Microsoft Sysmon es un servicio de sistema y un controlador de dispositivos de Windows que proporciona una generación de logs detallada de la actividad del sistema, incluida la creación de procesos, las conexiones de red, las modificaciones de archivos y los cambios en el registro.
Esta integración enriquece e ingiere logs de eventos Sysmon. Utiliza el dashboard predefinido para obtener una vista clara de los eventos de Sysmon y ayudar a los equipos de seguridad a monitorizar la actividad del sistema.
Configuración
Instalación
Para instalar la integración de Microsoft Sysmon, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para obtener más información, consulta la documentación Gestión de integraciones.
Nota: Este paso no es necesario para versiones >= 7.66.0. del Agent.
Ejecuta powershell.exe como administrador y ejecuta el siguiente comando:
Crea un archivo XML para configurar Sysmon. Por ejemplo, si quieres monitorizar procesos creados por aplicaciones desde carpetas AppData, el archivo de configuración tendrá el aspecto que se muestra a continuación. Puedes añadir más filtros de eventos bajo la etiqueta (tag) EventFiltering XML para otros eventos de la misma manera.
Ejecuta el comando como administrador desde la carpeta extraída:
.\Sysmon-i[<configfile>]
Nota: Sysmon es altamente configurable utilizando el archivo de configuración (XML) que te permite:
Controlar qué eventos monitorizar
Filtrar eventos en función de procesos, rutas, etc.
Habilitar demasiados tipos de eventos puede provocar una ingesta excesiva de datos. Solo los eventos de seguridad críticos deben ser habilitados en función del modelo de amenaza y las necesidades de monitorización.
Estos eventos deben habilitarse de forma selectiva para directorios, procesos y usuarios críticos del sistema a fin de evitar el ruido innecesario de los logs.
