En los entornos empresariales modernos se pueden conectar muchos dispositivos a la infraestructura y las redes de una organización. Los equipos de seguridad y TI se encargan de rastrear y recopilar la información de dichos dispositivos, tarea que suele ser engorrosa y requiere muchos recursos, sobre todo para las empresas que trabajan con varios sistemas operativos y dispositivos.
Gracias a herramientas como Osquery, se puede añadir un nuevo conjunto de funciones al kit de herramientas de ciberseguridad de cualquier equipo mediante sintaxis SQL conocida que se integra en los procesos de revisión y desarrollo de software existentes.
En este artículo, hablaremos sobre Osquery y sus funciones principales. También trataremos sus casos de uso y prácticas recomendadas, y cómo una solución de automatización de TI ayuda a aprovechar aún más los datos obtenidos de Osquery.
¿Qué es Osquery?
En un principio, los ingenieros de Meta desarrollaron Osquery para ayudar con los problemas de implementación, monitorización y análisis del sistema operativo. Buscaban una solución que pudiera ser útil a escala. Osquery, que ahora es una herramienta de código abierto, utiliza consultas de tipo SQL para explorar los datos de los sistemas operativos. Ofrece una interfaz unificada para garantizar la seguridad del sistema y la monitorización de endpoints. De esta manera, se pueden utilizar las mismas consultas para inspeccionar distintos dispositivos y sistemas operativos.
Osquery genera tablas que se pueden consultar y que representan datos importantes del sistema de un dispositivo. Estas incluyen información sobre los usuarios del sistema o el hardware conectado al dispositivo, son coherentes en todos los dispositivos y sistemas operativos, y se pueden consultar con un lenguaje común. Osquery admite macOS, Linux, Windows y las plataformas FreeBSD, por lo que se puede utilizar una única herramienta ligera y fácil de configurar en todos los endpoints de la red.
Más información
Descubre cómo CrowdStrike Falcon® for IT puede unificar la seguridad y la TI eliminando los silos entre la tecnología de la información y la ciberseguridad.
Funciones principales
Osquery ofrece varias funciones clave que ayudan a explorar rápidamente los endpoints de una organización. Así, los equipos de TI y ciberseguridad pueden ahorrarse incontables horas de esfuerzo manual.
Consultas basadas en SQL
Una función clave de Osquery es su compatibilidad con la sintaxis SQL conocida para recuperar la información de los endpoints. Las consultas se pueden codificar y revisar para satisfacer las necesidades de una organización, al igual que los procesos de revisión periódica de código para el código fuente de la aplicación. De esta forma, los equipos pueden reutilizar las consultas y recuperar más datos de múltiples dispositivos, todo ello sin necesidad de tener experiencia en todos los sistemas operativos y dispositivos de la organización.
Si deseas obtener más información, echa un vistazo a la documentación de Osquery sobre la creación de consultas.
Monitorización en tiempo real
Las consultas que se crean y ejecutan de forma programada o manual con Osquery proporcionan visibilidad constante de todas las actividades del sistema en los endpoints que ejecutan el daemon Osquery.
Ampliación
Osquery se amplía fácilmente a través de la API de extensiones basada en Thrift, y se pueden añadir tablas y módulos personalizados para extraer la información necesaria de los endpoints. Los equipos de ciberseguridad y TI pueden aprovechar la flexibilidad de Osquery para adaptar sus requisitos, independientemente del sector o la aplicación.
Capacidades de integración
Osquery se integra con las plataformas y herramientas de seguridad existentes en la organización para exportar fácilmente los datos extraídos con consultas. Así, los datos consultados se pueden aprovechar mejor, procesándolos con otras herramientas de monitorización de la seguridad y gestión de incidentes.
Principales casos de uso
Las capacidades y la ampliación de Osquery son muy útiles en diversos casos de uso, como la auditoría de sistemas, la monitorización de la seguridad, el cumplimiento y la respuesta a incidentes.
Auditoría de sistemas
Gracias a Osquery, tu equipo puede establecer consultas para representar el estado ideal de un dispositivo. Estas pueden definir todo el software, las configuraciones y los estados necesarios para garantizar la seguridad del sistema. De esta forma, los equipos pueden auditar los sistemas de forma sencilla y cumplen las políticas de seguridad de la organización de manera escalable en todos los dispositivos y sistemas operativos.
Monitorización de la seguridad
Gracias a Osquery, se pueden detectar y visualizar todos los dispositivos conectados en una organización, por lo que los equipos de ciberseguridad pueden monitorizar y detectar anomalías y posibles incidentes de seguridad de forma activa. Osquery destaca por su capacidad de detección de instalaciones no aprobadas en dispositivos físicos (como unidades USB), que pueden omitirse fácilmente sin una monitorización activa.
Cumplimiento normativo
En muchos sectores regulados, las empresas tienen requisitos de generación de informes para demostrar que sus sistemas cumplen con los estándares de seguridad regionales o de la organización. Gracias a sus consultas de tipo SQL, Osquery ofrece una forma eficiente y reutilizable de recopilar la información necesaria para los informes de cumplimiento. Los equipos de ciberseguridad se ahorran horas de tedioso trabajo manual y propenso a errores, ya que las consultas se pueden utilizar en todos los dispositivos y sistemas operativos de la organización. Osquery simplifica drásticamente la generación de informes para cumplir con los estándares.
Respuesta a incidentes
La observabilidad que se obtiene gracias a la recopilación de información de Osquery es extremadamente valiosa para la respuesta a incidentes. Mediante la creación de consultas concretas durante la fase de investigación de la respuesta a un incidente, los equipos de seguridad pueden identificar todos los dispositivos afectados en una brecha y encontrar los sistemas que muestran un comportamiento sospechoso.
Prácticas recomendadas para utilizar Osquery
A continuación te mostramos las prácticas recomendadas más importantes para ejecutar Osquery:
- Crea y prueba consultas más eficientes: algo fundamental cuando se ejecutan consultas en endpoints es evaluar el impacto del rendimiento de las consultas en el sistema. En función de la complejidad y frecuencia de ejecución, las consultas pueden afectar a los dispositivos, por lo que las empresas deben considerar el impacto de una consulta frente a la información o el beneficio que obtiene.
- Monitoriza y ajusta constantemente las consultas: si quieres que tus consultas detecten eficazmente las nuevas amenazas emergentes y en evolución, es esencial que las monitorices, revises y ajustes constantemente.
- Combina Osquery con otras herramientas de seguridad: la combinación de Osquery con otras herramientas de seguridad mejora sus funciones, así como tu visibilidad sobre los endpoints. Para ello, envía los datos de salida de Osquery a otras plataformas de seguridad; así, podrás organizar, monitorizar y responder con eficacia.
Más información
Echa un vistazo a nuestro webinar bajo demanda y descubre cómo ahorrar tiempo y dinero a tu organización. Te enseñamos a consolidar los productos puntuales y a coordinar los equipos de seguridad y TI con CrowdStrike Falcon® for IT y la plataforma unificada CrowdStrike Falcon, que integra la IA en un solo agente y una consola única.
Cómo aprovechar los datos de Osquery con la automatización de TI
Osquery es una potente solución de monitorización y análisis que ayuda a las organizaciones a comprender los endpoints que se ejecutan en sus redes. Su función principal es consultar los dispositivos en lenguaje de tipo SQL. Gracias a esos datos, los equipos pueden completar operaciones de TI, monitorizar la seguridad y realizar actividades de cumplimiento en tiempo real de forma automatizada, lo que les permite ahorrar incontables horas.
Mejora aún más los datos obtenidos de Osquery con CrowdStrike Falcon® for IT, el módulo que integra IA y automatización en los flujos de trabajo de TI y seguridad. Esta solución forma parte de la plataforma basada en IA de CrowdStrike Falcon® y permite a los equipos consultar todo su entorno de TI con Osquery, así como generar información rápida y práctica para mejorar la toma de decisiones.
Visita nuestro sitio web y solicita una demo hoy mismo para descubrir cómo Falcon for IT puede ayudar a tu empresa a superar todos los obstáculos existentes entre los equipos de TI y seguridad, así como consolidar los productos individuales y aumentar el ROI.
Adam Roeckl ocupa el cargo de Senior Product Marketing Manager en CrowdStrike y su trabajo se centra en la gestión de riesgos y seguridad de IoT/OT. Durante su trayectoria profesional en ciberseguridad, Adam ha acumulado experiencia en operaciones de seguridad, inteligencia sobre amenazas, servicios de seguridad gestionados, seguridad de redes e IA/ML. Antes de incorporarse a CrowdStrike, se encargó del marketing de productos en Palo Alto Networks y Zscaler. Adam se licenció en economía y derecho empresarial en la Universidad Miami de Ohio y actualmente reside en Golden, Colorado (EE. UU.).
