EN Contattaci

osquery: telemetria endpoint via SQL

osquery (ottobre 2014), Open Source da Facebook: endpoint telemetry via SQL su tabelle virtuali (processes, users, file_events, listening_ports). Apache 2.0. Fleet per gestione parco macchine.

CybersecurityOpen Source
CybersecurityOpen Source osqueryEDREndpoint TelemetryFacebookCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

“Il sistema operativo è un database”

Nel 2014 Mike Arpaia e Teddy Reed, nel team Security Infrastructure di Facebook, rilasciano osquery: uno strumento che espone lo stato del sistema operativo come database SQL. Tabelle virtuali rappresentano processi, utenti, connessioni di rete, file system, configurazioni kernel, pacchetti installati.

Una query come:

SELECT pid, name, path FROM processes WHERE on_disk = 0;

restituisce i processi in esecuzione la cui immagine su disco non esiste più (classico indicatore di malware in memoria).

L’open-source release avviene il 29 ottobre 2014 sotto licenza Apache 2.0 (originariamente era stata rilasciata con BSD-3; il progetto è poi passato ad Apache 2.0). osquery supporta Linux, macOS, Windows, FreeBSD.

Architettura

Due componenti principali:

  • osqueryi — REPL interattivo per query ad hoc
  • osqueryd — daemon che schedula query su pack definiti (query periodiche, es. ogni 60s) ed emette risultati in log JSON

I log possono essere inviati a file locale, syslog, TLS endpoint, Kafka, Kinesis, AWS Firehose tramite plugin di logger.

Tabelle rilevanti per sicurezza

  • processes, process_events — auditing processi
  • users, logged_in_users, last — gestione utenti e sessioni
  • file_events, yara_events — integrity monitoring con YARA integrato
  • listening_ports, process_open_sockets — network posture
  • crontab, launchd, systemd_units — persistenza
  • kernel_modules, kernel_extensions — rootkit detection
  • osquery_info, osquery_extensions — self-monitoring

Query pack e ATT&CK

I query pack sono raccolte di query correlate a uno scopo (compliance CIS, detection ATT&CK, vulnerability management). Pack pubblici di riferimento: Facebook Threat Hunting, Palantir osquery-configuration, BSidesLV pack.

Gestione di fleet

Per parchi macchine oltre la decina, osquery richiede un controller:

  • Kolide Fleet (poi Fleet di Fleet DM) — Open Source, dashboard per query su migliaia di endpoint
  • osctrl, Doorman, Zentral — alternative open
  • Uptycs, Kolide K2 — commerciali su base osquery

Integrazione con SIEM e SOAR

osquery si integra naturalmente con SIEM (Elastic Agent include un osquery beats, Splunk ha TA-osquery, Sentinel riceve log via TLS logger) e con playbook SOAR (hunt di un IoC su tutto il parco macchine in pochi secondi).

Nel contesto italiano

osquery è utilizzato in:

  • Aziende con parco IT eterogeneo — Linux/macOS/Windows unificati via SQL
  • DevSecOps — compliance automation, drift detection
  • Blue team universitari — didattica threat hunting
  • MSSP — EDR-lite su endpoint senza budget per agent commerciali

La semplicità del modello SQL e il supporto cross-platform lo rendono uno strumento promettente nelle strategie di endpoint visibility Open Source.

Riferimenti: osquery, Open Source release 29 ottobre 2014 da Facebook (Mike Arpaia, Teddy Reed). Licenza Apache 2.0. Supporto Linux, macOS, Windows, FreeBSD. Fleet (Fleet DM) come controller open. Sito: https://osquery.io.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi