EN Contattaci

osquery: telemetria endpoint via SQL

osquery (ottobre 2014), open source da Facebook: endpoint telemetry via SQL su tabelle virtuali (processes, users, file_events, listening_ports). Apache 2.0, Linux Foundation dal 2019. Fleet per gestione parco macchine.

Cyber SecurityOpen Source
Cyber SecurityOpen Source osqueryEDREndpoint TelemetryFacebookCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

“Il sistema operativo è un database”

Nel 2014 Mike Arpaia e Teddy Reed, nel team Security Infrastructure di Facebook, rilasciano osquery: uno strumento che espone lo stato del sistema operativo come database SQL. Tabelle virtuali rappresentano processi, utenti, connessioni di rete, file system, configurazioni kernel, pacchetti installati.

Una query come:

SELECT pid, name, path FROM processes WHERE on_disk = 0;

restituisce i processi in esecuzione la cui immagine su disco non esiste più (classico indicatore di malware in memoria).

L’open-source release avviene il 29 ottobre 2014 sotto licenza Apache 2.0 (originariamente era stata rilasciata con BSD-3; il progetto è poi passato ad Apache 2.0). osquery supporta Linux, macOS, Windows, FreeBSD.

Dal team Facebook alla Linux Foundation

Nel 2019 Facebook cede la governance di osquery alla Linux Foundation nell’ambito di Linux Foundation Projects, con steering committee aperto e maintainer distribuiti. Questo passaggio rimuove il rischio di dipendenza da un singolo vendor.

Architettura

Due componenti principali:

  • osqueryi — REPL interattivo per query ad hoc
  • osqueryd — daemon che schedula query su pack definiti (query periodiche, es. ogni 60s) ed emette risultati in log JSON

I log possono essere inviati a file locale, syslog, TLS endpoint, Kafka, Kinesis, AWS Firehose tramite plugin di logger.

Tabelle rilevanti per sicurezza

  • processes, process_events — auditing processi
  • users, logged_in_users, last — gestione utenti e sessioni
  • file_events, yara_events — integrity monitoring con YARA integrato
  • listening_ports, process_open_sockets — network posture
  • crontab, launchd, systemd_units — persistenza
  • kernel_modules, kernel_extensions — rootkit detection
  • osquery_info, osquery_extensions — self-monitoring

Query pack e ATT&CK

I query pack sono raccolte di query correlate a uno scopo (compliance CIS, detection ATT&CK, vulnerability management). Pack pubblici di riferimento: Facebook Threat Hunting, Palantir osquery-configuration, BSidesLV pack.

Gestione di fleet

Per parchi macchine oltre la decina, osquery richiede un controller:

  • Kolide Fleet (poi Fleet di Fleet DM) — open source, dashboard per query su migliaia di endpoint
  • osctrl, Doorman, Zentral — alternative open
  • Uptycs, Kolide K2 — commerciali su base osquery

Integrazione con SIEM e SOAR

osquery si integra naturalmente con SIEM (Elastic Agent include un osquery beats, Splunk ha TA-osquery, Sentinel riceve log via TLS logger) e con playbook SOAR (hunt di un IoC su tutto il parco macchine in pochi secondi).

Nel contesto italiano

osquery è utilizzato in:

  • Aziende con parco IT eterogeneo — Linux/macOS/Windows unificati via SQL
  • DevSecOps — compliance automation, drift detection
  • Blue team universitari — didattica threat hunting
  • MSSP — EDR-lite su endpoint senza budget per agent commerciali

La semplicità del modello SQL, la cross-platform e la governance neutrale lo rendono uno strumento stabile nelle strategie di endpoint visibility open source.

Riferimenti: osquery, open source release 29 ottobre 2014 da Facebook (Mike Arpaia, Teddy Reed). Licenza Apache 2.0. Governance ceduta a Linux Foundation nel 2019. Supporto Linux, macOS, Windows, FreeBSD. Fleet (Fleet DM) come controller open. Sito: https://osquery.io.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi