Systemüberwachung: Facebook veröffentlicht Osquery für Windows

Das jetzt für Windows 10 freigegebene Osquery-Developer-Kit ermöglicht es Sicherheitsteams künftig, angepasste Osquery-Lösungen zusammenzustellen, um Windows-Netzwerke besser analysieren zu können. Seit der Bereitstellung als Open Source war das Werkzeug zur Systemüberwachung per SQL nur für Linux und OS X verfügbar.

Visualisierung per SQL

Osquery ermöglicht eine Systemüberwachung basierend auf SQL-Suchanfragen. Dabei werden Betriebssystemeigenschaften in eine relationale hochperformante Datenbank übersetzt. Dazu schreibt der Anwender SQL-Abfragen, die die aktuellen Zustände von Teilen des Systems wie laufenden Prozessen, geladenen Kernel-Modulen, offenen Netzwerkverbindungen oder Browser-Plugins in visuell leicht überschaubare Tabellen übertragen.

So setzt Facebook Osquery beispielsweise ein, um Daten über sämtliche im Unternehmensnetzwerk aktiven Browsererweiterungen zu sammeln und diese dann mit den aktuellen Sicherheitswarnungen für solche Plugins abzugleichen und bösartige Erweiterungen schnell zu entdecken und zu entfernen. Diese Technik der proaktiven Entdeckung ist auch als Threat Hunting bekannt.

Nutzer wollten eine Windows-Version

Mit der zunehmenden Verbreitung von Osquery und der Bildung einer Community wurde das Verlangen nach einer Version für Windows stärker. Dem kam Facebook nun nach. Begleitet von Experten des Sicherheitsunternehmens Trail of Bits wurde jeder Schritt der Entwicklung dokumentiert. Zum Einstieg in die Windows-Version von Osquery liegt ein Script vor, das eine 64-Bit-Windows-10-Maschine für den Einsatz von Osquery vorbereitet. Der Quellcode steht auf Github unter einer BSD-ähnlichen Lizenz zum Download bereit. Dort finden sich auch eine Anleitung zum Kompilieren und einige Beispiele. Facebook erlaubt die Nutzung auch künftiger Patente des Unternehmens, die den Code von Osquery betreffen.