Перейти к основному содержимому
Версия: 4.5.X

Отправка событий с помощью Sysmon

Sysmon — это системная служба Windows, с помощью которой можно отслеживать и регистрировать активности системы в журнале событий Windows. Предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов.

Утилиту можно загрузить с веб-сайта Microsoft Docs, из раздела Windows Sysinternals. В качестве примера можно использовать уже готовую сборку с GitHub, включающую файл конфигурации

Sysmon Threat Intelligence Configuration от пользователя Ion-Storm. Сборка ориентирована на выявление инцидентов ИБ и может выступать хорошей основой для создания собственных файлов конфигурации.

После успешной установки службы Sysmon на источник и добавления файла конфигурации, например, Sysmon Threat Intelligence Configuration, необходимо добавить в WMI-агенте журнал Microsoft-Windows-Sysmon/Operational для передачи событий в KOMRAD и включить его, выбрав уровень логирования:

Журнал с необходимыми настройками в KOMRAD

подсказка

Фильтры (29) и директивы корреляции (6) под источник событий можно скачать в рамках расширенной технической поддержки