Microsoft Windows Sysmon
Данное руководство описывает процесс отправки событий из журнала Windows Sysmon в R-Vision SIEM с помощью продукта R-Vision Endpoint.
Настройка ОС Windows
Настройка сбора событий журнала Windows Sysmon с помощью R-Vision Endpoint включает в себя:
-
установку агента R-Vision Endpoint на конечную точку;
Установка службы Sysmon
Для мониторинга событий с помощью сервиса Sysmon вам необходимо распространить сервис Sysmon на все машины, с которых вы планируете собирать данные. Для этого:
-
Загрузите архив с сервисом Sysmon. Последняя версия сервиса доступна на официальном сайте Microsoft.
-
Загрузите политику мониторинга. Политику мониторинга можно найти по ссылке.
-
Сконфигурируйте пути Sysmon в вашей операционной системе. Планируемая к использованию учетная запись должна иметь доступ к исполняемому файлу Sysmon.exe и к политике мониторинга.
-
Разместите файлы на вашем файловом сервере по планируемому пути.
-
Измените пути в следующем Powershell-скрипте. Назовите его sysmon.ps1.
$sysmon = C:\Windows\Sysmon64.exe -s | select-string "System Monitor v" # Путь к ранее скачанному и распакованному приложению Sysmon, расположенному на файловом сервере: $sysmonsource = '\\<FS-name>\Sysmon\Sysmon64.exe' # Путь к вашему файлу с политикой мониторинга, расположенному на файловом сервере: $sysmonconfig = '\\<FS-name>\Sysmon\monitoring.xml' # Строка, указывающая версию вашего ПО (опционально): $sysmonstring = 'System Monitor <Версия Sysmon> - System activity monitor' # Путь на вашей машине, по которому вы планируете устанавливать сервис Sysmon: $filePath = 'C:\Sysmon\Sysmon64.exe' IF (Test-Path $filePath) { IF ($sysmon.ToString() -eq $sysmonstring) { & $sysmonsource -c $sysmonconfig } ELSE { # Uninstall sysmon and re-install new version & $filePath -u Remove-Item –path $filePath & $sysmonsource -i $sysmonconfig -acceptEula } } ELSE { & $sysmonsource -i $sysmonconfig -acceptEula }Здесь
<FS-name>— DNS или IP-адрес вашего файлового сервера. -
В зависимости от используемого типа авторизации и размещения машины в вашей сети, создайте дополнительную групповую или локальную политику.
-
Создайте задачу по расписанию. Для этого:
-
Настройте триггер:
-
Выберите из выпадающего списка Begin the task опцию On a schedule.
-
Задайте расписание для выполнения задачи.
Пример расписания:
-
Нажмите на кнопку OK.
-
-
Настройте действие:
-
Выберите из выпадающего списка Action опцию Start a program.
-
В поле Program/script введите команду для запуска
powershell.exe. -
В поле Add arguments (optional) введите значение
-executionpolicy bypass -file \\<FS-name>\Sysmon\sysmon.ps1.Здесь
<FS-name>— DNS или IP-адрес вашего файлового сервера. -
Нажмите на кнопку OK.
-
-
В форме Security options установите флажок Run with highest privileges.
-
-
-
Сохраните изменения.
Для первичной синхронизации политик используйте принудительную синхронизацию с помощью команды gpupdate /force.
|
Установка агента
| Для установки агента обратитесь к документации продукта R-Vision Endpoint. |
После установки агента на станцию и настройки его связи с менеджером R-Vision Endpoint в веб-интерфейсе управления менеджера R-Vision Endpoint появится информация о подключенной станции.
Настройка политики
Для сбора событий журнала Windows Sysmon необходимо создать новую группу и добавить в нее узел.
Создание новой группы
Для создания новой группы:
-
В главном меню интерфейса R-Vision Endpoint перейдите в раздел Политика.
-
Нажмите на кнопку Создать группу (
). Откроется окно создания группы. -
Введите название группы.
-
Выберите из выпадающего списка Группа сбора данных созданную группу.
-
Подключите журналы Sysmon, выполнив следующие действия:
-
В разделе Чтение файлов/выполнение команд нажмите на кнопку Настроить.
-
Выберите тип журнала eventchannel для журналов Microsoft-Windows-Sysmon и Microsoft-Windows-Sysmon/Operational.
-
Нажмите на кнопку Сохранить.
-
Добавление узла в группу
Для добавления узла в созданную группу:
-
В главном меню интерфейса R-Vision Endpoint перейдите в раздел Агенты.
-
Выберите нужный узел и нажмите на кнопку
на панели инструментов. -
Выберите ранее созданную группу и нажмите на кнопку Добавить.
-
Дождитесь применения политики на агенте.
Настройка в R-Vision SIEM
| Для настройки интеграции продуктов R-Vision SIEM и R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM. |
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант R-Vision Endpoint.
-
Порт точки входа: введите значение в соответствии с настройками на стороне сервера.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows Sysmon (идентификатор правила: RV-N-76).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Добавьте на конвейер элемент Шина, настроенный на получение. Он передает нормализованные события для дальнейшей работы с ними.
-
Соедините конечную точку и шину с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста из журнала Windows Sysmon.
|
Найти события Windows Sysmon в хранилище можно по следующему фильтру:
|
Пример поиска события Sysmon с External ID 1:
|
Если вам необходимо использовать Sysmon-нормализацию совместно с Windows-Security нормализацией, то правило нормализации Microsoft Windows Sysmon (идентификатор правила: RV-N-76) необходимо подключить в нормализатор Global. Пример конфигурации конвейера:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
