臉書(Facebook)於本周釋出了支援Windows 10的osquery安全工具。
osquery是一個基於SQL的偵測工具,可即時檢視企業基礎設施的狀態,臉書早在2014年便開源osquery,但當時只支援Linux與OS X。
osquery基本上是把作業系統當成一個關聯性資料庫, 把程序、網路連結、所載入的核心模組、硬體事件或瀏覽器外掛都以SQL表格呈現,以方便查詢。 例如臉書的安全團隊會利用osquery汲取臉書企業網路上所運作的所有瀏覽器擴充程式,再與威脅情報資料進行比對,以找出惡意的擴充程式並將它們移除。
臉書說明,此一積極的安全技術稱為「威脅捕捉」(threat hunting),可用來強化傳統的安全偵測功能,但並沒有太多業者提供。
由於osquery為一跨平台軟體,且能夠掃描企業基礎設施上的每一台電腦, 使得企業開發人員與安全團隊能夠即時監控低階功能並快速搜尋惡意行為及含有安全漏洞的應用,已是GitHub上最受歡迎的安全專案之一。支援Windows的osquery開發者套件內含文件、開發環境與一個script,安裝後即可開始編碼。