Configurando um Sysmon

Para usar a QRadar extensão de conteúdo do Sysmon, instale o Sysmon em seus endpoints do Windows e encaminhe os eventos do Sysmon para o QRadar usando um servidor do Windows.

Instale o Sysmon

Instale o Sysmon em seus terminais do Windows.
  1. Faça o download do Sysmon do https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
  2. Extraia o arquivo .zip.
  3. Clique com o botão direito no arquivo .exe para seu sistema e selecione Executar como Administrador.
    • Para um sistema de 32 bits, escolha Sysmon.exe.
    • Para um sistema de 64 bits, escolha Sysmon64.exe.
  4. Configure o Sysmon. Você pode querer usar um dos esforços colaborativos como base para a configuração do seu Sysmon, como esta da SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config).

Criar uma origem de log

Use a consulta XPath a seguir ao configurar suas origens de log:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Implemente o Sysmon

Os exemplos a seguir fornecem maneiras de implementar o Sysmon em seus sistemas e alimentar as informações coletadas no QRadar.
Figura 1. Exemplo 1: Encaminhamento de Eventos do Windows
Um diagrama que mostra a implementação do Sysmon usando o Forwarding de Eventos do Windows.
  1. Instale e configure o Sysmon em cada um de seus terminais do Windows.
  2. Configure uma assinatura para os eventos encaminhados no Windows Event Collector Service for Sysmon em um servidor Windows no qual o WinCollect está instalado.
  3. Alimente as informações nos eventos encaminhados do servidor em seu sistema QRadar no qual a extensão de conteúdo do Sysmon está instalada

Agora você tem uma origem de log para cada terminal do Windows no QRadar

Para obter mais informações sobre como configurar os agentes WinCollect , consulte o Guia do UsuárioWinCollect (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).

Figura 2 Exemplo 2: retransmissão de Syslog
Uma imagem que exibe o processo de utilização de um relé de syslog para implementar o Sysmon.
  1. Instale e configure os agentes Sysmon e WinCollect em seus terminais do Windows.
  2. Configure o destino dos agentes WinCollect para um servidor que você esteja executando como uma retransmissão de syslog. Agora é possível usar NXLog, Rsyslog ou outra ferramenta para sua retransmissão de syslog.
  3. Retransmitir os dados do servidor Windows para um dispositivo QRadar no qual a extensão de conteúdo Sysmon está instalada.

Dependendo da configuração usada na retransmissão de syslog, os eventos vêm em origens de log separadas ou como a origem de log 1. Se todos os eventos vierem como a origem de log 1, é possível distinguir os terminais usando uma propriedade de evento customizado para o nome do evento que pode ser encontrado no log.

Para obter mais informações sobre como configurar os agentes WinCollect , consulte o Guia do UsuárioWinCollect (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf).