在osquery中管理Google Santa - Trail of Bits博客

Garret Reece
2018年5月29日
osquery

我们发布了一个osquery扩展，使您能够管理Google Santa而无需独立的同步服务器。

Google Santa是macOS的应用白名单和黑名单系统，非常适合在托管设备群中部署。它使用同步服务器，守护进程从中将规则拉取到托管计算机上。然而，同步服务器不提供批量收集日志或配置状态的功能。它无法指示所有代理是否已拉取最新规则，也无法显示这些代理阻止黑名单二进制文件执行的频率。

与Palantir合作，我们将Santa集成为osquery界面的一个扩展。现在可以直接通过osquery管理Santa，不再需要独立的同步服务器。企业可以使用单一界面osquery集中管理日志、更新或查看代理配置。

我们将对端点的可写访问描述为osquery的超级功能。这个扩展展示了原因。现在，可以为osquery代理添加远程管理功能，而该代理通常仅限于只读访问。这代表了osquery能力的巨大进步，将其从严格监控的角色转变为主动和预防性的角色。Trail of Bits很高兴宣布将Santa扩展发布到我们的osquery扩展开源仓库中。

它能做什么

Santa让您精细控制哪些应用程序可以在计算机上运行。加入osquery和这个扩展，现在您可以精细控制哪些应用程序可以在设备群中运行。锁定端点，仅允许运行由少数批准证书签名的应用程序，或在已知恶意应用程序有机会运行之前将其列入黑名单。

扩展可以在osquery启动时通过扩展命令行参数加载，例如：osqueryi --extension path/to/santa.ext。加载后，它向数据库添加两个新表：santa_rules和santa_events。

表本身很简单。

santa_rules包含三个文本列：shasum、state和type。type列包含规则类型，可以是certificate或binary。state是whitelist或blacklist。shasum包含二进制文件的哈希或签名证书的哈希，具体取决于规则类型。

santa_events表有四个文本列：timestamp、path、shasum和reason。timestamp标记拒绝事件记录的时间。path列出被拒绝应用程序的路径。shasum显示文件的哈希。reason显示导致拒绝的规则类型（binary或certificate）。

开始使用

这个扩展提供了一个简化的界面来监督和控制您的Santa部署 across your fleet，轻松访问规则和事件。您可以在我们维护的osquery扩展仓库中找到它和其他osquery扩展。我们将继续添加新扩展。查看一下，看看我们有什么可用的。

雇佣我们定制osquery以满足您的需求

您有osquery扩展的想法吗？在我们的GitHub仓库中为此提交一个问题。联系我们进行osquery开发。

注意：此功能依赖于尚未合并的扩展可写表支持。如果您想立即尝试此功能，请联系我们——我们为客户创建自定义二进制构建以测试osquery的即将推出的功能。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News