Отвечу сразу на все вопросы одним ответом. С fleet&osquery нет так таковых best-practices, это всё индивидуально, в рамках функциональных требований. Главное: - иметь метрики osquery на запускаемых инстансах - иметь метрики каналов связи на запускаемых инфраструктурах - оперативно отслеживать запланированные запросы, которые попали в бан, что бы иметь возможность упростить запросы или увеличить пределы потребления ресурсов osquery - учитывать ошибки коллег, данная статья тому пример
Добрый день: - osctrl - давно наблюдаем, есть сильные стороны(то что во Fleet платно, то тут бесплатно), но до тестов так и не дошло, считаем этот проект пока сырым - kolide - платный, не пробовали - zentral - 2 года назад были бесплтными, теперь платные, не успели попробовать - zercurity - тоже когда то были бесплатными, сейчас поглащены JumpCloud, тоже не успели попробовать
Почему выбрали osquery? - opensource - мульти-платформенный - отлично работает в паре с Fleet - выполняет обе функции: сбор событий + транспорт событий - большое количество таблиц/источников событий
Чем собираетесь аналогичную информацию на других операционных системах(Windows, Linux)? Возможно не понял вопроса, но osquery мульти-платформенный, мы его эксплуатируем на win/lin/mac
Отвечу сразу на все вопросы одним ответом.
С fleet&osquery нет так таковых best-practices, это всё индивидуально, в рамках функциональных требований.
Главное:
- иметь метрики osquery на запускаемых инстансах
- иметь метрики каналов связи на запускаемых инфраструктурах
- оперативно отслеживать запланированные запросы, которые попали в бан, что бы иметь возможность упростить запросы или увеличить пределы потребления ресурсов osquery
- учитывать ошибки коллег, данная статья тому пример
Добрый день:
- osctrl - давно наблюдаем, есть сильные стороны(то что во Fleet платно, то тут бесплатно), но до тестов так и не дошло, считаем этот проект пока сырым
- kolide - платный, не пробовали
- zentral - 2 года назад были бесплтными, теперь платные, не успели попробовать
- zercurity - тоже когда то были бесплатными, сейчас поглащены JumpCloud, тоже не успели попробовать
Добрый день, спасибо за обратную связь.
Почему выбрали osquery?
- opensource
- мульти-платформенный
- отлично работает в паре с Fleet
- выполняет обе функции: сбор событий + транспорт событий
- большое количество таблиц/источников событий
osquery не интернирован с ELK?
https://www.elastic.co/docs/reference/integrations/osquery
Чем собираетесь аналогичную информацию на других операционных системах(Windows, Linux)?
Возможно не понял вопроса, но osquery мульти-платформенный, мы его эксплуатируем на win/lin/mac