Osquery

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.