Sysmon è un'utilità gratuita che cattura e fornisce informazioni ed eventi che si verificano sul dispositivo Windows. Una volta installato, Sysmom rimane nel sistema tra i riavvii del sistema. L'utilità consente di monitorare e registrare l'attività del sistema nel registro eventi Windows. Fornisce informazioni dettagliate sulle creazioni dei processi, le connessioni di rete e le modifiche al tempo di creazione del file. Sysmon fornisce inoltre visibilità sugli eventi, utilizzando gli amministratori e il personale di sicurezza che possono trovare, analizzare e indagare su qualsiasi attività sospetta o maliziosa.
La procedura descritta di seguito consente di completare l'integrazione:
- Installare Sysmon nel Windows Server.
- Aggiungere Windows Server come origine dati in ESM.
- Configurare Sysmon su SIEM Collector installato nell'origine dati Windows.
Installazione di sysmon in Windows Server
- Scaricare l'utilità Sysmon dalla pagina documentazione di Microsoft.
- Eseguire il comando seguente Windows prompt dei comandi per installare l'utilità:
sysmon -accepteula –i
Nota: Non è possibile installare Sysmon facendo clic sul relativo file di installazione. Deve essere installato solo utilizzando il prompt dei comandi.
- Decomprimere il file download.
- Al prompt dei comandi, modificare la directory in cui si trovano i file nel sistema ed eseguire il comando precedente.
- Una volta installato, è possibile visualizzare i registri Sysmon memorizzati nel visualizzatore Applications and Services Logs/Microsoft/Windows/Sysmon/Operational eventi in.
Aggiunta di Windows come origine dati su ESM
Esempio di configurazione dell'origine dati:
- Nome: Identifica l'origine dati in ESM
- Indirizzo IP: Si riferisce all'indirizzo IP dell'origine dati
- ID host: È lo stesso su entrambi i lati-SIEM Collector and Configuration on ESM
- USA cifratura: Utilizzato per proteggere la comunicazione tra SIEM Collector e ERC. Selezionare questa opzione per attivare la comunicazione crittografata.
Configurazione di sysmon su Siem Collector configurata in Windows origine dati
Scaricare SIEM Collector dalla
pagina Download prodotti.
Nella schermata seguente viene visualizzata la configurazione di sysmon:
Nella schermata seguente vengono visualizzati i registri di sysmon su ESM: