Microsoft Windows Sysmon

Данное руководство описывает процесс отправки событий из журнала Windows Sysmon в R-Vision SIEM с помощью агента платформы R-Vision EVO.

Настройка ОС Windows

Настройка сбора событий журнала Windows Sysmon с помощью агента R-Vision EVO включает в себя:

установку службы Sysmon;
установку агента R-Vision EVO на конечную точку.

Установка службы Sysmon

Для мониторинга событий с помощью сервиса Sysmon вам необходимо распространить сервис Sysmon на все машины, с которых вы планируете собирать данные. Для этого:

Загрузите архив с сервисом Sysmon. Последняя версия сервиса доступна на официальном сайте Microsoft.
Загрузите политику мониторинга. Политику мониторинга можно найти по ссылке.
Сконфигурируйте пути Sysmon в вашей операционной системе. Планируемая к использованию учетная запись должна иметь доступ к исполняемому файлу Sysmon.exe и к политике мониторинга.
Разместите файлы на вашем файловом сервере по планируемому пути.

Измените пути в следующем Powershell-скрипте. Назовите его sysmon.ps1.

$sysmon = C:\Windows\Sysmon64.exe -s | select-string "System Monitor v"

# Путь к ранее скачанному и распакованному приложению Sysmon, расположенному на файловом сервере:
$sysmonsource = '\\<FS-name>\Sysmon\Sysmon64.exe'

# Путь к вашему файлу с политикой мониторинга, расположенному на файловом сервере:
$sysmonconfig = '\\<FS-name>\Sysmon\monitoring.xml'

# Строка, указывающая версию вашего ПО (опционально):
$sysmonstring = 'System Monitor <Версия Sysmon> - System activity monitor'

# Путь на вашей машине, по которому вы планируете устанавливать сервис Sysmon:
$filePath = 'C:\Sysmon\Sysmon64.exe'

IF (Test-Path $filePath) {
    IF ($sysmon.ToString() -eq $sysmonstring) {
        & $sysmonsource -c $sysmonconfig
    } ELSE {
        # Uninstall sysmon and re-install new version
        & $filePath -u
	Remove-Item –path $filePath
        & $sysmonsource -i $sysmonconfig -acceptEula
    }
} ELSE {
    & $sysmonsource -i $sysmonconfig -acceptEula
}

Здесь <FS-name> — DNS или IP-адрес вашего файлового сервера.

В зависимости от используемого типа авторизации и размещения машины в вашей сети, создайте дополнительную групповую или локальную политику.
- Создайте задачу по расписанию. Для этого:
  - Настройте триггер:
    
    Выберите из выпадающего списка Begin the task опцию On a schedule.
    
    Задайте расписание для выполнения задачи.
    
    Пример расписания:
    
    Нажмите на кнопку OK.
  - Настройте действие:
    
    Выберите из выпадающего списка Action опцию Start a program.
    
    В поле Program/script введите команду для запуска powershell.exe.
    
    В поле Add arguments (optional) введите значение -executionpolicy bypass -file \\<FS-name>\Sysmon\sysmon.ps1.
    
    Здесь <FS-name> — DNS или IP-адрес вашего файлового сервера.
    
    Нажмите на кнопку OK.
  - В форме Security options установите флажок Run with highest privileges.
Сохраните изменения.

Для первичной синхронизации политик используйте принудительную синхронизацию с помощью команды gpupdate /force.

Установка агента

Для установки агента обратитесь к документации продукта R-Vision SIEM.

Установите агент R-Vision EVO на станцию и настройте его связь с R-Vision SIEM. После этого в веб-интерфейсе R-Vision SIEM в разделе Агенты появится информация о подключенном хосте.

rpoint newly added host

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.
Создайте группу и добавьте в нее узел, на котором установлен агент.
В созданной группе узлов в секции Чтение файлов нажмите на кнопку Добавить настройку ().
В выпадающем списке Тип журнала выберите вариант eventchannel.
В поле Имя журнала введите значение Microsoft-Windows-Sysmon/Operational.
Если необходимо выбирать события по определенным критериям, введите в поле Фильтр (формат XPATH) выражение XPath. Если фильтр не нужен, введите символ *.
Нажмите на кнопку Сохранить.
Дождитесь применения политики группы на узле. Сбор событий настроен.

Добавление узла в группу

Для добавления узла в созданную группу:

В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты.
Выберите нужный узел и нажмите на кнопку на панели инструментов.
Выберите ранее созданную группу и нажмите на кнопку Добавить.
Дождитесь применения политики на агенте.

Настройка обработки событий в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант R-Vision EVO Endpoint.
- Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.
Добавьте на конвейер элемент Нормализатор с правилом Microsoft Windows Sysmon (идентификатор правила: RV-N-76).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Добавьте на конвейер элемент Шина, настроенный на получение. Он передает нормализованные события для дальнейшей работы с ними.
Соедините конечную точку и шину с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft windows sysmon pipeline

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста из журнала Windows Sysmon.

Найти события Windows Sysmon в хранилище можно по следующему фильтру:

dproduct = "Microsoft-Windows-Sysmon"

microsoft sysmon storage

Пример поиска события Sysmon с External ID 1:

microsoft sysmon events example v2

Если вам необходимо использовать Sysmon-нормализацию совместно с Windows-Security нормализацией, то правило нормализации Microsoft Windows Sysmon (идентификатор правила: RV-N-76) необходимо подключить в нормализатор Global.

Пример конфигурации конвейера:

microsoft sysmon enable conv

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?