Microsoft Sysmon

Supported OS Windows

インテグレーションバージョン1.0.0
Microsoft Sysmon - 概要 1
Microsoft Sysmon - 概要 2
Microsoft Sysmon - 概要 3
Microsoft Sysmon - 概要 4
Microsoft Sysmon - 概要 5
Microsoft Sysmon - 概要 6
Microsoft Sysmon - 概要 7
Microsoft Sysmon - 概要 8

概要

Microsoft Sysmon は Windows のシステム サービスおよびデバイス ドライバーであり、プロセスの作成、ネットワーク接続、ファイルの変更、レジストリの変更などを含むシステム アクティビティを詳細にログに記録します。

このインテグレーションは、Sysmon イベント ログを拡充して取り込みます。事前に構築されたダッシュボードを使用すると、Sysmon イベントを俯瞰的に把握でき、セキュリティ チームがシステム アクティビティを監視するのに役立ちます。

セットアップ

インストール

Microsoft Sysmon インテグレーションをインストールするには、次の Agent インストール コマンドを実行し、以下の手順に従ってください。詳細は Integration Management ドキュメントを参照してください。

: Agent バージョンが 7.66.0 以上の場合、この手順は不要です。

管理者として powershell.exe を起動し、次のコマンドを実行します:

& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" integration install datadog-microsoft_sysmon==1.0.0

設定

ログ収集の構成

  1. Datadog Agent でのログ収集は、デフォルトで無効になっています。以下のように、datadog.yaml ファイルでこれを有効にします。

      logs_enabled: true

  2. Microsoft Sysmon のログの収集を開始するには、次の構成ブロックを microsoft_sysmon.d/conf.yaml ファイルに追加します。

      logs:
  - type: windows_event
    channel_path: "Microsoft-Windows-Sysmon/Operational"
    source: microsoft-sysmon
    service: microsoft-sysmon
    sourcecategory: windowsevent

  3. Agent を再起動します。

Sysmon の構成

Sysmon をインストールするには、次の手順に従ってください:

  1. Sysmon ダウンロード ページから zip ファイルをダウンロードし、内容を解凍します。
  2. Sysmon を構成するための XML ファイルを作成します。たとえば、AppData フォルダー内のアプリが作成するプロセスを監視したい場合、構成ファイルは次に示す内容のようになります。他のイベントについても、EventFiltering XML タグの下に同様の方法でイベント フィルターを追加できます。
  <Sysmon schemaversion="4.90">
      <EventFiltering>
        <ProcessCreate onmatch="include">
            <Image condition="contains">C:\Users\*\AppData\Local\Temp\</Image>
            <Image condition="contains">C:\Users\*\AppData\Roaming\</Image>
        </ProcessCreate>
      </EventFiltering>
  </Sysmon>
  1. 解凍したフォルダー内で管理者として次のコマンドを実行します:
  .\Sysmon -i [<configfile>]

注: Sysmon は、構成ファイル (XML) を使って高度な設定が可能で、次のようなことができます:

  • どのイベントを監視するかを制御する
  • プロセスやパスなどに基づいてイベントをフィルタリングする。

有効にするイベント タイプが多すぎると、データ取り込み量が過剰になる可能性があります。脅威モデルと監視の必要性に応じて、重要なセキュリティ イベントのみを有効にしてください。 これらのイベントは、不要なログ ノイズを避けるために、重要なシステム ディレクトリ、プロセス、およびユーザーに対して選択的に有効にする必要があります。

構成の詳細については、Sysmon ドキュメントを参照してください。

検証

Agent の status サブ コマンドを実行し、Checks セクションの microsoft_sysmon を確認します。

収集データ

ログ

Microsoft Sysmon インテグレーションは、以下の Sysmon イベント ログを収集します:

  • プロセス アクティビティ ログ
  • ネットワーク アクティビティ ログ
  • ファイル アクティビティ ログ
  • レジストリ アクティビティ ログ
  • WMI アクティビティ ログ
  • Sysmon サービス アクティビティ ログ
  • 名前付きパイプおよびクリップボードのアクティビティ ログ

メトリクス

Microsoft Sysmon インテグレーションにはメトリクスは含まれていません。

イベント

Microsoft Sysmon インテグレーションにはイベントは含まれていません。

サービス チェック

Microsoft Sysmon インテグレーションにはサービスチェックは含まれていません。

サポート

ご不明な点は、Datadog のサポートチームまでお問い合わせください。