osquery 是一个基于 SQL 的侦测工具,可即时检视企业基础设施的状态,Facebook 早在 2014 年便将 osquery 开源,但当时只支持 Linux 与 OS X,现在正式支持 Windows 10。
osquery 基本上是把操作系统当成一个关联性资料库, 把程序、网络连接、所载入的核心模组、硬件事件或浏览器外挂都以 SQL 表格呈现,以方便查询。 例如 Facebook 的安全团队会利用 osquery 汲取 Facebook 企业网络上所运作的所有浏览器扩充程序,再与威胁情报资料进行比对,以找出恶意的扩充程序并将它们移除。
Facebook 说明,此一积极的安全技术称为 threat hunting,可用来强化传统的安全侦测功能。
osquery 为跨平台软体,能够扫描企业基础设施上的每一台电脑,得以让企业开发人员与安全团队能够即时监控低阶功能并快速搜寻恶意行为及含有安全漏洞的应用,目前已是 GitHub 上***的安全专案之一。支持 Windows 的 osquery 开发者套件内含文件、开发环境与一个 script,安装后即可开始编码。
