No results found
L'analisi dei sistemi operativi (OS Analisys) è uno strumento che in Runecast si compone di due elementi:
Viene utilizzato Fleet come parte del servizio di analisi del sistema operativo. Fleet (https://fleetdm.com/) è un sistema di Device Management open source (è rilasciato sotto licenza Apache) e ne vedete l’interfaccia nell’immagine seguente; consente di distribuire rapidamente OSquery e proteggere i device con una tecnologia stabile.
OSquery è una soluzione che consente di interrogare i vostri dispositivi come se si trattasse di un database, quindi con delle semplici query (richieste).
OSquery utilizza i comandi SQL di base per sfruttare un modello di dati relazionale per descrivere un dispositivo ed è utile sia per la sicurezza, sia per la verifica di compliance, come è il caso di Runecast.
L’esempio qui di seguito, con i relativi esiti, riguarda una query il cui scopo è la verifica di compliance:
osquery> SELECT * FROM mounts m, disk_encryption d
WHERE m.device_alias = d.name
AND m.path = "/"
AND d.encrypted = 0;
device = /dev/disk1
device_alias = /dev/disk1
path = /
type = hfs
blocks_size = 4096
blocks = 121815040
blocks_free = 48994214
blocks_available = 48930214
inodes = 4294967279
inodes_free = 4292826261
flags = 75550720
name = /dev/disk1
uuid = 23446C9A-18F9-4BCF-A088-801E376691FA
encrypted = 0
type =
uid =
user_uuid =
Ma OSquery permette anche di eseguire richieste per la verifica di processi malevoli il cui file binario sia stato eliminato dal disco rigido dopo l’esecuzione.
L’infrastruttura di build di OSquery garantisce che il codice appena introdotto venga confrontato e testato. OSquery funziona su Windows, macOS, CentOS, FreeBSD e quasi tutti i sistemi operativi Linux rilasciati dal 2011 sono supportati senza dipendenze.
Il parco istanze è in esecuzione sull'appliance Runecast e in caso di distribuzioni basate su immagini ed è disabilitato per impostazione predefinita. Dopo aver attivato la connessione del sistema operativo in Settings > Connections, il servizio viene abilitato ed avviato. Per le distribuzioni K8s, il servizio di analisi del sistema operativo è in esecuzione dalla distribuzione quando abilitato con i valori inseriti nel diagramma di Helm.
L'agente del sistema operativo è appunto OSquery. Runecast utilizza pacchetti ufficiali, aggiunge i propri script di installazione e bit di configurazione e li assembla in un pacchetto di installazione pronto per la distribuzione, che può essere scaricato direttamente da Runecast Analyzer. Quando OSquery viene distribuito da questo pacchetto ai sistemi operativi di destinazione, viene automaticamente connesso al servizio Fleet. La connessione è protetta da un certificato TLS che viene generato automaticamente quando l'analisi del sistema operativo è abilitato e fa parte del pacchetto di installazione.
Quando Runecast Analyzer avvia l'analisi, crea richieste di query di dati e le invia a Fleet. Lì, gli agenti del sistema operativo raccolgono le query, le elaborano e restituiscono i risultati. Runecast Analyzer raccoglie quindi i dati ed esegue l'analisi vera e propria, mostrando i risultati in seguito.
OSquery è in grado di raccogliere vari tipi di informazioni e nel caso dell’utilizzo come agent di Runecast Analyzer, raccoglie solo i dati necessari per eseguire l'analisi del sistema operativo di destinazione, come informazioni sul sistema operativo, applicazioni installate, file di configurazione o alcune impostazioni del registro, ecc.
Se desiderate vedere l'intero set di dati raccolto, svolgete questa procedura:
Così facendo, verrà scaricato un dataset compresso con tutte le informazioni sul sistema operativo raccolte dagli agenti del sistema operativo e utilizzate in OS Analysis.