米Facebook、攻撃/侵入検出ツール「Osquery」のWindows版を発表
米Facebookは9月27日、SQLベースの攻撃/侵入検出ツール「Osquery for Windows」を発表した。Windows向けのOsquery開発キットとなり、セキュリティ担当者はこれを利用してWindowsネットワーク向けにカスタマイズしたOsqueryソリューションを構築できる。
OsqueryはFacebookが2014年にオープンソースとして公開したSQLベースの攻撃/侵入検出ツール。OSのプロセスをリレーショナルデータベースのように表現し、クエリを使って侵入などの悪意ある活動がないかを検出できる。リアルタイムで企業インフラの状態についての洞察を得られるとしている。
読み込まれたカーネルモジュール、オープンなネットワーク接続、ブラウザプラグイン、ファイルハッシュなどのプロセス実行を抽象化したコンセプトしたテーブルとして表現し、SQLクエリでこれらに対する調査を実行できる。Facebook社内でも利用しており、Osqueryを利用して企業ネットワーク上で動いている全てのブラウザプラグインについてのデータを取得しているという。このデータを脅威インテリジェンスのデータと比較して、迅速に悪意ある拡張を特定して削除していると報告している。
当初はLinuxとMac OS Xに対応していたが、今回のWindows版はOsqueryのコミュニティの拡大を受けてのもの。開発キットには開発環境に加えてすぐにスタートできるスクリプト、ドキュメンテーションが含まれる。ビルドをインストールすると、すぐにコードを作成できるという。
OsqueryはプロジェクトのWebページより入手できる。
Osquery
https://osquery.io/