企业如何运用osquery进行端点监控？

自我们将osquery移植到Windows平台一年以来，这款操作系统插桩和端点监控代理在开源社区及其他领域引起了广泛关注。事实上，它最近荣获了2017年奥莱利防御者奖最佳项目。

许多大型领先科技公司已部署osquery，实现完全可定制且成本效益高的端点监控。他们的选择及后续满意度激发了其他人对转换工具的好奇心。

但将新软件部署到公司全部设备并非轻率之举。因此我们试图了解osquery社区的现状——帮助当前和潜在用户明确预期。这标志着四部分博客系列的开始，该系列将阐明osquery的现状、其短板及改进机会。

希望本系列能帮助那些犹豫不决的读者决定是否以及如何在公司中部署该平台。

研究方法

我们采访了五家主要科技公司的osquery用户团队，询问他们：

• osquery目前如何部署和使用？
• 您的团队看到了哪些好处？
• 使用osquery的最大痛点是什么？
• 最希望添加哪些新功能？

本文将重点讨论osquery的当前使用及其好处。

企业当前如何使用osquery？

市场渗透

osquery的经济性、灵活性和跨平台兼容性迅速在顶级科技公司的端点监控工具包中占据一席之地。自2014年10月首次亮相以来，已有70多家公司的超过1000名用户通过其Slack频道和GitHub仓库与开发社区互动。8月，Facebook的osquery开发者开始提供双周办公时间，讨论问题、新功能和设计方向。

用户增长得益于多项近期发展。由于Trail of Bits和Facebook等贡献者将osquery改造为支持更多操作系统（Windows和FreeBSD），更多组织现在能够在更大比例的端点上安装osquery。出现了多种辅助工具，如Doorman、Kolide和Uptycs，帮助用户部署和管理该技术。基于事件的日志监控（如进程审计和文件完整性监控）进一步增强了其事件响应效用。这些发展刺激了更多具有独特数据和基础设施需求的组织使用osquery，有时甚至取代竞争性商业产品。

当前使用

所有受访公司都利用osquery进行高性能和灵活的舰队监控。受访者对即时事件响应特别感兴趣，包括初始恶意软件检测和传播识别。

许多团队将osquery与其他开源和商业技术结合使用。一些使用Splunk等收集和聚合服务来挖掘osquery收集的数据。一个创新团队通过将日志数据管道传输到ElasticSearch，并在异常检测时通过ElastAlert自动生成Jira票证，构建了事件警报。大多数受访公司期望逐步淘汰一些付费服务，特别是昂贵的套件（如Carbon Black、Tripwire、Red Cloak），转而使用当前osquery构建或在添加新功能后使用。

部署成熟度

osquery的部署成熟度差异很大。一家公司报告处于测试和设置基础设施阶段。其他公司已在大部分或全部端点上部署了osquery，包括一个团队报告计划推广到17,500台机器。五家公司中有三家的生产服务器上部署了osquery。然而，其中一家公司报告在生产机器上安装了osquery，但由于担心osquery的可靠性和可扩展性，很少查询这些端点。生产舰队上的失控查询是所有受访公司的主要关切，尽管没有报告生产性能事件。

部署策略

大多数公司使用Chef或Puppet在端点上部署、配置和管理osquery安装。一家公司使用舰队管理工具Doorman维护远程端点舰队，并避免使用单独的聚合工具。许多团队利用osquery的TLS文档编写自己的自定义部署工具，既独立于第三方应用程序，又能够完全自定义功能/配置以适应本地环境。

多个团队在推广osquery时采取分阶段部署的预防措施。一个团队通过将osquery任务分配给限制CPU和内存使用的CGroups来避免潜在性能问题。

osquery治理

安全团队负责启动舰队中osquery的安装。虽然大多数团队在其他团队的支持和协作下进行，但一些团队秘密执行安装。一个团队报告性能事件轻微损害了osquery在其组织内的声誉。一些受访的安全团队与其他内部团队（如数据分析和机器学习）合作，挖掘日志数据并生成可操作的见解。

osquery的好处

团队报告他们比其它舰队管理工具更喜欢osquery，原因包括：

• 更简单易用
• 更可定制
• 暴露了他们以前从未访问过的新端点数据

对于探索当前工具替代方案的团队，开源技术帮助他们避免了购买新商业安全解决方案的官僚摩擦。对于一个团队来说，osquery也符合公司内部对自建软件日益增长的偏好。

在当前状态下，osquery作为工具套件中的灵活构建块时最为强大。其他端点监控工具向用户暴露选定的日志数据，而osquery提供简单、可移植的访问权限，以获取更丰富的端点数据种类。对于希望自行构建解决方案或无法负担昂贵商业综合套件的团队来说，osquery是最佳选择。

与其他端点监控解决方案的比较

我们的受访者提到除了osquery外，还使用或评估了一些替代端点监控解决方案。我们在下面列出了他们评论的亮点。虽然osquery总体上提供了更灵活、经济实惠的解决方案，但一些付费商业解决方案仍然提供独特优势，特别是在集成自动化预防和事件响应方面。然而，随着开发社区继续在osquery中构建功能，能力差距似乎正在缩小。

OSSEC

OSSEC是一个开源系统监控和管理平台。它具有基本的事件响应工具，如文件完整性检查、日志监控、rootkit检测和自动事件响应。然而，OSSEC缺乏osquery使用通用语法查询多个主机（Windows、BSD等）的能力。它也不那么灵活；osquery用户可以使用SQL语法的可用性快速形成新查询，而OSSEC需要繁琐的日志文件解码器和事先精心配置。整体简单性和社区贡献表的持续开发常被 cited 为osquery相对于OSSEC的优势。

SysDig

SysDig提供商业容器性能监控工具和开源容器故障排除工具。虽然osquery用于安全和恶意事件检测，但SysDig工具处理实时数据流（网络或文件I/O，或跟踪运行进程中的错误）并最适合监控性能。然而，尽管最近在容器支持方面取得了显著进展，包括允许在主机级别进行插桩的新Docker表，SysDig在性能敏感的容器内省方面仍保持优势。虽然osquery能够在容器内运行，但我们的受访者表示当前版本尚未构建以清晰支持所有部署。一位用户报告因此避免在基于Docker的生产舰队上部署osquery。

Carbon Black

Carbon Black是行业领先的恶意软件检测、防御和响应包之一。相比之下，osquery本身仅提供检测能力。然而，当与PagerDuty或ElastAlert等警报系统结合时，osquery可以转变为强大的事件响应工具。最后，考虑Carbon Black的受访者评论其高价格标签，并表示希望尽量减少其使用。

Bromium vSentry

Bromium vSentry提供由微虚拟化驱动并由综合仪表板支持的影响遏制和内省。虽然公司可以利用Kolide和Uptycs等工具访问类似于osquery的数据可视化，但Bromium的微虚拟化隔离功能以隔离攻击仍是一个优势。然而，Bromium的内省显著不那么灵活和广泛。它只能访问有关目标隔离应用程序的数据。osquery可以配置为从越来越多的操作系统级别日志、事件和进程中收集数据。

Red Cloak

Red Cloak提供自动威胁检测作为Dell SecureWorks服务产品的一部分。它相对于osquery有两个优势：首先，它提供专家团队帮助分析和响应；其次，它聚合所有客户的端点信息以通知和改进其检测和响应。对于专注于违规响应的组织，Red Cloak可能物有所值。然而，对于希望直接访问各种端点数据的IT团队来说，osquery是更好、更便宜的解决方案。

结论

osquery满足了许多企业安全团队的需求；其透明度和灵活性使其成为滚动定制端点监控解决方案的绝佳选择。无需任何修改，它暴露了分析引擎所需的所有端点数据。我们期望（并希望）听到更多安全团队通过其事件响应工具包倍增osquery的能力。

如果团队分享他们的部署技术和经验教训，这将更快发生。Slack和Github上的大部分讨论集中在代码库问题上。太少的用户公开讨论创新的实施策略。但这并不是阻碍osquery采用的唯一原因。

本系列的第二篇文章将关注用户的痛点。如果您今天使用osquery并有痛点想添加到我们的研究中，请告诉我们！我们很乐意听取您的意见。

您使用osquery的经验与本文提到的团队相比如何？您是否有其他变通方法、部署策略或希望在未来版本中构建的功能？告诉我们！帮助我们引领改进osquery的开发和实施。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News