Como integrar o Symon com Wazuh

Sysmon é uma ferramenta de linha de comando que nos permite monitorar e rastrear processos que ocorrem em nossos computadores. Com a configuração correta, comportamentos suspeitos podem ser detectados e as informações detalhadas serão armazenadas no log gerado. Por exemplo, a criação de um novo processo será detectada pelo Sysmon como “Evento número 1”. Este evento conterá informações críticas que podemos usar para configurar uma resposta ativa ou adotar outro tipo de medidas de segurança.

Integrando o Symon no Wazuh

01 – No Github cópie o XML para o Wazuh.

https://github.com/OpenSecureCo/Wazuh/blob/main/sysmon.xml

02 – No Wazuh expanda Server management em seguida clique em Rules.

03 – Em Rules clique em Add new rules file.

04 – Adicione um nome para a regra “sysmon.xml” em seguida cole o XML do sysmon disponibilizado no github, em seguida clique em Save.

05 – Após salvar a regra clique em Restart.

06 – Em seguida clique em confirmar o Restart.

07 – Em Rules, Manage rules files pesquise pela regra sysmon.xml, como podemos observar a regra foi criada com sucesso.

08 – Podemos baixar o sysmon no seguinte site.

Sysmon – Sysinternals | Microsoft Learn

Na página da documentação do Sysmon clique em Download Sysmon.

09 – Após realizar o download do sysmon vamos extrair os arquivos no disco local (C) da máquina, caso seja informado que não tem permissão no disco clique em continuar.

10 –  Na pasta do sysmon precisamos criar a regra que sera utilizada pelo sysmon, no link abaixo podemos utilizar uma regra do sysmon que detecta as tecnicas do Mitre Attack.

sysmon-modular/sysmonconfig.xml at master · olafhartong/sysmon-modular · GitHub

Na pasta do sysmon crie o arquivo config.xml e adicione a regra do github.

11 – Execute o seguinte comando para instalar o sysmon e ler a regra que criamos.

Execute o Prompt de comando como administrador, navegue até o diretorio do sysmon e execute o seguinte comando.

cd c:\sysmon

Sysmon64.exe -accepteula -i config.xml

12 – Podemos visualizar os logs do Sysmon no Visualizador de Eventos no seguinte caminho.

Logs de Aplicativos e Serviço  – Microsoft – Windows – Sysmon – Operational

13 – Enviar os logs via agent.conf.

No portal do wazuh em Server management clique em Endpoint Groups.

14 – Em Groups selecione o grupo default. 

15 – Após selecionar o grupo default clique em files e selecione o agent.conf, em seguida clique em editar.

No arquivo agent.conf adicione os seguintes parametros, em seguida clique em Save.

<agent_config os=”Windows”>
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
</agent_config>

16 – Precisamos reiniciar os containers do wazuh para aplicar as configurações.

No Portainer, selecione os containers do wazuh e clique em restart.

17 – Acesse o seguinte caminho na máquina Windows C:\Program Files (x86)\ossec-agent\shared, em seguida abra o arquivo agent.conf

Observe que as configuração realizadas no agent.conf do wazuh foi replicado para o agente.

18 – No wazuh em Threat intelligence clique em MITRE ATT&CK.

19 – Após selecionar o MITRE ATT&CK clique em Events.

20 – Após expandir o evento podemos observar que os logs estão sendo enviados do Sysmon para o Wazuh.

 

Forte abraço, obrigado e até o próximo post.

Me siga nas redes sociais:
https://lnkd.in/enx4eSV

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *