Sysmon Ayarı

QRadar ® Sysmin Content Extension olanağını kullanmak için, Windows uç noktalarınıza Sysmin 'i kurun ve sonra Sysmoon olaylarını bir Windows sunucusu kullanarak QRadar ' a iletin.

Sysmon Kur

Sysmon 'u Windows uç noktalarınıza kurun.
  1. Sysmon 'ı https://docs.microsoft.com/en-us/sysinternals/downloads/sysmonolanağından yükleyin.
  2. .zip dosyasını açın.
  3. Sisteminize ilişkin .exe dosyasını farenin sağ düğmesiyle tıklatın ve Yönetici olarak çalıştırseçeneğini belirleyin.
    • 32 bit sistem için Sysmon.exeseçeneğini belirleyin.
    • 64 bit sistem için Sysmon64.exeseçeneğini belirleyin.
  4. Sysmon 'u yapılandırın. İşbirliğine yönelik çalışmalardan birini, Sysdon yapılanışınız için temel olarak kullanmak isteyebilirsiniz; örneğin, SwiftonSecurity' tan (https://github.com/SwiftOnSecurity/sysmon-config).

Günlük kaynağı yarat

Günlük kaynaklarınızı ayarladığınızda aşağıdaki XPath sorgularını kullanın:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

Sysmon 'ı Konuşlandır

Aşağıdaki örneklerde, sistemlerinizde Sysmin 'i konuşlandırabileceğiniz ve QRadarolarak toplanan bilgileri besleyebileceğiniz yollar sağlanmaktadır.
Şekil 1. Örnek 1: Windows Olay İletişimi
Windows Event Forwarding (Windows Olay İletme) olanağını kullanarak Sysmon konuşlandırmasını gösteren çizge.
  1. Windows uç noktalarınızın her birine Sysmin 'i kurun ve yapılandırın.
  2. WinCollect ' ın kurulu olduğu bir Windows sunucusunda, Windows Event Collector Service for Sysmin için iletilen olaylar için bir abonelik ayarlayın.
  3. İletilen olaylardaki bilgileri, Sysmin içerik uzantısının kurulu olduğu sunucudan QRadar sisteminize ilerletir.

Artık QRadar' daki her Windows uç noktası için bir günlük kaynağınız vardır.

WinCollect aracılarını ayarlama hakkında daha fazla bilgi için, WinCollect Kullanıcı Kılavuzu ' na (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) bakın.

Şekil 2. Örnek 2: Syslog aktarma
Sysmin 'i konuşlandırmak için bir syslog aktarıcı kullanma işlemini görüntüleyen bir görüntü.
  1. Windows uç noktalarınızda Sysmin ve WinCollect aracılarını kurun ve yapılandırın.
  2. WinCollect aracılarının hedefini, syslog aktarma işlevi olarak çalıştırdığınız bir sunucuya yapılandırın. Syslog aktarıcınız için NXLog, Rsyslog ya da başka bir araç kullanabilirsiniz.
  3. Windows sunucusundaki verileri, Sysmin içerik uzantısının kurulu olduğu bir QRadar aracına aktarma.

Sistem günlüğü aktarımında kullandığınız konfigürasyona bağlı olarak, olaylar ayrı günlük kaynakları olarak ya da 1 günlük kaynağı olarak gelir. Tüm olaylar 1 günlük kaynağı olarak geldiyse, günlük içinde bulunabilecek olay adı için özel bir olay özelliği kullanarak uç noktaları ayırt edebilirsiniz.

WinCollect aracılarını ayarlama hakkında daha fazla bilgi için, WinCollect Kullanıcı Kılavuzu ' na (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf) bakın.