Como Configurar Monitoramento de Integridade de Arquivos (FIM) usando osquery no Linux

Osquery é uma instrumentação de sistema operacional de código aberto, monitoramento e análise. Criado pelo Facebook, ele expõe um sistema operacional como um banco de dados relacional de alto desempenho que pode ser consultado usando consultas baseadas em SQL.

Osquery é um software multiplataforma, podendo ser instalado no Linux, Windows, MacOS e FreeBSD. Ele nos permite explorar todos os perfis, desempenho, verificação de segurança etc. desses sistemas operacionais, usando consultas baseadas em SQL.

Neste tutorial, mostraremos como configurar o Monitoramento de Integridade de Arquivos (FIM) usando osquery. Estaremos usando os sistemas operacionais Linux Ubuntu 18.04 e CentOS 7.

Pré-requisitos

• Linux (Ubuntu ou CentOS)
• Privilégios de root
• Guia osquery inicial concluído

O que faremos

1. Instalar osquery no Servidor Linux
2. Habilitar Consumo de Syslog para osquery
3. Configuração Básica do osquery
4. Configurar Monitoramento de Integridade de Arquivos osquery
5. Testes

Passo 1 - Instalar osquery no Servidor Linux

Osquery fornece seu próprio repositório para a instalação de todas as plataformas, e o primeiro passo que vamos fazer é instalar o pacote osquery DO repositório oficial do osquery.

No Ubuntu

Adicione a chave do osquery ao sistema.

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B  
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY

Adicione o repositório osquery e instale o pacote.

sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'  
sudo apt install osquery -y

No CentOS

Adicione a chave do osquery ao sistema.

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery

Adicione e habilite o repositório osquery, e instale o pacote.

sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo  
sudo yum-config-manager --enable osquery-s3-rpm  
sudo yum install osquery -y

Aguarde até que todos os pacotes sejam instalados.

Nota:

Se você receber o erro sobre o comando yum-config-manager.

sudo: yum-config-manager: comando não encontrado

Instale o pacote ‘yum-utils’.

yum -y install yum-utils

Passo 2 - Habilitar Consumo de Syslog no osquery

Osquery fornece recursos para ler ou consumir logs do sistema no Apple MacOS usando o Apple System Log (ASL), e para Linux está usando o syslog.

Neste passo, habilitaremos o consumo de syslog para osquery através do rsyslog.

No Ubuntu

Instale o pacote rsyslog usando o comando apt abaixo.

sudo apt install rsyslog -y

No CentOS

Instale o pacote rsyslog usando o comando yum abaixo.

sudo yum install rsyslog -y

Após a instalação ser concluída, vá para o diretório ‘/etc/rsyslog.d’ e crie um novo arquivo de configuração osquery.conf.

cd /etc/rsyslog.d/  
vim osquery.conf

Cole a seguinte configuração lá.

template(
  name="OsqueryCsvFormat"
  type="string"
  string="%timestamp:::date-rfc3339,csv%,%hostname:::csv%,%syslogseverity:::csv%,%syslogfacility-text:::csv%,%syslogtag:::csv%,%msg:::csv%\n"
)
*.* action(type="ompipe" Pipe="/var/osquery/syslog_pipe" template="OsqueryCsvFormat")

Salve e saia.

Passo 3 - Configuração Básica do osquery

A configuração padrão do osquery é ‘osquery.conf’, geralmente localizada no diretório ‘/etc/osquery’. Existem amostras da configuração do osquery em ‘/usr/share/osquery/osquery.conf’ e amostras de configuração de pacotes do osquery.

Neste passo, aprenderemos sobre os componentes de configuração do osquery, criaremos a configuração personalizada do osquery e, em seguida, implantaremos o osqueryd como um serviço.

A configuração do osquery formatada como um arquivo JSON contém especificações de configuração do osquery descritas abaixo.

• Opções: parte do comando CLI do osqueryd e determina o início e a inicialização dos aplicativos.
• Agenda: Define o fluxo dos nomes de consultas agendadas para os detalhes da consulta.
• Decoradores: Usados para adicionar