Nos ambientes corporativos modernos, é possível conectar diversos dispositivos à infraestrutura e às redes da organização. As equipes de TI e de segurança têm a tarefa de rastrear e coletar informações de cada um desses dispositivos. Fazer isso em escala costuma ser uma atividade complicada com intenso consumo de recursos, especialmente em organizações nas quais residem múltiplos sistemas operacionais e dispositivos.
Usando uma ferramenta como a Osquery, você pode adicionar um novo conjunto de capacidades ao kit de ferramentas de cibersegurança de qualquer equipe. Basta usar uma sintaxe baseada em SQL familiar que se encaixa nos processos existentes de desenvolvimento e revisão de software.
Neste artigo, falaremos da ferramenta Osquery e de suas principais funcionalidades. Também conheceremos casos de uso e práticas recomendadas e examinaremos como aumentar o aproveitamento dos dados coletados pela Osquery com uma solução de automação de TI.
O que é Osquery?
Inicialmente, os engenheiros da Meta desenvolveram a Osquery para lidar com os desafios relacionados a implementação, monitoramento e análise do sistema operacional. Eles buscavam uma solução que pudesse ser usada em escala. A Osquery atualmente é uma ferramenta de código aberto que usa consultas semelhantes a SQL para explorar dados do sistema operacional. É importante observar que ela oferece uma interface unificada para monitoramento da segurança do sistema e do dispositivo de endpoint. Isso significa que diferentes dispositivos e sistemas operacionais podem ser inspecionados com as mesmas consultas.
A Osquery gera tabelas consultáveis que representam importantes dados de sistema de um dispositivo. Isso inclui tabelas sobre usuários do sistema ou hardwares fisicamente conectados a esse dispositivo. As tabelas são consistentes entre dispositivos e sistemas operacionais, e todos podem ser consultados usando uma linguagem comum. A Osquery é compatível com plataformas macOS, Linux, Windows e FreeBSD. Assim, você pode usar uma única ferramenta em todos os dispositivos de endpoint dentro da sua rede. Tudo isso vem em uma ferramenta única, leve e facilmente configurável.
Saiba mais
Saiba como o CrowdStrike Falcon® for IT pode facilitar a unificação de TI e segurança rompendo silos entre a tecnologia da informação e a cibersegurança.
White paper: Três formas de transformar as operações de segurança com a automação de TI
Principais funcionalidades
A Osquery oferece diversas funcionalidades importantes que trazem agilidade à exploração dos dispositivos de endpoint da sua organização. A ferramenta economiza incontáveis horas de esforço manual para as equipes de TI e cibersegurança.
Consultas baseadas em SQL
Uma importante funcionalidade da Osquery é o suporte a sintaxe SQL familiar para a busca de informações de dispositivo endpoint. As consultas podem ser codificadas e revisadas de forma a atender às necessidades de uma organização, assim como os processos regulares de revisão do código-fonte de aplicações. Assim, as equipes conseguem reutilizar consultas e ampliar sua capacidade de coletar dados de vários dispositivos — tudo isso sem precisar de experiência específica em todos os sistemas operacionais e dispositivos que podem estar presentes na organização.
Para obter mais informações sobre como elaborar consultas, consulte a documentação da Osquery.
Monitoramento em tempo real
As consultas construídas e executadas com a Osquery, seja de acordo com um cronograma ou manualmente, oferecem visibilidade contínua das atividades do sistema em dispositivos endpoint que executam o daemon osquery.
Extensibilidade
A Osquery é facilmente extensível por meio da API de extensões baseada em Thrift. As equipes podem adicionar tabelas personalizadas e módulos para extrair as informações que procuram dos dispositivos endpoint. As equipes de TI e de cibersegurança podem usar a flexibilidade da Osquery para atender aos próprios requisitos, independentemente do setor ou da aplicação.
Capacidades de integração
A Osquery integra-se às ferramentas e plataformas de segurança existentes em sua organização e oferece uma exportação simplificada dos dados extraídos com as consultas. Isso amplia o aproveitamento dos dados consultados, com o processamento deles em outras ferramentas de gerenciamento de incidentes e monitoramento de segurança.
Principais casos de uso
As capacidades e a extensibilidade da Osquery são úteis em muitos casos de uso, especialmente com relação a auditoria do sistema, monitoramento de segurança, conformidade e resposta a incidentes (IR).
Auditoria do sistema
Com a Osquery, sua equipe pode definir consultas para representar o estado ideal de um dispositivo. Essas consultas podem definir todos os estados necessários de software, configurações e sistema para obtenção de um sistema seguro. As equipes ganham um modo de auditar sistemas que é simplificado e cumpre as políticas de segurança da organização de forma dimensionável, mesmo em todos os sistemas operacionais e tipos de dispositivo.
Monitoramento de segurança
A Osquery oferece capacidade de descoberta e visibilidade de todos os dispositivos conectados em uma organização, ajudando as equipes de cibersegurança a ativamente monitorar e detectar anomalias de segurança e possíveis incidentes de segurança. Ela é excelente em detectar instalações ou dispositivos físicos não aprovados (como unidades USB), que podem facilmente passar despercebidos sem um monitoramento ativo.
Conformidade
Em muitos setores regulamentados, as organizações são obrigadas a apresentar relatórios que comprovem que seus sistemas cumprem as normas de segurança organizacionais ou regionais. Com as consultas semelhantes a SQL, a Osquery disponibiliza uma maneira eficiente e reutilizável de coletar as informações necessárias para os relatórios de conformidade. Como as consultas podem ser usadas em todos os dispositivos e sistemas operacionais de uma organização, elas podem economizar para as equipes de cibersegurança horas de trabalho manual, entediante e passível de erros. A osquery simplifica drasticamente a tarefa de gerar relatórios para cumprir as normas de conformidade.
Resposta a incidentes
A observabilidade aprimorada que a coleta de informações da Osquery traz é valiosa para a resposta a incidentes (IR). Ao construir consultas ad hoc durante a fase de investigação de uma resposta a incidentes (IR), as equipes de segurança conseguem identificar todos os dispositivos afetados envolvidos em um ataque e detectar rapidamente sistemas que já estejam apresentando comportamento suspeito.
Práticas recomendadas para o uso da Osquery
Confira a seguir práticas recomendadas essenciais para a execução da Osquery.
- Criar e testar a eficiência das consultas: ao executar consultas em dispositivos endpoint, é essencial avaliar o impacto das consultas no desempenho do sistema. Dependendo de sua complexidade e frequência de execução, elas podem afetar dispositivos. Por isso, as organizações devem avaliar o impacto da consulta em relação ao valor da informação ou do benefício obtido.
- Monitorar e ajustar consultas continuamente: monitorar, revisar e ajustar continuamente as consultas de acordo com ameaças novas ou em desenvolvimento é essencial para assegurar que suas consultas detectem efetivamente essas novas ameaças.
- Combinar a Osquery com outras ferramentas de segurança: essa combinação aprimora as capacidades da Osquery e a visibilidade dos dispositivos endpoint. Para isso, envie os dados de saída dela para outras plataformas de segurança para organizar, monitorar e responder efetivamente a esses dados.
Saiba mais
Assista ao nosso CrowdCast sob demanda para descobrir como o CrowdStrike Falcon® for IT e a plataforma CrowdStrike Falcon unificada e nativa de IA com seu único agente e console ajudam sua organização a economizar tempo e dinheiro valiosos consolidando produtos pontuais e rompendo barreiras entre a TI e a segurança.
Aproveite os dados da Osquery com soluções de automação de TI
A Osquery é uma avançada solução de monitoramento e análise de dispositivos que as organizações podem utilizar para compreender os dispositivos endpoint que estão em execução em sua rede. Sua principal funcionalidade é a capacidade de consultar dispositivos com uma linguagem semelhante a SQL. Com esses dados do dispositivo, as equipes podem realizar operações de TI, monitoramento de segurança e atividades de conformidade, tudo em tempo real e de forma automatizada, economizando assim inúmeras horas.
É possível refinar ainda mais os dados obtidos da Osquery com o CrowdStrike Falcon® for IT, um módulo que introduz IA e automação em fluxos de trabalho diários de TI e segurança. O CrowdStrike Falcon® for IT faz parte da plataforma CrowdStrike Falcon® com IA nativa e permite que as equipes consultem todo o ambiente de TI usando a Osquery e gerem insights rápidos e acionáveis que aprimoram a tomada de decisões.
Para entender melhor como o CrowdStrike Falcon® for IT ajuda sua organização a romper barreiras entre as equipes de TI e de segurança, consolidar produtos pontuais e alcançar um ROI superior, visite nosso site a agende uma demonstração hoje mesmo.
Adam Roeckl é Gerente Sênior de Marketing de Produtos na CrowdStrike, com foco em segurança e gestão de riscos de IoT/OT. Ao longo da sua carreira em cibersegurança, Adam adquiriu experiência em Operações de Segurança, Inteligência de Ameaças, Serviços de Segurança Gerenciados, Segurança de Rede e IA/ML. Antes da CrowdStrike, ele trabalhou como gerente de marketing de produtos na Palo Alto Networks e na Zscaler. Adam é bacharel em Economia e Estudos Jurídicos Empresariais pela Universidade de Miami, em Ohio, e atualmente mora em Golden, Colorado.
