Activer et configurer Sysmon dans Windows

Cet article explique comment activer et configurer Sysmon pour collecter des données de télémétrie de sécurité détaillées sur les systèmes Windows. Il couvre les options d’installation, le comportement du service et les exigences de configuration nécessaires pour commencer à capturer des données d’événements haute fidélité à des fins de surveillance de la sécurité et d’investigation.

Sysmon est désactivé par défaut. Vous devez l’installer et le configurer explicitement pour produire des événements. Un déploiement efficace nécessite la sélection d’une configuration appropriée, la compréhension du comportement de filtrage d’inclusion et d’exclusion, et la garantie que le service est protégé et journalise de manière fiable les données à des fins d’analyse en aval.

Ce que Sysmon fait et ne fait pas

• Sysmon enregistre l’activité du système et écrit les événements dans le journal des événements Windows.

• Sysmon n’analyse pas les événements et ne génère pas d’alertes.

• Sysmon ne bloque pas ou n’empêche pas l’activité.

Pour analyser les événements Sysmon, transférez-les à la collection d’événements Windows ou à une solution SIEM (Security Information and Event Management), par exemple Splunk

Conditions préalables

Avant d’activer Sysmon intégré, vérifiez que :

• Un appareil exécutant une version prise en charge Windows 11 ou une version ultérieure.

• Vous disposez de privilèges d’administrateur ou équivalents sur l’appareil.

• Sysmon autonome n’est pas installé. Sysmon intégré ne prend pas en charge la coexistence avec Sysmon autonome.

Rechercher les installations existantes

Sysmon intégré est conçu pour fonctionner comme une fonctionnalité Windows native et ne prend pas en charge la coexistence avec Sysmon autonome.

Pour vérifier que Sysmon n’est pas déjà en cours d’exécution, suivez les étapes.

1. Ouvrez une fenêtre PowerShell en tant qu’administrateur.

2. Recherchez le service Sysmon à l’aide de la commande suivante.

   Get-Service sysmon* 
   

3. Passez en revue la sortie. Vous ne devez pas retourner de résultats. Dans ce cas, veillez à désinstaller le sysmon autonome avant de continuer.

Activer sysmon intégré

Sysmon intégré est désactivé par défaut et doit être explicitement activé. Pour activer Sysmon, suivez les étapes.

1. Pour installer la fonctionnalité facultative Sysmon, exécutez la commande suivante.

   Enable-WindowsOptionalFeature -Online -FeatureName Sysmon 
   

2. Pour installer Sysmon à l’aide de la configuration par défaut, exécutez la commande suivante.

   sysmon –i 
   

Fournir une configuration Sysmon

Sysmon utilise un fichier de configuration pour déterminer les événements qui sont enregistrés et ceux qui sont filtrés.

Le fichier de configuration est écrit en XML et définit des règles pour la journalisation d’événements Sysmon spécifiques. Voici quelques exemples de types d’événements : Traiter la création, la connexion réseau et la création de fichiers. Pour plus d’informations sur le fonctionnement des fichiers de configuration, consultez Présentation des fichiers de configuration Sysmon.

1. Créez ou obtenez un fichier de configuration Sysmon. La configuration inclut généralement les éléments suivants :

   1. Types d’événements activés

   2. Inclure et exclure des règles de filtrage

   3. Algorithmes de hachage et options de métadonnées

2. Exemples de configurations et de guides disponibles :

   1. Sysmon-config : configuration d’événements Sysmon de haute qualité par défaut gérée par SwiftOnSecurity :

      https://github.com/SwiftOnSecurity/sysmon-config

   2. Sysmon-modular : configuration Sysmon modulaire avec la couverture MITRE ATT&CK gérée par Olaf Hartong

      https://github.com/olafhartong/sysmon-modular

   3. SysmonCommunityGuide : guide, détails techniques et exemples pour Sysmon géré par Carlos Perez

      https://github.com/trustedsec/SysmonCommunityGuide

   4. Présentation approfondie de la configuration sysmon

Les fichiers de configuration incluent généralement :

• Types d’événements activés

• Inclure et exclure des règles de filtrage

• Algorithmes de hachage et options de métadonnées

Vous trouverez des exemples de fichiers de configuration et des guides disponibles dans les ressources suivantes :

• Sysmon-config : configuration d’événements Sysmon de haute qualité par défaut gérée par SwiftOnSecurity :

  https://github.com/SwiftOnSecurity/sysmon-config

• Sysmon-modular : configuration Sysmon modulaire avec la couverture MITRE ATT&CK gérée par Olaf Hartong

  https://github.com/olafhartong/sysmon-modular

• SysmonCommunityGuide par Carlos Perez – Guide, détails techniques et exemples pour Sysmon

• Sysinternals : Analyse système approfondie (démonstration)

1. Placez le fichier de configuration dans le répertoire de votre choix, par exemple :

   C:\Sysmon\sysmonconfig.xml

2. Ouvrir une fenêtre PowerShell en tant qu’administrateur

3. Accédez au répertoire où vous avez placé votre fichier de configuration à l’aide de la cd commande . Par exemple, cd c:\Sysmon

4. Pour appliquer votre fichier de configuration, effectuez l’une des opérations suivantes :

   1. Configurez Sysmon avec le fichier de configuration à l’aide de la commande suivante. Veillez à remplacer par C:\Sysmon\sysmonconfig.xml le chemin d’accès à votre fichier de configuration.

   sysmon – c C:\Sysmon\sysmonconfig.xml 
   

   Ou

   1. Si vous n’avez pas encore installé Sysmon, vous pouvez installer Sysmon avec le fichier de configuration à l’aide de la commande suivante. Veillez à remplacer par C:\Sysmon\sysmonconfig.xml le chemin d’accès à votre fichier de configuration.

      sysmon -i C:\Sysmon\sysmonconfig.xml 
      

   Une fois appliquée, la configuration prend effet immédiatement. Aucun redémarrage n’est nécessaire.

Important

Une configuration restrictive ou non optimisée peut générer un volume d’événements élevé. Passez en revue et testez les configurations avant le déploiement à grande échelle.

Exemple de configuration

L’exemple suivant montre une configuration Sysmon minimale qui active les types d’événements courants :

<Sysmon schemaversion="4.90"> 
   <HashAlgorithms>SHA256</HashAlgorithms> 
   
   <EventFiltering>   
     <ProcessCreate onmatch="exclude" />
     <NetworkConnect onmatch="exclude" />
     <FileCreate onmatch="exclude" />
   </EventFiltering> 
</Sysmon>   

Cet exemple permet une visibilité de base et peut être développé avec des règles d’inclusion et d’exclusion pour réduire le bruit. 

Astuce

Process create on match -exclude sans sous-paramètres inclut tous les événements de création de processus

Vérifier que Sysmon est activé et configuré

Après avoir activé et configuré Sysmon intégré, vérifiez qu’il fonctionne correctement en procédant comme suit.

1. Sélectionnez le bouton Démarrer , tapez Observateur d’événements, puis ouvrez Observateur d’événements dans la liste des meilleures correspondances.

2. Dans observateur d'événements, accédez à Journaux > des applications et des services Microsoft > Windows > Sysmon > Operational.

3. Vérifiez que les événements Sysmon sont présents, tels que Process Create, Network Connect, File Create. Si des événements s’affichent, Sysmon intégré est activé et utilise la configuration active.

Mise à jour de la configuration Sysmon

Pour mettre à jour la configuration Sysmon, procédez comme suit.

1. Modifiez le fichier de configuration Sysmon en suivant les instructions fournies dans Présentation des fichiers de configuration sysmon.

2. Appliquez la configuration mise à jour à l’aide de la commande suivante. N’oubliez pas de remplacer C:\Sysmon\sysmonconfig.xml par le chemin d’accès à votre fichier de configuration.

sysmon -c C:\Sysmon\sysmonconfig.xml 

Les mises à jour de configuration sont appliquées dynamiquement et ne nécessitent pas de redémarrage du système.

Étapes suivantes

• Paramétrez les filtres Sysmon pour équilibrer la visibilité et le volume d’événements.

• Transférez les événements Sysmon vers une collection de journaux centralisée ou SIEM.

• Découvrez comment lire /transférer et paramétrer Sysmon après la configuration.