Sysmon est un utilitaire gratuit qui capture et fournit des informations et des événements qui se produisent sur votre équipement Windows. Une fois installé, Sysmom reste sur le système au redémarrage du système. L’utilitaire permet de surveiller et de consigner l’activité du système dans le journal des événements Windows. Elle fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées au moment de la création des fichiers. Sysmon fournit également une visibilité dans les événements, en utilisant les administrateurs et le personnel de sécurité qui peuvent rechercher, analyser et rechercher toute activité suspecte ou malveillante.
Les étapes suivantes permettent d’effectuer l’intégration :
- Installez sysmon sur le Windows Server.
- Ajoutez Windows Server en tant que source de données sur ESM.
- Configurez sysmon sur le collecteur SIEM installé sur la source de données Windows.
Installation de sysmon sur Windows Server
- Téléchargez l’utilitaire sysmon à partir de la page documentation de Microsoft.
- Exécutez la commande suivante sur Windows invite de commande pour installer l’utilitaire :
sysmon -accepteula –i
Remarque : Vous ne pouvez pas installer sysmon en cliquant sur son fichier d’installation. Il doit être installé uniquement à l’aide de l’invite de commande.
- Décompressez le fichier de téléchargement.
- A l’invite de commande, modifiez le répertoire dans lequel se trouvent les fichiers sur votre système et exécutez la commande ci-dessus.
- Une fois l’installation terminée, vous pouvez afficher les journaux sysmon stockés dans l’observateur d’événements sous Applications and Services Logs/Microsoft/Windows/Sysmon/Operational .
Ajout d’Windows en tant que source de données sur ESM
Exemple de configuration de source de données :
- Nom : Identifie votre source de données sur ESM
- Adresse IP : Fait référence à l’adresse IP de votre source de données.
- ID d’hôte : Est le même sur les deux côtés-SIEM Collector et configuration sur ESM
- Utiliser le chiffrement : Permet de sécuriser la communication entre SIEM Collector et ERC. Sélectionnez cette option pour activer la communication chiffrée.
Configuration de sysmon sur le collecteur Siem configurée sur Windows source de données
Téléchargez le collecteur SIEM à partir de la
page téléchargements de produits.
La capture d’écran suivante affiche la configuration de sysmon :
La capture d’écran suivante affiche les journaux sysmon sur ESM :