O Sysmon é um utilitário gratuito que captura e fornece informações e eventos que ocorrem em seu dispositivo Windows. Uma vez instalado, o Sysmom permanece no sistema em reinicializações do sistema. O utilitário ajuda a monitor e registrar a atividade do sistema no log de eventos do Windows. Ele fornece informações detalhadas sobre as criações de processos, conexões de rede e alterações no arquivo hora da criação. O Sysmon também fornece visibilidade sobre eventos, usando quais administradores e pessoal de segurança podem encontrar, analisar e investigar qualquer atividade suspeita ou maliciosa.
As etapas a seguir ajudam a realizar a integração:
- Instale o Sysmon no Windows Server.
- Adicione Windows Server como uma origem de dados no ESM.
- Configure o Sysmon no coletor SIEM instalado na origem de dados do Windows.
Instalação do Sysmon no Windows Server
- Faça o download do utilitário Sysmon na página de documentação do Microsoft.
- Execute o comando a seguir em Windows prompt de comando para instalar o utilitário:
sysmon -accepteula –i
Nota: Não é possível instalar o Sysmon clicando no arquivo de instalação. Ele deve ser instalado somente usando o prompt de comando.
- Descompacte o arquivo download.
- No prompt de comando, altere o diretório onde os arquivos estão no sistema e execute o comando acima.
- Depois de instalá-lo, você poderá exibir os logs Sysmon armazenados no Visualizador de eventos, em Applications and Services Logs/Microsoft/Windows/Sysmon/Operational .
Adição de Windows como uma origem de dados no ESM
Exemplo de configuração de origem de dados:
- Nome: Identifica sua origem de dados no ESM
- Endereço IP: Refere-se ao endereço IP da origem de dados
- ID do host: É o mesmo em ambos os lados-coleta e configuração do SIEM no ESM
- Usar criptografia: Usado para proteger a comunicação entre o coletor do SIEM e o ERC. Selecione para ativar a comunicação criptografada.
Configuração do Sysmon no coletor SIEM configurada na origem de dados do Windows
Faça download do coleta do SIEM na
página de downloads do produto.
A seguinte captura de tela exibe a configuração do Sysmon:
A seguinte captura de tela exibe os logs do Sysmon no ESM: