Impostazione di Sysmon

Per utilizzare l'estensione dei contenuti di QRadar Sysmon, installare Sysmon sugli endpoint Windows e quindi inoltrare gli eventi Sysmon a QRadar utilizzando un server Windows.

Installa Sysmon

Installare Sysmon sugli endpoint Windows.
  1. Scaricare Sysmon da https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
  2. Estrarre il file .zip .
  3. Fare clic con il pulsante destro sul file .exe per il sistema e selezionare Esegui come amministratore.
    • Per un sistema a 32 bit, scegliere Sysmon.exe.
    • Per un sistema a 64 bit, scegliere Sysmon64.exe.
  4. Configurare Sysmon. Potresti voler utilizzare uno degli sforzi collaborativi come base per la tua configurazione di Sysmon, come questo da SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Crea un'origine log

Utilizzare la query XPath riportata di seguito quando si configurano le origini log:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Distribuisci Sysmon

I seguenti esempi forniscono i modi in cui è possibile distribuire Sysmon sui sistemi e fornire le informazioni raccolte in QRadar.
Figura 1. Esempio 1: inoltro di eventi Windows
Un diagramma che mostra la distribuzione di Sysmon utilizzando l'inoltro di eventi Windows.
  1. Installare e configurare Sysmon su ciascuno degli endpoint Windows.
  2. Impostare una sottoscrizione per gli eventi inoltrati in Windows Event Collector Service per Sysmon su un server Windows in cui è installato WinCollect .
  3. Immettere le informazioni negli eventi inoltrati dal server nel sistema QRadar in cui è installata l'estensione del contenuto Sysmon.

Ora si dispone di un'origine log per ogni endpoint Windows in QRadar.

Per ulteriori informazioni sull'impostazione degli agenti WinCollect , consultare il manuale WinCollect User Guide (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Figura 2. Esempio 2: relay Syslog
Un'immagine che mostra il processo di utilizzo di un relay syslog per distribuire Sysmon.
  1. Installare e configurare gli agent Sysmon e WinCollect sugli endpoint Windows.
  2. Configurare la destinazione degli agenti WinCollect su un server che si sta eseguendo come relay syslog. È possibile utilizzare NXLog, Rsyslog o un altro strumento per il proprio relay syslog.
  3. Inoltrare i dati dal server Windows a un dispositivo QRadar in cui è installata l'estensione del contenuto Sysmon.

A seconda della configurazione che si utilizza nel relay syslog, gli eventi vengono forniti come origini log separate o come 1 origine log. Se tutti gli eventi vengono forniti come 1 origine log, è possibile distinguere gli endpoint utilizzando una proprietà evento personalizzata per il nome evento che può essere trovato nel log.

Per ulteriori informazioni sull'impostazione degli agenti WinCollect , consultare il manuale WinCollect User Guide (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).