設定 Sysmon

若要使用 QRadar ® Sysmon Content Extension ,請在 Windows 端點上安裝 Sysmon ,然後使用 Windows 伺服器將 Sysmon 事件轉遞至 QRadar

安裝 Sysmon

在 Windows 端點上安裝 Sysmon。
  1. https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon下載 Sysmon。
  2. 解壓縮 .zip 檔案。
  3. 用滑鼠右鍵按一下系統的 .exe 檔案,然後選取 以管理者身分執行
    • 若為 32 位元系統,請選擇 Sysmon.exe
    • 若為 64 位元系統,請選擇 Sysmon64.exe
  4. 配置 Sysmon。 您可能想要使用其中一個協同工作作為 Sysmon 配置的基礎,例如 this one from SwiftonSecurity (https://github.com/SwiftOnSecurity/sysmon-config)。

建立日誌來源

當您設定日誌來源時,請使用下列 XPath 查詢:


<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>

部署 Sysmon

下列範例提供您可以在系統上部署 Sysmon 的方式,並將收集到的資訊提供給 QRadar
圖 1. 範例 1: Windows 事件轉遞
使用「Windows 事件轉遞」來顯示 Sysmon 部署的圖表。
  1. 在每一個 Windows 端點上安裝並配置 Sysmon。
  2. 在已安裝 WinCollect 的 Windows 伺服器上,設定 Windows Event Collector Service for Sysmon 中所轉遞事件的訂閱。
  3. 將已轉遞事件中的資訊從伺服器饋送至已安裝 Sysmon 內容延伸的 QRadar 系統。

現在,您在 QRadar中具有每一個 Windows 端點的日誌來源。

如需設定 WinCollect 代理程式的相關資訊,請參閱 WinCollect 使用手冊 (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf)。

圖 2。 範例 2: Syslog 中繼
顯示使用 syslog 中繼來部署 Sysmon 的處理程序的映像檔。
  1. 在 Windows 端點上安裝並配置 Sysmon 及 WinCollect 代理程式。
  2. 將 WinCollect 代理程式的目的地配置至作為 syslog 中繼執行的伺服器。 您可以使用 NXLog、Rsyslog 或另一個工具來進行 syslog 中繼。
  3. 將資料從 Windows 伺服器轉遞至已安裝 Sysmon 內容延伸的 QRadar 軟體驅動裝置。

視您在 syslog 中繼中使用的配置而定,事件會以個別日誌來源或 1 個日誌來源形式出現。 如果所有事件都以 1 個日誌來源進入,則您可以針對可在日誌中找到的事件名稱使用自訂事件內容來識別端點。

如需設定 WinCollect 代理程式的相關資訊,請參閱 WinCollect 使用手冊 (http://public.dhe.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_wincollect.pdf)。