Fleet Security: Хватит гадать. Используем osquery

У вас 200 машин (Windows, Linux, macOS). Как быстро ответить на эти вопросы:
"На каких серверах запущен sshd не из стандартного /usr/sbin/sshd?"
"На каких машинах macOS не включен FileVault?"
"У каких пользователей Windows в AppData лежат .exe файлы?"
Бегать по машинам или писать 100500 скриптов — это путь админа. osquery — это путь архитектора.

osquery (от Facebook/Meta) — это open-source инструмент, который представляет вашу операционную систему как базу данных, к которой можно делать SQL-запросы.

Примеры запросов:
Найти всех пользователей с bash на Linux-машинах:

SQL

SELECT * FROM users WHERE shell = '/bin/bash';

Найти подозрительные открытые порты (кто слушает не 0.0.0.0 или 127.0.0.1):

SQL

SELECT pid, port, address FROM listening_ports WHERE address NOT IN ('0.0.0.0', '127.0.0.1', '::');

Проверить, включен ли FileVault на macOS:

SQL

SELECT * FROM disk_encryption WHERE encrypted = 0;

Взгляд архитектора: osquery — это основа для непрерывного аудита (Continuous Auditing) и Threat Hunting. Вы больше не "сканируете" хосты, вы "опрашиваете" их в реальном времени. Подключив osquery-агенты к централизованному серверу (fleet-менеджеру), вы получаете полный, актуальный срез безопасности всей вашей инфраструктуры, независимо от ОС.

#linux #macos #windows #security #osquery #sre #architect #гайд