Configuración de Sysmon

Para utilizar la extensión de contenido QRadar Sysmon, instale Sysmon en sus terminales Windows y reenvíe los eventos Sysmon a QRadar utilizando un servidor Windows.

Instalar Sysmon

Instale Sysmon en sus puntos finales de Windows.
  1. Descargue Sysmon desde https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
  2. Extraiga el archivo .zip .
  3. Pulse con el botón derecho el archivo .exe de su sistema y seleccione Ejecutar como administrador.
    • Para un sistema de 32 bits, seleccione Sysmon.exe.
    • Para un sistema de 64 bits, elija Sysmon64.exe.
  4. Configure Sysmon. Es posible que desee utilizar uno de los esfuerzos de colaboración como base para la configuración de Sysmon, como por ejemplo éste de SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Crear un origen de registro

Utilice la siguiente consulta XPath cuando configure sus orígenes de registro:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Desplegar Sysmon

Los ejemplos siguientes proporcionan formas en las que puede desplegar Sysmon en los sistemas y alimentar la información recopilada en QRadar.
Figura 1. Ejemplo 1: Reenvío de sucesos de Windows
Un diagrama que muestra el despliegue de Sysmon utilizando el reenvío de sucesos de Windows.
  1. Instale y configure Sysmon en cada uno de sus puntos finales de Windows.
  2. Configure una suscripción para sucesos reenviados en el servicio de recopilación de sucesos de Windows para Sysmon en un servidor Windows done esté instalado WinCollect.
  3. Proporcione la información en los sucesos reenviados desde el servidor al sistema QRadar donde está instalada la extensión de contenido de Sysmon.

Ahora tiene un origen de registro para cada punto final de Windows en QRadar.

Para obtener más información sobre cómo configurar agentes de WinCollect , consulte la publicación WinCollect Guía del usuario (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Figura 2. Ejemplo 2: Relé de syslog
Imagen que muestra el proceso de utilizar un relé de syslog para desplegar Sysmon.
  1. Instale y configure los agentes de WinCollect en sus puntos finales de Windows.
  2. Configure el destino de los agentes de WinCollect en un servidor que esté ejecutando como un relé de syslog. Puede utilizar NXLog, Rsyslog o cualquier otra herramienta para su relé de syslog.
  3. Retransmita los datos del servidor Windows a un dispositivo QRadar donde está instalada la extensión de contenido Sysmon.

En función de la configuración que utilice en el relé de syslog, los sucesos se envían como orígenes de registro separados o como 1 origen de registro. Si todos los sucesos se reciben como 1 origen de registro, puede distinguir los puntos finales utilizando una propiedad de suceso personalizado para el nombre de suceso que se puede encontrar en el registro.

Para obtener más información sobre cómo configurar agentes de WinCollect , consulte la publicación WinCollect Guía del usuario (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).