉eWEEK说。
Facebook现在给osquery增加了查询包,将用于数据分析的常见用例集集中起来。新查询包中,有一项是用于事件响应的,其以Facebook自有构架中使用的方法为基础。
“攻击是有生命周期的,为了达到目的,攻击者通常会通过恶意软件保有一个主机,创建通讯渠道,并行访问网络,识别并窃取他们想要的数据,”Marcos说,“我们使用事件响应查询包去收集与这些阶段有关的数据。”
例如,对于日志的持续性,Facebook记录二进制元数据并收集系统启动时注册的文件;对于横向活动,Facebook记录防火墙的例外和登录的用户,Marcos解释道。
“我们将这些日志发送给我们的SIEM(安全信息和事件管理),在其中进行额外的处理和警报,”Marcos说道。
事件响应包也能够潜在帮助组织机构识别权限提升攻击。Marcos注意道,为了提升权限,必须执行动作或命令。
“此外,提升权限是为了执行需要特别权限的动作,”Marcos说,“Osquery帮助你监视主机上发生的活动。”
Facebook也在开发Mac OS X的攻击查询包,能帮助苹果用户识别潜在的恶意活动。Marcos说,Facebook OS X查询包与现有的OS X安全工具相互补,包括流行的Little Snitch程序。Little Snitch是得到广泛安装的工具,为OS X提供网络监视和限制的功能。
“OS X查询包包含对电脑上的已知恶意软件进行识别的查询,”Marcos说,“如果你对日志有兴趣,但不对网络连接进行限制,你也可以使用osquery的表(例如‘listening_ports’或‘process_open_sockets’)。”
除了OS X攻击和事件响应查询包,Facebook还发布了IT合规和漏洞管理的查询包。IT合规查询包收集能够帮助组织机构理解IT基础框架当前状态的信息,而漏洞管理包用于识别过期的软件。
展望未来,该计划将继续扩展osquery包,使其具有更多的选择,帮助用户识别安全风险。Osquery和查询包是开源软件,能够自由地从Github的Facebook osquery项目页面下载完整的源代码。
赞赏
看原图
赞赏
雪币:
留言: