Facebook gir bort internt overvåkingsverktøy
Egenutviklet verktøy for å sjekke operativsystemer for ytelse og sikkerhetsbrudd.
Facebook har sluppet et internutviklet overvåkingsverktøy som åpen kildekode. Verktøyet «Osquery» overvåker i sann tid store serverinfrastrukturer for tilstandsendringer, noe som kan bety sikkerhetsbrudd eller ytelsesproblemer i infrastrukturen. Verktøyet er lagd for OSX og Linux.
Verktøyet eksponerer operativsystemet som en høyytelse database. Det gjør det mulig å kjøre SQL-baserte spørringer på egenskaper i serverne på en enkel og effektiv måte. Ved hjelp av dette verktøyet får du SQL-tabeller som representerer den gjeldende tilstanden til operativsystemet og tilhørende attributter. Dermed får du enkel tilgang til informasjon som: Kjørende prosesser, lastete kjernemoduler og åpne nettverksforbindelser.
SQL-tabellene er implementert via en enkel API, med mange eksisterende tabeller på plass, og flere nye under utvikling.
Et enkelt eksempel på bruken av Osquery kan være følgende SQL-spørring:
SELECT name, path, pid FROM processes WHERE on_disk = 0;
Resultatet av denne spørringen er en liste over alle kjørende prosesser, der den opprinnelige binærfilen som startet opp prosessen ikke lenger finnes i filsystemet. Det er en utbredt taktikk blant datakriminelle å slette for deretter erstatte slike filer, slik at et system som ikke er kompromittert skal gi en tom liste som svar på denne spørringen.
Du finner mer informasjon om Osquery på Facebooks utviklerblogg. Selve koden og dokumentasjonen er også tilgjengelig på Github.
