Windows エンドポイントの構成

IBM Security QRadar Endpoint Content Extension で使用する Windows エンドポイントを設定します。

1. Windows エンドポイントに Sysmon をインストールして構成します。
   1. Sysmon を https://docs.microsoft.com/en-us/sysinternals/downloads/sysmonからダウンロードします。
   2. .zip ファイルを解凍します。
   3. Sysmon 構成を SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config) から、Sysmon のダウンロード先と同じディレクトリーにダウンロードします。
   4. モニターしないプロセスを除外するために、構成内の Sysmon イベント ID 1 を調整します。
   5. モニター対象のイメージ (.dll) を組み込むために、構成内の Sysmon イベント ID 7 をチューニングします。
      イメージをモニターすると、高いシステム負荷が発生する可能性があります。
   6. 構成の Sysmon イベント ID 12、13、および 14 を調整し、レジストリー・イベントに関する以下のルールを追加して、共通 UAC バイパス・レジストリー・キーを含めます。

      <!-- Registry Events for UAC Bypass Rules -->
      <RegistryEvent onmatch="include">
      	<TargetObject condition="contains">\Environment\</TargetObject> 	<!-- Watch for any changes to user or system environment variables -->
      	<TargetObject condition="contains">\CurVer</TargetObject> 		<!-- CurVer variable, uses handlers from the specified progid -->
      	<TargetObject condition="contains">\URL Protocol</TargetObject> 	<!-- Url Protocol variable, creates an association with another progid, whose handlers can be used -->
      	<TargetObject condition="contains">\ICM\Calibration</TargetObject> 	<!-- Display Calibration Registry Key, used with IColorDataProxy auto elevated interface -->
      </RegistryEvent>
      

   7. 構成を指定して、Sysmon をインストールします。
      • 32 ビットのシステムでは、Sysmon をダウンロードしたディレクトリーに移動し、以下のコマンドを入力します。

        sysmon.exe -accepteula -i sysmonconfig-export.xml

      • 64 ビットのシステムでは、Sysmon をダウンロードしたディレクトリーに移動し、以下のコマンドを入力します。

        sysmon64.exe -accepteula -i sysmonconfig-export.xml

2. Local Security Policy で監査プロセス追跡を有効にします。
3. Script Block Logging で Powershell 監査を有効にします。