TODO os recursos arrecados serão doados para instituições e ações de caridade

Nessa versão fast track do treinamento demonstraremos o poder e a visibilidade de endpoint que a ferramenta osquery proporciona,  aproveitando também para dar uma rápida introdução a ferramentas auxiliares que ajudam no gerenciamento e alertas para melhor automação.

Com simples questionamentos como : "Você responderia rapidamente quais versões de software suas estações / servidores estão utilizando? E quais portas estão em escuta? Você possui algum plugin de browser vulnerável ? Ou Últimos usuários ou softwares recentemente adicionados a máquina? Pensando neste ponto cego existente na grande maioria das organizações, vamos apresentar o projeto OSQuery criado pelo facebook, e sua integração com a Elastic Stack, aumentando assim a visibilidade dos seus dispositivos, ajudando assim seus analistas terem respostas quase imediatas sobre qualquer pergunta relacionada aos dispositivos bem como dashboards e alertas para um monitoramento proativo."

Para resumir, o OSQuery permite realizar consultas(queries) no seu sistema operacional e de tudo que tem nele (softwares, registros, configurações, patches, portas em escuta, processos rodando entre diversas outras coisas). Os resultados aparecem divididos em tabelas tal qual ocorre nos bancos de dados SQL. A enorme gama de consultas e as combinações de queries com join, sort, etc... permitem obter informações detalhadas de cada endpoint, quase que instantaneamente. O que é perfeito para threat hunting em endpoints.

O osquery é um software open source, criado e mantido por engenheiros do Facebook. Um dos pontos interessantes é que ele é multiplataforma com suporte para Windows, Mac, Linux e FreeBSD.

Abordaremos de forma prática:

1. osquery interativo e daemon
2. queries
3. distributed queries
4. schedule / packs
5. FIM (file integrity monitoring)
6. Process & Socket Events
7. Gerenciamento centralizado com Kolide fleet

Além disso teremos laboratórios e cenários de caso de uso.

O curso será gravado e disponibilizado para os participantes que não puderem acompanhar a aula ao vivo.

 Mais informações sobre os projetos:

https://www.osquery.io 

https://www.kolide.com/fleet/

Happy Detection!