Habilidades forensics-osquery
🔍

forensics-osquery

Seguro ⚙️ Comandos externos📁 Acceso al sistema de archivos🌐 Acceso a red

Enquêter sur les incidents de sécurité avec les analyses médico-légales SQL osquery

Cette compétence fournit une analyse médico-légale alimentée par SQL utilisant osquery pour interroger les systèmes d'exploitation comme des bases de données. Utilisez-la pour collecter des preuves médico-légales, chasser les menaces et répondre aux incidents sur les points de terminaison Linux, macOS et Windows.

Soporta: Claude Codex Code(CC)
🥉 76 Bronce
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "forensics-osquery". Montrez-moi les processus avec des connexions réseau externes

Resultado esperado:

  • Processus: nginx, PID: 1234, Distant: 203.0.113.50:443
  • Processus: chrome, PID: 5678, Distant: 198.51.100.20:443

Usando "forensics-osquery". Trouvez les modifications récentes de fichiers dans les répertoires système

Resultado esperado:

  • Fichier: /etc/passwd, Modifié: il y a 2 heures
  • Fichier: /usr/bin/suspicious Binary, Modifié: il y a 30 minutes

Usando "forensics-osquery". Vérifiez les tâches planifiées suspectes

Resultado esperado:

  • Tâche: UpdateService, Action: powershell -enc <obfusqué>

Auditoría de seguridad

Seguro
v5 • 1/16/2026

All 810 static findings are FALSE POSITIVES. This is a legitimate DFIR (Digital Forensics and Incident Response) skill using osquery SQL queries to detect malicious activity. The scanner detected detection queries for credential access, PowerShell commands, and suspicious processes - but these are intentionally designed to identify indicators of compromise, not perform malicious actions. Skill includes MITRE ATT&CK mapping and forensic packs for incident response.

11
Archivos escaneados
3,116
Líneas analizadas
3
hallazgos
5
Auditorías totales

Factores de riesgo

⚙️ Comandos externos (2)
assets/forensic-packs/credential-access.conf:91-95 SKILL.md:340
📁 Acceso al sistema de archivos (2)
assets/forensic-packs/credential-access.conf:86 assets/forensic-packs/lateral-movement.conf:54-60
🌐 Acceso a red (2)
assets/forensic-packs/ir-triage.conf:39-44 assets/osquery.conf:53-58
Auditado por: claude Ver historial de auditorías →

Puntuación de calidad

59
Arquitectura
100
Mantenibilidad
85
Contenido
21
Comunidad
100
Seguridad
100
Cumplimiento de la especificación

Lo que puedes crear

Tri de réponse aux incidents

Collecter rapidement l'état du système lors des incidents de sécurité, y compris les processus, les connexions et l'activité utilisateur.

Chasser les techniques d'attaque

Exécuter des requêtes mappées MITRE ATT&CK pour détecter les techniques adverses sur les points de terminaison.

Requêtes de visibilité des points de terminaison

Interroger des parcs de systèmes pour les indicateurs de compromission (IOC) à l'aide d'osquery basé sur SQL.

Prueba estos prompts

Requête de processus de base 
Montrez-moi tous les processus en cours avec des exécutables supprimés utilisant osquery
Analyse réseau 
Trouvez les processus écoutant sur les interfaces réseau externes avec leurs lignes de commande complètes
Chasse à la persistance 
Interrogez tous les mécanismes de persistance, y compris les travaux cron, les services systemd et les clés de registre Run
Accès aux identifiants 
Détecter les processus accédant à /etc/shadow, la base de données SAM ou les fichiers d'identifiants du navigateur

Mejores prácticas

  • Testez les requêtes dans un environnement de laboratoire avant de les exécuter sur des systèmes de production
  • Utilisez des clauses WHERE pour limiter la portée des requêtes et réduire l'impact sur les performances
  • Exportez les résultats des requêtes pour la préservation des preuves au format JSON ou CSV

Evitar

  • Ne pas exécuter de requêtes non limitées sur des systèmes de production sans filtrage
  • Ne pas modifier les systèmes pendant les analyses médico-légales live - utiliser des requêtes en lecture seule
  • Ne pas compter uniquement sur osquery pour les alertes en temps réel sans osqueryd

Preguntas frecuentes

Qu'est-ce qu'osquery ?
Osquery est un framework open source qui expose les informations du système d'exploitation sous forme de tables SQL interrogeables pour la visibilité des points de terminaison.
Cette compétence effectue-t-elle des analyses médico-légales live ?
Il collecte des données médico-légales par des requêtes mais ne réalise pas d'acquisition de mémoire live ou d'imagerie de disque.
Quelles plateformes sont prises en charge ?
Les points de terminaison Linux, macOS et Windows sont pris en charge avec des requêtes spécifiques à chaque plateforme.
Ai-je besoin de permissions spéciales ?
Des privilèges de root ou d'administrateur sont nécessaires pour les modules du noyau, la mémoire des processus et les tables sensibles.
En quoi est-ce différent de l'EDR ?
Osquery fournit des requêtes SQL ad hoc pour l'enquête ; l'EDR fournit une surveillance continue avec des alertes.
Quelles techniques MITRE ATT&CK peuvent être détectées ?
La couverture inclut les techniques d'accès initial, d'exécution, de persistance, d'escalade de privilèges, d'accès aux identifiants, de découverte, de mouvement latéral et de collection.

Detalles del desarrollador

Licencia

MIT

Repositorio

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/incident-response/forensics-osquery

Ref.

main

Estructura de archivos

📁 assets/

📁 forensic-packs/

📄 credential-access.conf

📄 ir-triage.conf

📄 lateral-movement.conf

📄 persistence-hunt.conf

📄 osquery.conf

📁 references/

📄 mitre-attack-queries.md

📄 osqueryd-deployment.md

📄 platform-differences.md

📄 table-guide.md

📄 SKILL.md