Günümüzde “bilgi” artık çok daha değerli ve sahip olan için gerçekten büyük bir güç. Son yıllarda bilgi işlemeye yönelik yapılan yatırımlar, bu bilgileri korumaya yönelik çıkartılan yasalar bunun en büyük göstergesi. Elimizdeki ham veriyi doğru bir şekilde işleyemediğiniz sürece kimse için bir anlamı yok. Sistemlerinizde başı boş gezen bu verileri toplayıp anlamlandırdığımızda ancak bilgi ye sahip olabiliyoruz. Ufak bir örnek ile anlatmak gerekirse; bugün herhangi bir AVM içerisinde gezi rotanız üzerinden bile çeşitli yöntemler ile yapılan konumlandırmalar sayesinde, önünden geçen kişi sayısına göre o bölgedeki mağazalara fiyat biçer duruma gelindi.
Peki, bizler kendi envanterlerimiz olan sunucu ve client bilgisayarları üzerinde ne kadar bilgiye sahibiz? Altyapımızı etkilemesi muhtemel potansiyel tehlikelere karşı düzenli olarak log ya da uygulama seviyesinde veri analizi yaparak gerekli Proaktif önlemleri almak için çalışıyor muyuz? İhtiyacımız olan herhangi bir veriye ne kadar hızlı erişebiliyoruz? Ve belki de en önemlisi eğer bunların hepsini yapıyorsak bu bize ne kadara mal oluyor J
Bugün konuşacağımız konunun temeli; ortamlarımızda aktif envanterlerimiz olan sunucu ya da Client bilgisayarları üzerinden veriler toplamak, bu verileri anlamlandırmak ve ihtiyacımız olan anda kullanmak üzerine. Bu verileri toplamak, merkezi bir uygulama üzerinden yönetmek ve aldığımız dataları anlamlandırmak üzere aşağıda detaylarını paylaştığım 2 ayrı açık kaynak kodlu uygulamayı sizinle paylaşmak istiyorum.
- Osquery
- Kolide Fleet
Resim 1
Osquery Facebook tarafından geliştirilen açık kaynak kodlu bir Framework. Öğrenmek istediğimiz her türlü bilgiyi kurulu olduğu ortam üzerinden basit SQL komutları ile ilişkisel veri tabanı modeli kullanarak sorgulayarak bize ulaştıran ve en önemlisi bunu yaparken sistemi hiç yormayan bir Tool. Kurulu olduğu ortam üzerinde çalışan;
- Processler
- Aktif kullanıcılar
- Açık ve kullanımda olan portlar
- Yüklü olan uygulamalar
- OS seviyesinde update durumu
Gibi örneklerini çoğaltabileceğimiz yüzlerce query ile ; Windows ,MAC ya da Linux dağıtımları fark etmeksizin istediğiniz bilgiye ufak bir SQL sorgusu ile erişmenizi sağlıyor. Dataları kendi üzerinde dahili olarak gelen SQL tablolarında saklıyor ve istediğiniz zaman tek bir cihaz yada bütün envanteriniz için raporlayabiliyorsunuz.
Kolide Fleet ise yine açık kaynak kodlu bir Osquery Manager uygulaması. Farklı türevleri de mevcut fakat kullanıcı dostu ara yüzü sebebi ile benim şahsen tercih sebebim. Kolide Fleet ile tek bir noktadan Osquery çalışan bütün aktif envanterinizi yönetebilirsiniz. Kolide Fleet kendi platformları üzerinden SaaS olarak 10 adet host’a kadar limitli bir şekilde kullanılabiliyor fakat bu uygulamaların ne yaptığını ve bize olan faydasını konuştuktan sonra, elbette adım adım görseller ile desteklenmiş detaylı bir local kurulum yazısı paylaşacağım.
Fleet üzerinden sorgulama yapabileceğiz hazır sorgular ile ilgili Ufak birkaç örneği ekran görüntüsü ile aşağıda paylaşıyorum. Tek bir sorgu ile Fleet üzerinde ekli durumda olan yüzlerce Host ya da Client üzerinde tek bir sorgu ile istediğiniz bilgilere erişebilir ya da CSV olarak Export edebilirsiniz.
Resim 2
Osquery genelde güvenlik alanında çalışan arkadaşlar tarafından daha çok ilgi görüyor olsa da özellikle uç noktalarda bulunan cihazlar üzerinde performans problemleri analizi ya da günlük operasyonel işlerinizde kullanmak üzere bir çok farklı amaç için de kullanıbilir. Güvenlik açısından bakıldığında ise şüphelendiğiniz herhangi bir cihaz için; tek bir sorgu ile son 5 dakika içerisinde login olan bütün kullanıcıların listesi ya da çalışan Process lerin çıktısını fleet üzerinden Osquery kullanarak çağırıp incelemek işinizi oldukça kolaylaştıracaktır.
Birkaç tane örnek yaparak ilerleyebiliriz. Denemek için Osquery nin Offical sitesine giderek Windows için hazırlanan paketi indirip kurabilirsiniz. Setup a tıklayarak bırakmanız yeterli, kendisi arka planda kurulumu 5 sn içerisinde bitirerek size bir daha uyarı yada soru sormadan kurulumu tamamlayacaktır. Kurulumu yaptıktan sonra sunucu üzerinde çalıştırıyorsanız PowerShell ve ya CMD üzerinden “C:\ProgramData\Osquery” dizini altına geçerek osquery.exe uygulamasını çalıştırmanız gerekiyor
Osquery satırında iken; select * from logged_in_users where type=”active”; diyerek aktif kullanıcıları listeyebilirsiniz.
Resim 3
SELECT * FROM listening_ports where address=”0.0.0.0″ and family=2; komutu ile bütün Interface ler üzerinde dinlediğimiz portların listesine erişebiliriz.
Resim 4
SELECT * FROM patches; sorgusu ile bilgisayarımızın Patch durumu ile ilgili bilgi sahibi olabiliriz.
Resim 5
Kolide Fleet Osquery yükü bütün cihazlarınızda bu tarz sorguları uzaktan çalıştırarak size tek bir noktadan yönetim kolaylığı sağlıyor. Osquery nin şu anda yayınlana son versiyonu 3.3.0. Bu versiyon ile neleri sorgulayabileceğimizin daha net anlaşılması için Windows uyumlu hazır tabloların bir listesini aşağıda paylaşıyorum. Kurum ile ilgili detaylı bir yazı dizisi hazırlıyorum yakında paylaşıyor olacağım.
Resim-6
Linux tabanlı sistemler için mevcut hazır 130 tablo bulunuyor.
Resim-7
TAGs: Osquery, Osquery Nedir?,Kolide Fleet, Open Source, Facebook, Osquery Manager, Güvenlik ,Performans Analizi, Uzaktan Sorgu Çalıştırmak