Sysmon のセットアップ

QRadar Sysmon Content Extensionを使用するには、WindowsエンドポイントにSysmonをインストールし、Windowsサーバーを使用してSysmonイベントをQRadarに転送します。

Sysmon のインストール

Sysmon を Windows エンドポイントにインストールします。
  1. Sysmon を https://docs.microsoft.com/en-us/sysinternals/downloads/sysmonからダウンロードします。
  2. .zip ファイルを解凍します。
  3. ご使用のシステムに対応した .exe ファイルを右クリックし、「管理者として実行」を選択します。
    • 32 ビットのシステムでは、Sysmon.exe を選択します。
    • 64 ビットのシステムでは、Sysmon64.exe を選択します。
  4. Sysmon を構成します。 Sysmon 構成の基礎として、コラボレーションの取り組みの 1 つを使用することができます。例えば、 SwiftonSecurityからの取り組み (https://github.com/SwiftOnSecurity/sysmon-config) などです。

ログ・ソースの作成

ログ・ソースをセットアップする際、以下の XPath 照会を使用します。


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Sysmon のデプロイ

以下の例は、システムに Sysmon をデプロイし、収集した情報を QRadarにフィードする方法を示しています。
図 1. 例 1: Windows イベント転送
Windows イベント転送を使用した Sysmon デプロイメントを示す図。
  1. 各 Windows エンドポイントで Sysmon をインストールして構成します。
  2. WinCollect がインストールされている Windows サーバー上の Windows Event Collector Service for Sysmon で、転送されるイベントのサブスクリプションをセットアップします。
  3. 転送されたイベントの情報を、Sysmon コンテンツ拡張がインストールされている QRadar システムにサーバーからフィードします。

これで、 QRadarで Windows エンドポイントごとにログ・ソースが作成されました。

WinCollect エージェントのセットアップについて詳しくは、「 WinCollect ユーザー・ガイド 」(http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) を参照してください。

図 2. 例 2: Syslog リレー
syslog リレーを使用して Sysmon をデプロイするプロセスを表示するイメージ。
  1. Windows エンドポイントで Sysmon および WinCollect エージェントをインストールして構成します。
  2. syslog リレーとして実行しているサーバーへの WinCollect エージェントの宛先を構成します。 syslog リレーに NXLog、Rsyslog、またはその他のツールを使用できます。
  3. Windows サーバーから Sysmon コンテンツ拡張がインストールされている QRadar アプライアンスにデータをリレーします。

syslog リレーで使用している構成に応じて、イベントは、別々のログ・ソースまたは 1 つのログ・ソースとして到着します。 すべてのイベントが 1 つのログ・ソースとして到着する場合は、ログで見つかるイベント名のカスタム・イベント・プロパティーを使用して、エンドポイントを区別することができます。

WinCollect エージェントのセットアップについて詳しくは、「 WinCollect ユーザー・ガイド 」(http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) を参照してください。