osquery是一个基于SQL的检测工具,可以实时检查企业基础设施的状态。Facebook早在2014年就开源了osquery,但当时只支持Linux和OSX,现在正式支持Windows10。osquery基本上把操作系统看成一个关系型数据库,将程序、网络连接、加载的核心模块、硬件事件或浏览器插件等都呈现在SQL表中,方便查询。例如,Facebook的安全团队会使用osquery来提取在Facebook的企业网络上运行的所有浏览器扩展,然后将它们与威胁情报数据进行比较,以发现恶意扩展并将其删除。Facebook解释说,这种激进的安全技术称为威胁搜寻,可用于增强传统的安全检测。osquery是一款跨平台软件,可以扫描企业基础设施上的每一台计算机,让企业开发人员和安全团队实时监控底层功能,快速搜索恶意行为和存在安全漏洞的应用程序。它是目前GitHub*上最好的安全项目之一。适用于Windows的osquery开发人员工具包包括文档、开发环境和安装后开始编码的脚本。
