当前位置：首页 > news >正文

Linux安全监控新方案：Osquery-ATTCK关键查询包使用指南

news 2026/6/15 22:12:05

Linux安全监控新方案：Osquery-ATT&CK关键查询包使用指南

【免费下载链接】osquery-attckMapping the MITRE ATT&CK Matrix with Osquery项目地址: https://gitcode.com/gh_mirrors/os/osquery-attck

Osquery-ATT&CK是一个将MITRE ATT&CK矩阵与Osquery集成的开源项目，旨在为企业威胁狩猎提供强大的查询包支持。通过使用这些精心设计的查询配置文件，安全团队可以高效监控Linux系统中的潜在威胁活动，及时发现并响应安全事件。

什么是Osquery-ATT&CK？

Osquery-ATT&CK项目的核心目标是将MITRE ATT&CK框架与Osquery工具相结合，为企业环境中的威胁狩猎提供实用的查询包。每个配置文件都是一个可直接用于Osquery的查询包，帮助安全分析师监控系统活动并检测潜在的攻击行为。

该项目的设计理念是通过Osquery的强大查询能力，覆盖ATT&CK矩阵中的多个战术和技术，为安全团队提供全面的系统可见性。

Linux查询包详解

网络连接监控

linux_network_connections.conf是监控Linux系统网络活动的关键查询包。它能够检索系统的网络连接、监听端口，并检测可能的反向shell活动。这个查询包映射到ATT&CK中的多个技术，包括T1108（通过替代进程注入）、T1105（入口工具转移）和T1041（命令与控制通道）等。

进程监控

linux_running_processes.conf专注于获取系统中运行的进程列表，特别是那些具有命令行参数的进程。通过监控运行中的进程，安全团队可以及时发现异常或可疑的程序执行，对应ATT&CK中的T1059（命令执行）和T1082（系统信息发现）等技术。

计划任务监控

linux_local_job_scheduling.conf用于检索系统中的Cron任务，这是攻击者常用的持久性机制之一。该查询包对应ATT&CK中的T1168（本地作业调度）技术，帮助安全团队发现未经授权的计划任务。

命令执行监控

linux_command_execution.conf通过检查每个用户的shell历史记录，跟踪系统中的命令执行活动。这对于检测恶意命令和攻击者行为非常有用，对应ATT&CK中的T1059（命令执行）和T1064（脚本）等技术。

用户活动监控

linux_users_check.conf提供有关用户账户的关键信息，包括创建和删除的账户、当前登录用户以及最近登录的用户。这有助于检测未经授权的账户创建和可疑的登录活动，对应ATT&CK中的T1136（创建账户）和T1078（有效账户）技术。

系统信息收集

generic_linux.conf提供了一组通用查询，用于收集系统信息以支持SIEM（安全信息和事件管理）系统的异常检测。这些查询涵盖了多个ATT&CK技术，包括T1059（命令执行）和T1025（数据渗出重定向）等。

如何开始使用Osquery-ATT&CK查询包

要开始使用Osquery-ATT&CK项目中的Linux查询包，首先需要克隆项目仓库：

git clone https://gitcode.com/gh_mirrors/os/osquery-attck

然后，根据您的具体需求选择合适的查询包，并将其配置到您的Osquery环境中。每个查询包都是独立的.conf文件，可以根据您的环境需求进行调整。

使用建议

测试环境验证：在将查询包部署到生产环境之前，建议先在测试环境中进行验证和调优。
调整查询间隔：项目中的查询间隔尚未针对特定环境进行优化，您可能需要根据系统负载和监控需求调整查询频率。
集中日志管理：建议将查询结果发送到ELK、Splunk等集中式日志管理系统，以便进行事件关联和告警。
自定义查询：对于linux_relevant_folder_check.conf等需要环境特定配置的查询包，请根据您的环境需求调整WHERE子句。