Sysmon é uma ferramenta de linha de comando que nos permite monitorar e rastrear processos que ocorrem em nossos computadores. Com a configuração correta, comportamentos suspeitos podem ser detectados e as informações detalhadas serão armazenadas no log gerado. Por exemplo, a criação de um novo processo será detectada pelo Sysmon como “Evento número 1”. Este evento conterá informações críticas que podemos usar para configurar uma resposta ativa ou adotar outro tipo de medidas de segurança.
Integrando o Symon no Wazuh
01 – No Github cópie o XML para o Wazuh.
https://github.com/OpenSecureCo/Wazuh/blob/main/sysmon.xml
02 – No Wazuh expanda Server management em seguida clique em Rules.
03 – Em Rules clique em Add new rules file.
04 – Adicione um nome para a regra “sysmon.xml” em seguida cole o XML do sysmon disponibilizado no github, em seguida clique em Save.
05 – Após salvar a regra clique em Restart.
06 – Em seguida clique em confirmar o Restart.
07 – Em Rules, Manage rules files pesquise pela regra sysmon.xml, como podemos observar a regra foi criada com sucesso.
08 – Podemos baixar o sysmon no seguinte site.
Sysmon – Sysinternals | Microsoft Learn
Na página da documentação do Sysmon clique em Download Sysmon.
09 – Após realizar o download do sysmon vamos extrair os arquivos no disco local (C) da máquina, caso seja informado que não tem permissão no disco clique em continuar.
10 – Na pasta do sysmon precisamos criar a regra que sera utilizada pelo sysmon, no link abaixo podemos utilizar uma regra do sysmon que detecta as tecnicas do Mitre Attack.
sysmon-modular/sysmonconfig.xml at master · olafhartong/sysmon-modular · GitHub
Na pasta do sysmon crie o arquivo config.xml e adicione a regra do github.
11 – Execute o seguinte comando para instalar o sysmon e ler a regra que criamos.
Execute o Prompt de comando como administrador, navegue até o diretorio do sysmon e execute o seguinte comando.
cd c:\sysmon
Sysmon64.exe -accepteula -i config.xml
12 – Podemos visualizar os logs do Sysmon no Visualizador de Eventos no seguinte caminho.
Logs de Aplicativos e Serviço – Microsoft – Windows – Sysmon – Operational
13 – Enviar os logs via agent.conf.
No portal do wazuh em Server management clique em Endpoint Groups.
14 – Em Groups selecione o grupo default. 
15 – Após selecionar o grupo default clique em files e selecione o agent.conf, em seguida clique em editar.
No arquivo agent.conf adicione os seguintes parametros, em seguida clique em Save.
<agent_config os=”Windows”>
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
</agent_config>
16 – Precisamos reiniciar os containers do wazuh para aplicar as configurações.
No Portainer, selecione os containers do wazuh e clique em restart.
17 – Acesse o seguinte caminho na máquina Windows C:\Program Files (x86)\ossec-agent\shared, em seguida abra o arquivo agent.conf
Observe que as configuração realizadas no agent.conf do wazuh foi replicado para o agente.
18 – No wazuh em Threat intelligence clique em MITRE ATT&CK.
19 – Após selecionar o MITRE ATT&CK clique em Events.
20 – Após expandir o evento podemos observar que os logs estão sendo enviados do Sysmon para o Wazuh.
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.