Sysmon 설정

QRadar Sysmon 콘텐츠 확장 프로그램을 사용하려면 Windows 엔드포인트에 Sysmon을 설치한 다음 Windows 서버를 사용하여 QRadar로 Sysmon 이벤트를 전달하세요.

Sysmon 설치

Windows 엔드포인트에 Sysmon을 설치하십시오.
  1. https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon에서 Sysmon을 다운로드하십시오.
  2. .zip 파일을 추출하십시오.
  3. 사용자의 시스템에 해당하는 .exe 파일을 마우스 오른쪽 단추로 클릭한 후 관리자로 실행을 선택하십시오.
    • 32비트 시스템의 경우 Sysmon.exe를 선택하십시오.
    • 64비트 시스템의 경우 Sysmon64.exe를 선택하십시오.
  4. Sysmon을 구성하십시오. 협업 작업 중 하나를 Sysmon 구성의 기초로 사용할 수 있습니다 (예: this from SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config)).

로그 소스 작성

로그 소스를 설정하는 경우 다음과 같은 XPath 조회를 사용하십시오.


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Sysmon 배치

다음 예제에서는 시스템에 Sysmon을 배치하고 수집된 정보를 QRadar에 피드할 수 있는 방법을 제공합니다.
그림 1. 예제 1: Windows 이벤트 전달
Windows 이벤트 전달을 사용하여 Sysmon 배치를 표시하는 다이어그램입니다.
  1. 각각의 Windows 엔드포인트에 Sysmon을 설치 및 구성하십시오.
  2. WinCollect가 설치된 Windows 서버의 Sysmon을 위한 Windows 이벤트 콜렉터 서비스에서 전달된 이벤트에 대한 등록을 설정하십시오.
  3. 서버에서 Sysmon 컨텐츠 확장이 설치된 QRadar 시스템으로 전달된 이벤트의 정보를 공급하십시오.

이제 QRadar에 각 Windows 엔드포인트에 대한 로그 소스가 있습니다.

WinCollect 에이전트 설정에 대한 자세한 정보는 WinCollect 사용자 안내서 (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) 를 참조하십시오.

그림 2. 예제 2: Syslog 릴레이
syslog 릴레이를 사용하여 Sysmon을 배치하는 프로세스를 표시하는 이미지입니다.
  1. Windows 엔드포인트에 Sysmon 및 WinCollect 에이전트를 설치 및 구성하십시오.
  2. WinCollect 에이전트의 대상을 syslog 릴레이로 실행할 서버로 구성하십시오. syslog 릴레이에 대해 NXLog, Rsyslog 또는 다른 도구를 사용할 수 있습니다.
  3. Windows 서버에서 Sysmon 컨텐츠 확장이 설치된 QRadar 어플라이언스로 데이터를 릴레이합니다.

syslog 릴레이에 사용하는 구성에 따라 개별 로그 소스 또는 하나의 로그 소스로 이벤트가 들어옵니다. 모든 이벤트가 하나의 로그 소스로 들어오는 경우 로그에 있는 이벤트 이름에 대한 사용자 정의 이벤트 특성을 사용하여 엔드포인트를 구분할 수 있습니다.

WinCollect 에이전트 설정에 대한 자세한 정보는 WinCollect 사용자 안내서 (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) 를 참조하십시오.