KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente Runecast? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Analisi dei sistemi operativi con Runecast Analyzer

Analisi dei sistemi operativi con Runecast Analyzer

L'analisi dei sistemi operativi (OS Analisys) è uno strumento che in Runecast si compone di due elementi:

  • Servizio di analisi del sistema operativo in esecuzione sull'appliance Runecast Analyzer;
  • Agenti del sistema operativo in esecuzione sui sistemi operativi, che raccolgono dati e inviano rapporti al servizio di analisi del sistema operativo.

Viene utilizzato Fleet come parte del servizio di analisi del sistema operativo. Fleet (https://fleetdm.com/) è un sistema di Device Management open source (è rilasciato sotto licenza Apache) e ne vedete l’interfaccia nell’immagine seguente; consente di distribuire rapidamente OSquery e proteggere i device con una tecnologia stabile.

 

OSquery è una soluzione che consente di interrogare i vostri dispositivi come se si trattasse di un database, quindi con delle semplici query (richieste).
OSquery utilizza i comandi SQL di base per sfruttare un modello di dati relazionale per descrivere un dispositivo ed è utile sia per la sicurezza, sia per la verifica di compliance, come è il caso di Runecast.                                  

L’esempio qui di seguito, con i relativi esiti, riguarda una query il cui scopo è la verifica di compliance:

osquery> SELECT * FROM mounts m, disk_encryption d

WHERE m.device_alias = d.name

AND m.path = "/"

AND d.encrypted = 0;

                 device = /dev/disk1

       device_alias = /dev/disk1

                    path = /

                     type = hfs

Banner

         blocks_size = 4096

                 blocks = 121815040

         blocks_free = 48994214

 blocks_available = 48930214

                 inodes = 4294967279

         inodes_free = 4292826261

                    flags = 75550720

                   name = /dev/disk1

                     uuid = 23446C9A-18F9-4BCF-A088-801E376691FA

            encrypted = 0

                      type =

                       uid =

            user_uuid =

Ma OSquery permette anche di eseguire richieste per la verifica di processi malevoli il cui file binario sia stato eliminato dal disco rigido dopo l’esecuzione.

L’infrastruttura di build di OSquery garantisce che il codice appena introdotto venga confrontato e testato. OSquery funziona su Windows, macOS, CentOS, FreeBSD e quasi tutti i sistemi operativi Linux rilasciati dal 2011 sono supportati senza dipendenze.

Il parco istanze è in esecuzione sull'appliance Runecast e in caso di distribuzioni basate su immagini ed è disabilitato per impostazione predefinita. Dopo aver attivato la connessione del sistema operativo in Settings > Connections, il servizio viene abilitato ed avviato. Per le distribuzioni K8s, il servizio di analisi del sistema operativo è in esecuzione dalla distribuzione quando abilitato con i valori inseriti nel diagramma di Helm.

L'agente del sistema operativo è appunto OSquery. Runecast utilizza pacchetti ufficiali, aggiunge i propri script di installazione e bit di configurazione e li assembla in un pacchetto di installazione pronto per la distribuzione, che può essere scaricato direttamente da Runecast Analyzer. Quando OSquery viene distribuito da questo pacchetto ai sistemi operativi di destinazione, viene automaticamente connesso al servizio Fleet. La connessione è protetta da un certificato TLS che viene generato automaticamente quando l'analisi del sistema operativo è abilitato e fa parte del pacchetto di installazione.
Quando Runecast Analyzer avvia l'analisi, crea richieste di query di dati e le invia a Fleet. Lì, gli agenti del sistema operativo raccolgono le query, le elaborano e restituiscono i risultati. Runecast Analyzer raccoglie quindi i dati ed esegue l'analisi vera e propria, mostrando i risultati in seguito.

Informazioni raccolte

OSquery è in grado di raccogliere vari tipi di informazioni e nel caso dell’utilizzo come agent di Runecast Analyzer, raccoglie solo i dati necessari per eseguire l'analisi del sistema operativo di destinazione, come informazioni sul sistema operativo, applicazioni installate, file di configurazione o alcune impostazioni del registro, ecc.

Se desiderate vedere l'intero set di dati raccolto, svolgete questa procedura:

  1. portatevi su Settings > API Access tokens e fate clic su Explore API Documentation;
  2. fate clic su Ecosystems e /api/v2/rca-instances/{id}/ecosystems;
  3. come Parameter id inserite 1 e fate clic su Try it out!;
  4. nel campo Response Body, cercate Operating Systems e annotatevi l'id; un esempio è:
     {
     "id": 31,
     "viewName": "Operating Systems",
     "ecosystemType": "FLEET",
  5. aprite una nuova scheda nel browser e incollate il seguente URL: https:///rc2/api/v2/ecosystems//config-scans/latest/dataset;
  6. sostituite con l'ID annotato nel passaggio 3 ed eseguitelo.

Così facendo, verrà scaricato un dataset compresso con tutte le informazioni sul sistema operativo raccolte dagli agenti del sistema operativo e utilizzate in OS Analysis.