Como configurar Sysmon e Wincollect para QRadar

4 months ago 47

Antes de iniciar, certifique de instalar Microsoft .NET Framework 3.5 na máquina Windows. Depois faça download do Sysmon e do arquivo de configuração sysmonconfig-export.xml . Coloque o arquivo no mesmo diretório do executável e abra o prompt de comando (cmd) no diretório para utilizar o comando a seguir e terminar a configuração do sysmon: [Sysmon64.exe -i sysmonconfig-export.xml] Depois baixe o wincollect-7.3.1-43.x64.exe e wincollect-standalone-patch-installer-7.3.1-43.exe para a versão 7.5.0 do QRadar. Primeiro execute o arquivo wincollect-7.3.1-43.x64.exe , durante o processo de instalação aceite a licença e avance até na parte em que pergunta o tipo de setup. Na tela de setup type selecione "Stand Alone" e avance. Em seguida marque "Create Log Source" > forneça um nome e identificador para o log source > deixe marcado apenas "Security" e "System" e avance novamente. Na tela seguinte, em "Destination Name" escreva um nome qualquer e em "Hostname / IP" forneça o IP do seu QRadar e a porta padrão 514 sob protocolo TCP. Agora é só avançar deixando as configurações padrão até começar a instalação. Depois de instalado, execute o wincollect-standalone-patch-installer-7.3.1-43.exe e realize a instalação padrão utilizando o mesmo "User Name" que utilizou anteriormente. Para ser possível detectar ataques sofisticados que utilizam PowerShell é necessário modificar o registro do Windows com os comandos abaixo, abra o CMD como administrador e execute um por um: [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging /f /v EnableScriptBlockLogging /t REG_DWORD /d 1] [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging /f /v EnableModuleLogging /t REG_DWORD /d 1] [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames /f /v "*" /t REG_SZ /d "*"] Você pode conferir se a modificação do registro deu certo verificando a saída dos comandos abaixo, a saída deve conter "0x1" nos dois primeiros e "* REG_SZ *" no último. [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging] [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging] [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames] Agora para finalizar abra o programa "WinCollect Configuration Console" (é necessário ter instalado o patch para encontrar o programa no menu iniciar). Expanda a opção "Devices" > "Microsoft Windows Event Log" e então na primeira opção você pode desmarcar "Security" e "System" e adicionar o código xml abaixo no campo "XPath Query": [<QueryList>   <Query Id="0" Path="Security">     <Select Path="Security">*</Select>     <Select Path="System">*</Select>     <Select Path="Microsoft-Windows-PowerShell/Operational">*</Select>     <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>     <Select Path="Windows PowerShell">*</Select>   </Query> </QueryList>] No canto superior direito clique em "Deploy Changes" e pronto os logs já estarão sendo enviados ao QRadar. Para mais informações sobre o procedimento confira aqui.

View Entire Post

Read Entire Article
  1. Homepage
  2. Technology
  3. Como configurar Sysmon e Wincollect para QRadar

Related

More News From Limon Tec

Trending

1. John Fetterman
2. Karen Read
3. Florida Panthers
4. Georgia baseball
5. Malawi
6. Tony Evans
7. Rebecca Grossman
8. iOS 18 beta
9. Maren Morris
10. Nvidia stock price

Popular

Chagos islanders displaced for a US military base protest a deal on their future made without them
2 weeks ago

Boeing at risk of junk rating with S&P amid strike
2 weeks ago

The U.S. Should Fully Withdraw From Iraq
3 weeks ago

How To Choose The Right Drill Bits From Harbor Freight
4 weeks ago

Interactive Whiteboards in the Classroom: 5 Tips for Teachers
3 weeks ago

Apple requests anti-steering injunction in Epic case be tossed given new precedent
3 weeks ago
© Obiaks 2024. All rights are reserved