Configuration de Sysmon

Pour utiliser l'extension de contenu QRadar Sysmon, installez Sysmon sur vos terminaux Windows, puis transmettez les événements Sysmon à QRadar à l'aide d'un serveur Windows.

Installer Sysmon

Installez Sysmon sur vos noeuds finaux Windows.
  1. Téléchargez Sysmon à partir de https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
  2. Extrayez le fichier .zip .
  3. Cliquez avec le bouton droit de la souris sur le fichier .exe correspondant à votre système et sélectionnez Exécuter en tant qu'administrateur.
    • Pour un système 32 bits, choisissez Sysmon.exe.
    • Pour un système 64 bits, choisissez Sysmon64.exe.
  4. Configurez Sysmon. Vous souhaiterez peut-être utiliser l'un des efforts collaboratifs comme base de votre configuration Sysmon, par exemple celui-ci provenant de SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Créer une source de journal

Utilisez la requête XPath suivante lorsque vous configurez vos sources de journal:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Déployer Sysmon

Les exemples suivants vous permettent de déployer Sysmon sur vos systèmes et de fournir les informations collectées dans QRadar.
Figure 1 : Exemple 1: Transmission d'événements Windows
Diagramme illustrant le déploiement de Sysmon à l'aide de Windows Event Forwarding.
  1. Installez et configurez Sysmon sur chacun de vos noeuds finaux Windows.
  2. Configurez un abonnement pour les événements transférés dans le service Windows Event Collector pour Sysmon sur un serveur Windows sur lequel WinCollect est installé.
  3. Transmettez les informations des événements transférés du serveur à votre système QRadar sur lequel l'extension de contenu Sysmon est installée.

Vous disposez maintenant d'une source de journal pour chaque noeud final Windows dans QRadar.

Pour plus d'informations sur la configuration des agents WinCollect , voir le manuel WinCollect -Guide d'utilisation (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Figure 2. Exemple 2: relais Syslog
Image qui affiche le processus d'utilisation d'un relais syslog pour déployer Sysmon.
  1. Installez et configurez les agents Sysmon et WinCollect sur vos noeuds finaux Windows.
  2. Configurez la destination des agents WinCollect sur un serveur que vous exécutez en tant que relais syslog. Vous pouvez utiliser NXLog, Rsyslog ou un autre outil pour votre relais syslog.
  3. Relayer les données du serveur Windows vers un dispositif QRadar sur lequel l'extension de contenu Sysmon est installée.

En fonction de la configuration que vous utilisez au niveau du relais syslog, les événements sont fournis en tant que sources de journal distinctes ou en tant que source de journal 1. Si tous les événements proviennent d'une source de journal, vous pouvez distinguer les noeuds finaux en utilisant une propriété d'événement personnalisée pour le nom d'événement qui se trouve dans le journal.

Pour plus d'informations sur la configuration des agents WinCollect , voir le manuel WinCollect -Guide d'utilisation (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).