Como configurar Sysmon e Wincollect para QRadar

7 months ago 63

Antes de iniciar, certifique de instalar Microsoft .NET Framework 3.5 na máquina Windows. Depois faça download do Sysmon e do arquivo de configuração sysmonconfig-export.xml . Coloque o arquivo no mesmo diretório do executável e abra o prompt de comando (cmd) no diretório para utilizar o comando a seguir e terminar a configuração do sysmon: [Sysmon64.exe -i sysmonconfig-export.xml] Depois baixe o wincollect-7.3.1-43.x64.exe e wincollect-standalone-patch-installer-7.3.1-43.exe para a versão 7.5.0 do QRadar. Primeiro execute o arquivo wincollect-7.3.1-43.x64.exe , durante o processo de instalação aceite a licença e avance até na parte em que pergunta o tipo de setup. Na tela de setup type selecione "Stand Alone" e avance. Em seguida marque "Create Log Source" > forneça um nome e identificador para o log source > deixe marcado apenas "Security" e "System" e avance novamente. Na tela seguinte, em "Destination Name" escreva um nome qualquer e em "Hostname / IP" forneça o IP do seu QRadar e a porta padrão 514 sob protocolo TCP. Agora é só avançar deixando as configurações padrão até começar a instalação. Depois de instalado, execute o wincollect-standalone-patch-installer-7.3.1-43.exe e realize a instalação padrão utilizando o mesmo "User Name" que utilizou anteriormente. Para ser possível detectar ataques sofisticados que utilizam PowerShell é necessário modificar o registro do Windows com os comandos abaixo, abra o CMD como administrador e execute um por um: [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging /f /v EnableScriptBlockLogging /t REG_DWORD /d 1] [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging /f /v EnableModuleLogging /t REG_DWORD /d 1] [REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames /f /v "*" /t REG_SZ /d "*"] Você pode conferir se a modificação do registro deu certo verificando a saída dos comandos abaixo, a saída deve conter "0x1" nos dois primeiros e "* REG_SZ *" no último. [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging] [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging] [REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames] Agora para finalizar abra o programa "WinCollect Configuration Console" (é necessário ter instalado o patch para encontrar o programa no menu iniciar). Expanda a opção "Devices" > "Microsoft Windows Event Log" e então na primeira opção você pode desmarcar "Security" e "System" e adicionar o código xml abaixo no campo "XPath Query": [<QueryList>   <Query Id="0" Path="Security">     <Select Path="Security">*</Select>     <Select Path="System">*</Select>     <Select Path="Microsoft-Windows-PowerShell/Operational">*</Select>     <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>     <Select Path="Windows PowerShell">*</Select>   </Query> </QueryList>] No canto superior direito clique em "Deploy Changes" e pronto os logs já estarão sendo enviados ao QRadar. Para mais informações sobre o procedimento confira aqui.


View Entire Post

Read Entire Article