问题标签 [osquery]

我正在尝试在带有 WEF/WEC 的环境中使用 OSQuery，而我正在尝试做的是收集通过订阅存储在 WEC 服务器中的所有 Windows 事件。

我的问题是，当我通过 OSQuery 收集 Windows 事件时，我似乎无法获得包含实际生成事件的主机名的字段“计算机”。

有人设法让这个工作吗？或者它是 OSquery 的实际限制？查看 windows_events 表架构（https://osquery.io/schema/4.5.1/#windows_events）时，似乎没有考虑“计算机”字段。

例如，我在名为 DESKTOP-JC2OUUQ 的主机中配置了一个 WEC，并且我在那里订阅了一台名为 DESKTOP-BEH0A7O 的笔记本电脑。事件日志正确地流向 WEC，我可以接收它们。以下是我收到的事件之一：

当我尝试使用 OSQuery 收集此事件时，我得到以下输出：

如您所见，在其他字段中，我没有看到“计算机”标签，据我所知，它是唯一包含生成事件的实际主机的标签。有什么方法可以通过 OSQuery 获得该值还是限制？

谢谢！

我将以下计划查询与 TLS 插件记录器结合使用。

我想将描述字段添加到此特定查询的结果输出日志中，以便我可以使用它将我的查询映射到框架。不幸的是，提供的文档没有说明这样的选项。是否可以将描述或其他自定义字段添加到记录的输出中？

我正在寻找为特定软件包生成 apt 软件包版本列表，例如 sudo、ssh 等。OSQuery 似乎可以选择使用 rpm_packages 生成它，但是我找不到 apt_packages 的提及。

我不是指 apt_sources，apps 表似乎是 MacOS 唯一的东西。

我可能只是缺少列出二进制文件版本的表格。

我需要一些帮助。我使用什么语法来搜索使用 osquery 的可执行文件？比如我要找winword.exe、excel.exe。提前致谢。

从我读到的 osquery 用于查询/读取系统信息。

它有任何机会修改系统状态，例如终止进程或删除注册表项？

我正在使用 osqueryi 命令，就像select * form users在以编程方式潜入之前一样。

是否可以使用 OSQuery 中的查询选择文件夹及其子文件夹中的文件： SELECT path FROM file WHERE directory LIKE '/Users/%';

那根本不返回任何结果。什么不见​​了？

我正在尝试使用“模式”约束在 osqueryi 中运行按需 yara 扫描，但该列不存在并且在下面出现错误。我是否遗漏了有关如何使用模式约束的内容？

只需在此处引用我遵循的 osquery yara 文档： https ://osquery.readthedocs.io/en/stable/deployment/yara/

并且 yara 的表模式也没有列“模式”： https ://osquery.io/schema/4.8.0/#yara

我正在尝试在 Windows 上使用 osquery sdk。它是否有任何可以在我的进程中加载​​的dll。从文档中不是很清楚。任何指针都会有所帮助。

我应该查询哪个表以了解是否使用OSQuery在Windows机器上启用了远程桌面？我已经尝试过服务和 etc_services 甚至设备表，但它们都没有包含有关远程桌面服务的信息？我还尝试在我的计算机上启用此服务进行搜索。

OSQuery 具有执行查询的绑定。如果远程计算机作为服务运行，则有一种方法可以设置标志以与远程计算机通信。

无论如何要连接远程机器（使用 PEM 密钥）[假设远程机器已经安装了 osquery]..？因此，我们可以使用远程密钥从单个系统执行 osquery。

那可能吗？