library(airfleet)
flt_con <- flt_connection(host = Sys.getenv("FLEET_HOST"),
apitoken = Sys.getenv("FLEET_TOKEN"))Пакет AiRfleet
R
threat hunting
fleet
osquery
everything-as-table
Мониторинг, анализ и threat hunting c помощью Fleet и R — анализ данных на максималках
Программный пакет взаимодействия с системой сбора нормализованных логов (с помощью osquery) и централизованного управления Fleet для языка R
https://github.com/i2z1/airfleet
Идея
Используя возможности osquery для нормализвции информации о хостах, а также способность Fleet централизованно управлять сбором этой информации с хостов, реализовать программный пакет для R, который позволит анализировать собранную информацию с точки зрения поиска угроз информационной безопасности.
Пример
- Создадим подключение к Fleet:
- Получим список зарегистрированных хостов
hosts_df <- get_hosts(flt_con)- Для создания osquery-запроса к хостам:
query_create(flt_con, name = "users_qry", query = "SELECT * from users;")- Просмотреть зарегистрированные запросы:
queries_df = query_list(flt_con)Документация
Для пакета при помощи системы pkgdown сгенерирован сайт с документацией