Sysmon es una utilidad gratuita que captura y proporciona información y eventos que se producen en su dispositivo Windows. Una vez instalado, Sysmom permanece en el sistema a través de los reinicios del sistema. La utilidad ayuda a monitor y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre las creaciones de procesos, las conexiones de red y los cambios en la hora de creación del archivo. Sysmon también proporciona visibilidad de eventos, mediante la que los administradores y el personal de seguridad pueden localizar, analizar e investigar cualquier actividad sospechosa o maliciosa.
Los siguientes pasos le ayudarán a realizar la integración:
- Instale Sysmon en la Windows Server.
- Agregue Windows Server como origen de datos en ESM.
- Configure Sysmon en SIEM Collector instalado en el Windows origen de datos.
Sysmon instalar en Windows Server
- Descargue la utilidad Sysmon en la página Microsoft documentación.
- Ejecute el siguiente comando en Windows símbolo del sistema para instalar la utilidad:
sysmon -accepteula –i
Nota: No puede instalar Sysmon haciendo clic en su archivo de instalación. Solo se debe instalar mediante la línea de comandos.
- Descomprima el archivo de descarga.
- En el símbolo del sistema, cambie el directorio en el que se encuentren los archivos y ejecute el comando anterior.
- Una vez instalado, puede ver los registros de Sysmon almacenados en el visor Applications and Services Logs/Microsoft/Windows/Sysmon/Operational de eventos en.
Adición de Windows como origen de datos en ESM
Ejemplo de configuración de orígenes de datos:
- Nombre: Identifica el origen de datos en ESM
- Dirección IP: Hace referencia a la dirección IP del origen de datos
- ID de host: Es lo mismo en ambos lados: el recopilador de SIEM y la configuración en ESM
- Usar cifrado: Se utiliza para proteger la comunicación entre el recopilador de SIEM y ERC. Seleccione esta opción para activar comunicación cifrada.
Configuración de Sysmon en Siem Collector configurada en Windows origen de datos
Descargue el recopilador de SIEM desde la
Página de descargas de productos.
La siguiente captura de pantalla muestra la configuración de Sysmon:
La siguiente captura de pantalla muestra los registros de Sysmon en ESM: