Rodrigo Montoro, profile picture
Carregado porRodrigo Montoro
PPTX, PDF1,803 visualizações

Aumentando Visibilidade com Facebook OSQUERY

O documento discute a utilização da ferramenta OSQuery para visibilidade e monitoramento de endpoints. Apresenta as funcionalidades do OSQuery, como tabelas, queries e pacotes, e como ele pode ser usado junto com Kolide Fleet para gerenciamento e Elasticsearch/Kibana para armazenamento e visualização de logs. Conclui enfatizando a importância da visibilidade, conhecimento da rede e detecção proativa.

Internet
Tópicos relacionados:
Threat Hunting

Incorporar apresentação

Baixar para ler offline
O MAIOR FESTIVAL HACKER DA AMÉRICA LATINA
Threat Hunting e visibilidade em endpoint com o Facebook OSQUERY Rodrigo Montoro (@spookerlabs) Senior Security Engineer na Neoway
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Motivação Riscos Arquitetura Rede Critical Security Controls (CSC) Superfície de Ataque
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Agenda ● Sobre mim ● OSQUERY ● Kolide Fleet ● {Elastic,Alert}-ing ● Conclusões
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Sobre mim
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Diagrama apresentação
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs)
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) OSQUERY ● Criado pelo Facebook 10/2014 ● Multiplataforma(Linux / Mac / Windows / FreeSBD) ● Database do Sistema Operacional ● Centenas de tabelas ● Milhares combinações queries possíveis ● Open Source ● Versão atual 2.10 ● 2017 O’Reilly Defender Award for best project
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Plataformas ● Linux ● MacOS ● Windows ● FreeBSD
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) .tables {Linux,Windows,MAC}
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schema tables
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) query
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schedule / pack
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) discovery queries
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) FIM (File Integrity Monitoring)
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Process Events
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) O que podemos monitorar ? ● Quais plugins tem instalado no navegadores? ● Algo adicionado no SUDO ? Crontab ? ● Programas instalados ? Patches ? ● Qual MD5/SHA1, processo e portas em listen agora? ● Usuários / Grupos criados ? ● Pastas compartilhadas ? Rogue Wireless ? ● Docker: imagens ? processos ? portas ? ● Certificados ? Integridade arquivos ? ● Inicialização sistemas ? ● Configs firewall ?
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / osqueryi
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Kolide Fleet
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) About Kolide Fleet
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Visão geral hosts
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Query Fleet
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Distributed Query
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Labels
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / Navegação Fleet
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) {Elastic,Alert}-ing
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Overview Elastic Stack
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Logstash
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Views / Dashboards
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Alerting em python
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Conclusões
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Pense sobre! ● Você só detecta o que vê ● Invista em conhecimento, não somente em produtos ● Conheça sua rede mais que os atacantes ● Seja proativo nas mitigações ● Faça validação dos monitoramentos ● Seja caçador não caça
Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Contatos Rodrigo Montoro @spookerlabs rodrigo.montoro@neoway.com.br rodrigo.montoro@blueops.com.br

Mais conteúdo relacionado

PPTX
Lost in Translation - Blackhat Brazil 2014
porRodrigo Montoro
 
PPTX
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
porRodrigo Montoro
 
PPTX
NSM (Network Security Monitoring) - Tecland Chapeco
porRodrigo Montoro
 
PDF
Firefox: Reconquistando a WEB - Clauber Stipkovic Halic
porTchelinux
 
PPTX
Reversing Engineering a Web Application - For fun, behavior and detection
porRodrigo Montoro
 
PPT
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
porRodrigo Montoro
 
PPTX
Bsides threat hunting
porRodrigo Montoro
 
PPTX
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
porRodrigo Montoro
 
Lost in Translation - Blackhat Brazil 2014
porRodrigo Montoro
 
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
porRodrigo Montoro
 
NSM (Network Security Monitoring) - Tecland Chapeco
porRodrigo Montoro
 
Firefox: Reconquistando a WEB - Clauber Stipkovic Halic
porTchelinux
 
Reversing Engineering a Web Application - For fun, behavior and detection
porRodrigo Montoro
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
porRodrigo Montoro
 
Bsides threat hunting
porRodrigo Montoro
 
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
porRodrigo Montoro
 

Destaque

PDF
2024 Trend Updates: What Really Works In SEO & Content Marketing
porSearch Engine Journal
 
PDF
ChatGPT and the Future of Work - Clark Boyd
porClark Boyd
 
PDF
Everything You Need To Know About ChatGPT
porExpeed Software
 
PDF
Storytelling For The Web: Integrate Storytelling in your Design Process
porChiara Aliotta
 
PPTX
How to Prepare For a Successful Job Search for 2024
porAlbert Qian
 
PDF
PEPSICO Presentation to CAGNY Conference Feb 2024
porNeil Kimberley
 
PDF
Social Media Marketing Trends 2024 // The Global Indie Insights
porKurio // The Social Media Age(ncy)
 
PDF
Getting into the tech field. what next
porTessa Mero
 
PDF
2024 State of Marketing Report – by Hubspot
porMarius Sescu
 
PDF
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
porOECD Directorate for Financial and Enterprise Affairs
 
PDF
5 Public speaking tips from TED - Visualized summary
porSpeakerHub
 
PDF
Google's Just Not That Into You: Understanding Core Updates & Search Intent
porLily Ray
 
PDF
Product Design Trends in 2024 | Teenage Engineerings
porPixeldarts
 
PDF
Trends In Paid Search: Navigating The Digital Landscape In 2024
porSearch Engine Journal
 
PDF
How to have difficult conversations
porRajiv Jayarajah, MAppComm, ACC
 
PDF
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
pormarketingartwork
 
PDF
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
porSocialHRCamp
 
PDF
How Race, Age and Gender Shape Attitudes Towards Mental Health
porThinkNow
 
PDF
Skeleton Culture Code
porSkeleton Technologies
 
PDF
Content Methodology: A Best Practices Report (Webinar)
porcontently
 
2024 Trend Updates: What Really Works In SEO & Content Marketing
porSearch Engine Journal
 
ChatGPT and the Future of Work - Clark Boyd
porClark Boyd
 
Everything You Need To Know About ChatGPT
porExpeed Software
 
Storytelling For The Web: Integrate Storytelling in your Design Process
porChiara Aliotta
 
How to Prepare For a Successful Job Search for 2024
porAlbert Qian
 
PEPSICO Presentation to CAGNY Conference Feb 2024
porNeil Kimberley
 
Social Media Marketing Trends 2024 // The Global Indie Insights
porKurio // The Social Media Age(ncy)
 
Getting into the tech field. what next
porTessa Mero
 
2024 State of Marketing Report – by Hubspot
porMarius Sescu
 
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
porOECD Directorate for Financial and Enterprise Affairs
 
5 Public speaking tips from TED - Visualized summary
porSpeakerHub
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
porLily Ray
 
Product Design Trends in 2024 | Teenage Engineerings
porPixeldarts
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
porSearch Engine Journal
 
How to have difficult conversations
porRajiv Jayarajah, MAppComm, ACC
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
pormarketingartwork
 
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
porSocialHRCamp
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
porThinkNow
 
Skeleton Culture Code
porSkeleton Technologies
 
Content Methodology: A Best Practices Report (Webinar)
porcontently
 

Aumentando Visibilidade com Facebook OSQUERY

  • 1.
    O MAIOR FESTIVALHACKER DA AMÉRICA LATINA
  • 2.
    Threat Hunting evisibilidade em endpoint com o Facebook OSQUERY Rodrigo Montoro (@spookerlabs) Senior Security Engineer na Neoway
  • 3.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Motivação Riscos Arquitetura Rede Critical Security Controls (CSC) Superfície de Ataque
  • 4.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Agenda ● Sobre mim ● OSQUERY ● Kolide Fleet ● {Elastic,Alert}-ing ● Conclusões
  • 5.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Sobre mim
  • 6.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Diagrama apresentação
  • 7.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs)
  • 8.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) OSQUERY ● Criado pelo Facebook 10/2014 ● Multiplataforma(Linux / Mac / Windows / FreeSBD) ● Database do Sistema Operacional ● Centenas de tabelas ● Milhares combinações queries possíveis ● Open Source ● Versão atual 2.10 ● 2017 O’Reilly Defender Award for best project
  • 9.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Plataformas ● Linux ● MacOS ● Windows ● FreeBSD
  • 10.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) .tables {Linux,Windows,MAC}
  • 11.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schema tables
  • 12.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) query
  • 13.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schedule / pack
  • 14.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) discovery queries
  • 15.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) FIM (File Integrity Monitoring)
  • 16.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Process Events
  • 17.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) O que podemos monitorar ? ● Quais plugins tem instalado no navegadores? ● Algo adicionado no SUDO ? Crontab ? ● Programas instalados ? Patches ? ● Qual MD5/SHA1, processo e portas em listen agora? ● Usuários / Grupos criados ? ● Pastas compartilhadas ? Rogue Wireless ? ● Docker: imagens ? processos ? portas ? ● Certificados ? Integridade arquivos ? ● Inicialização sistemas ? ● Configs firewall ?
  • 18.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / osqueryi
  • 19.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Kolide Fleet
  • 20.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) About Kolide Fleet
  • 21.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Visão geral hosts
  • 22.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Query Fleet
  • 23.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Distributed Query
  • 24.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Labels
  • 25.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / Navegação Fleet
  • 26.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) {Elastic,Alert}-ing
  • 27.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Overview Elastic Stack
  • 28.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Logstash
  • 29.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Views / Dashboards
  • 30.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Alerting em python
  • 31.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Conclusões
  • 32.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Pense sobre! ● Você só detecta o que vê ● Invista em conhecimento, não somente em produtos ● Conheça sua rede mais que os atacantes ● Seja proativo nas mitigações ● Faça validação dos monitoramentos ● Seja caçador não caça
  • 33.
    Visibilidade com OSQUERY- Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Contatos Rodrigo Montoro @spookerlabs rodrigo.montoro@neoway.com.br rodrigo.montoro@blueops.com.br

Notas do Editor