Sysmon einrichten

Um die QRadar Sysmon Content Extension zu verwenden, installieren Sie Sysmon auf Ihren Windows-Endpunkten und leiten dann die Sysmon-Ereignisse an QRadar weiter, indem Sie einen Windows-Server verwenden.

Sysmon installieren

Installieren Sie Sysmon auf Ihren Windows-Endpunkten.
  1. Laden Sie Sysmon von https://docs.microsoft.com/en-us/sysinternals/downloads/sysmonherunter.
  2. Extrahieren Sie die Datei .zip .
  3. Klicken Sie mit der rechten Maustaste auf die .exe-Datei für Ihr System und wählen Sie Als Administrator ausführen aus.
    • Wählen Sie für ein 32-Bit-System die Datei Sysmon.exe aus.
    • Wählen Sie für ein 64-Bit-System die Datei Sysmon64.exe aus.
  4. Konfigurieren Sie Sysmon. Sie können eine der gemeinsamen Bemühungen als Basis für Ihre Sysmon-Konfiguration verwenden, z. B. diese aus SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Protokollquelle erstellen

Verwenden Sie folgende XPath-Abfrage beim Einrichten Ihrer Protokollquellen:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Sysmon bereitstellen

Die folgenden Beispiele bieten Möglichkeiten, Sysmon auf Ihren Systemen zu implementieren und die erfassten Informationen in QRadarbereitzustellen.
Abb. 1. Beispiel 1: Windows-Ereignisweiterleitung
Ein Diagramm, das die Sysmon-Implementierung mithilfe der Windows-Ereignisweiterleitung zeigt.
  1. Installieren und konfigurieren Sie Sysmon auf jedem Ihrer Windows-Endpunkte.
  2. Richten Sie eine Subskription für weitergeleitete Ereignisse im Windows-Ereignissammlungsdienst für Sysmon auf einem Windows-Server ein, auf dem WinCollect installiert ist.
  3. Leiten Sie die Informationen in den weitergeleiteten Ereignissen vom Server an Ihr QRadar -System weiter, auf dem die Sysmon-Inhaltserweiterung installiert ist.

Sie haben jetzt eine Protokollquelle für jeden Windows-Endpunkt in QRadar.

Weitere Informationen zum Einrichten von WinCollect -Agenten finden Sie im WinCollect -Benutzerhandbuch (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Abbildung 2: Beispiel 2: Syslog-Relay
Ein Image, das den Prozess der Verwendung eines Syslog-Relays zum Implementieren von Sysmon anzeigt.
  1. Installieren und konfigurieren Sie Sysmon und WinCollect-Agenten auf Ihren Windows-Endpunkten.
  2. Konfigurieren Sie das Ziel der WinCollect-Agenten auf einem Server, den Sie als Syslog-Relay einsetzen. Sie können NXLog, Rsyslog oder ein anderes Tool als Syslog-Relay verwenden.
  3. Übertragen Sie die Daten vom Windows-Server an eine Appliance von QRadar , auf der die Inhaltserweiterung Sysmon installiert ist.

Abhängig von der Konfiguration, die Sie im Syslog-Relay verwenden, gehen Ereignisse als separate Protokollquellen oder als eine einzige Protokollquelle ein. Wenn alle Ereignisse als eine einzige Protokollquelle eingehen, können Sie die Endpunkte unterscheiden, indem Sie für den Ereignisnamen, der im Protokoll gefunden werden kann, eine benutzerdefinierte Ereigniseigenschaft verwenden.

Weitere Informationen zum Einrichten von WinCollect -Agenten finden Sie im WinCollect -Benutzerhandbuch (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).