企业当前如何运用osquery？

自我们将osquery移植到Windows平台以来，这款操作系统检测与端点监控代理在开源社区及其他领域引起了广泛关注。事实上，它近期刚荣获2017年奥莱利防御者奖最佳项目。

众多大型领先科技公司已部署osquery，实现完全可定制且成本效益高的端点监控。他们的选择与后续满意度激发了其他人对转换方案的好奇心。

但将新软件部署至公司全部设备并非轻率之举。这正是我们试图了解osquery社区动态的原因——帮助现有及潜在用户明确预期。这标志着四部分博客系列的开端，该系列将阐明osquery的现状、短板及改进机遇。

希望本系列能帮助那些犹豫不决的读者决定是否以及如何在公司内部部署该平台。

研究背景

我们采访了五家主要科技公司的osquery用户团队，询问他们：

• osquery当前如何部署和使用？
• 您的团队看到了哪些益处？
• 使用osquery的最大痛点是什么？
• 最希望新增哪些功能？

本文将聚焦osquery的当前应用及其益处。

企业当前如何运用osquery？

市场渗透

osquery的经济性、灵活性和跨平台兼容性迅速确立了其在顶级科技公司端点监控工具包中的地位。自2014年10月首次亮相以来，已有来自70多家公司的超过1000名用户通过Slack频道和GitHub仓库参与开发社区。8月份，Facebook的osquery开发者开始提供双周办公时间，讨论问题、新功能及设计方向。

用户增长得益于多项近期进展。自从Trail of Bits和Facebook等贡献者改造osquery以支持更多操作系统（Windows和FreeBSD）后，更多组织能够在更大部分端点上安装osquery。多种辅助工具如Doorman、Kolide和Uptycs的出现，帮助用户部署和管理该技术。基于事件的日志监控（如进程审计和文件完整性监控）进一步增强了其在事件响应中的实用性。这些进展促使更多具有独特数据和基础设施需求的组织使用osquery，有时甚至替代竞争性商业产品。

当前应用

所有受访公司均利用osquery实现高性能和灵活的设备监控。受访者特别关注即时事件响应，包括初始恶意软件检测和传播识别。

许多团队将osquery与其他开源和商业技术结合使用。部分团队使用Splunk等收集和聚合服务挖掘osquery收集的数据。一个创新团队通过将日志数据导入ElasticSearch，并在异常检测时通过ElastAlert自动生成Jira票据，构建了基于osquery的事件警报系统。大多数受访公司期望逐步淘汰部分付费服务，尤其是高成本套件（如Carbon Black、Tripwire、Red Cloak），转而采用当前osquery版本或等待新功能添加。

部署成熟度

osquery的部署成熟度差异显著。一家公司报告处于测试和基础设施设置阶段。其他公司已在大部分或全部端点上部署osquery，其中一个团队计划推广至17,500台机器。五家受访公司中有三家在生产服务器上部署了osquery。然而，其中一家公司报告虽在生产机器上安装了osquery，但由于担心其可靠性和可扩展性，很少查询这些端点。失控查询是所有受访公司的主要担忧，尽管未报告生产性能事件。

部署策略

大多数公司使用Chef或Puppet在端点上部署、配置和管理osquery安装。一家公司使用设备管理工具Doorman维护远程端点设备，避免使用单独的聚合工具。许多团队利用osquery的TLS文档编写自定义部署工具，既独立于第三方应用程序，又能完全根据本地环境定制功能/配置。

多个团队在推广osquery时采取分阶段部署的预防措施。一个团队通过将osquery任务分配给限制CPU和内存使用的CGroups，避免潜在性能问题。

osquery治理

安全团队负责启动设备中osquery的安装。虽然大多数团队在其他团队的支持与协作下进行，但有些团队秘密执行安装。一个团队报告称，性能事件轻微损害了osquery在其组织内的声誉。部分受访安全团队与数据分析及机器学习等其他内部团队合作，挖掘日志数据并生成可操作的见解。

osquery的益处

团队报告称，他们更喜欢osquery而非其他设备管理工具，原因包括：

• 更易使用
• 更可定制
• 暴露了以往无法访问的新端点数据

对于探索当前工具替代方案的团队，开源技术帮助他们避免了购买新商业安全解决方案的官僚摩擦。对一个团队而言，osquery也符合公司内部对自建软件日益增长的偏好。

在当前状态下，osquery作为工具套件中的灵活构建块时最为强大。其他端点监控工具仅向用户提供部分日志数据，而osquery则提供简单、可移植的访问方式，获取更丰富的端点数据种类。对于希望自建解决方案或无法负担昂贵商业综合套件的团队，osquery是最佳选择。

与其他端点监控方案的对比

受访者提到除osquery外还使用或评估了一些替代端点监控方案。以下列出其评论要点。虽然osquery整体提供了更灵活、经济的解决方案，但部分付费商业方案仍具独特优势，尤其在集成自动化预防和事件响应方面。然而，随着开发社区持续构建osquery功能，能力差距正在缩小。

OSSEC

OSSEC是一个开源系统监控和管理平台，具备文件完整性检查、日志监控、rootkit检测和自动事件响应等基本事件响应工具。然而，OSSEC缺乏osquery使用通用语法查询多主机（Windows、BSD等）的能力，也不够灵活；osquery用户可借助SQL语法快速形成新查询，而OSSEC需要繁琐的日志文件解码器和事先精心配置。整体简洁性及社区贡献表的持续开发常被列为osquery相对于OSSEC的优势。

SysDig

SysDig提供商业容器性能监控工具和开源容器故障排除工具。osquery用于安全和恶意事件检测，而SysDig工具处理实时数据流（网络或文件I/O，或跟踪运行进程中的错误），最适合监控性能。尽管近期在容器支持方面取得显著进展（包括允许主机级检测的新Docker表），SysDig在性能敏感的容器内省方面仍保持优势。虽然osquery能在容器内运行，但受访者表示当前版本尚未完全支持所有部署。一名用户因此避免在基于Docker的生产设备上部署osquery。

Carbon Black

Carbon Black是行业领先的恶意软件检测、防御和响应套件之一。相比之下，osquery本身仅提供检测能力。但当与PagerDuty或ElastAlert等警报系统结合时，osquery可转变为强大的事件响应工具。最后，考虑Carbon Black的受访者提到其高昂价格，并表达了最小化其使用的愿望。

Bromium vSentry

Bromium vSentry提供由微虚拟化驱动并由综合仪表板支持的影響遏制和内省功能。虽然公司可利用Kolide和Uptycs等工具访问类似于osquery的数据可视化，但Bromium的微虚拟化隔离功能以隔离攻击仍具优势。然而，Bromium的内省灵活性和范围显著不足，仅能访问目标隔离应用程序的数据。osquery可配置为从日益增多的操作系统级日志、事件和进程中收集数据。

Red Cloak

Red Cloak作为Dell SecureWorks服务的一部分提供自动化威胁检测。其相对osquery有两大优势：首先，提供专家团队协助分析和响应；其次，聚合所有客户的端点信息以改进检测和响应。对于专注于违规响应的组织，Red Cloak可能物有所值。但对于希望直接访问多种端点数据的IT团队，osquery是更优且更经济的解决方案。

结论

osquery满足了许多企业安全团队的需求；其透明性和灵活性使其成为部署定制端点监控方案的绝佳选择。无需任何修改，它即暴露分析引擎所需的所有端点数据。我们期待（并希望）听到更多安全团队通过事件响应工具包倍增osquery能力的信息。

如果团队能分享部署技术和经验教训，这一进程将更快实现。Slack和Github的讨论多聚焦代码库问题，太少用户公开讨论创新实施策略。但这并非阻碍osquery采用的唯一原因。

本系列第二篇文章将聚焦用户痛点。如果您当前使用osquery并有希望加入我们研究的痛点，请告知我们！我们很乐意听取您的意见。

您使用osquery的经验与本文提到的团队相比如何？您是否有其他变通方案、部署策略或希望未来版本内置的功能？告诉我们！帮助我们引领改进osquery开发和实施的道路。