Konfigurowanie systemu Sysmon

Aby użyć rozszerzenia QRadar ® Sysmon Content Extension, zainstaluj Sysmon w punktach końcowych Windows, a następnie przekaże zdarzenia Sysmon do QRadar za pomocą serwera Windows.

Zainstaluj Sysmon

Zainstaluj Sysmon w punktach końcowych Windows.
  1. Pobierz Sysmon z serwisu https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
  2. Wyodrębnij plik .zip .
  3. Kliknij prawym przyciskiem myszy plik .exe dla używanego systemu i wybierz opcję Uruchom jako administrator.
    • W przypadku systemu 32-bitowego należy wybrać opcję Sysmon.exe.
    • W przypadku systemu 64-bitowego należy wybrać opcję Sysmon64.exe.
  4. Skonfiguruj Sysmon. Użytkownik może chcieć użyć jednego z działań grupowych jako podstawy dla konfiguracji Sysmon, na przykład this one from SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Utwórz źródło dziennika

Podczas konfigurowania źródeł dzienników należy użyć następującego zapytania XPath:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Wdrażaj Sysmon

W poniższych przykładach przedstawiono sposoby wdrażania systemu Sysmon w systemach i dostarczanie informacji gromadzonych do systemu QRadar.
Rysunek 1. Przykład 1: Przekazywanie zdarzeń Windows
Diagram przedstawiający wdrażanie Sysmon przy użyciu modułu przekazującego zdarzenia Windows.
  1. Zainstaluj i skonfiguruj Sysmon na każdym z punktów końcowych systemu Windows.
  2. Skonfiguruj subskrypcję przekazywanych zdarzeń w usłudze kolektora zdarzeń systemu Windows dla Sysmon na serwerze Windows, na którym zainstalowany jest program WinCollect .
  3. Przekaz informacje w przekazanych zdarzeniach z serwera do systemu QRadar , w którym zainstalowano rozszerzenie treści Sysmon.

Dla każdego punktu końcowego Windows w QRadarźródło dziennika jest teraz dostępne.

Więcej informacji na temat konfigurowania agentów WinCollect znajduje się w publikacji Podręcznik użytkownika produktu WinCollect (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Rysunek 2. Przykład 2: Przekaźnik Syslog
Obraz, który wyświetla proces użycia przekaźnika syslog w celu wdrożenia Sysmon.
  1. Zainstaluj i skonfiguruj agenty Sysmon i WinCollect na punktach końcowych systemu Windows.
  2. Skonfiguruj miejsce docelowe dla agentów WinCollect na serwerze, który jest uruchamiany jako przekaźnik syslog. Dla przekaźnika syslog można użyć narzędzia NXLog, Rsyslog lub innego narzędzia.
  3. Przekazywanie danych z serwera Windows do urządzenia QRadar , na którym zainstalowano rozszerzenie treści Sysmon.

W zależności od konfiguracji, która jest używana w przekaźnika syslog, zdarzenia są dostępne jako osobne źródła dzienników lub jako 1 źródło dziennika. Jeśli wszystkie zdarzenia znajdują się w postaci 1 źródła dziennika, można odróżnić punkty końcowe za pomocą właściwości zdarzenia niestandardowego dla nazwy zdarzenia, która może zostać znaleziona w dzienniku.

Więcej informacji na temat konfigurowania agentów WinCollect znajduje się w publikacji Podręcznik użytkownika produktu WinCollect (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).