Сбор журналов событий Системного монитора
Системный монитор (Сисмон) — это системная служба Windows и драйвер устройства, который остается резидентным при перезагрузке системы для отслеживания и регистрации активности системы в журнале событий Windows после установки в системе. Он предоставляет подробные сведения о создании процессов, сетевых подключениях и изменениях времен созданий файлов. Собирая созданные им события с помощью сбора событий Windows или агентов SIEM, а затем анализируя их, можно выявлять вредоносные или аномальные действия и понимать, как злоумышленники и вредоносные программы работают в сети.
Примечание.
Установка и настройка Системного монитора выходят за рамки этого обучения. Поскольку Системный монитор — это средство телеметрии, используемое многими организациями, важно уметь настраивать агент и рабочую область Log Analytics для сбора событий Системного монитора.
После подключения агента Sysmon к компьютеру Windows выполните следующие действия, чтобы разрешить отправку запросов к журналам для Microsoft Sentinel:
Перейдите на портал Azure.
Выберите Рабочие области Log Analytics из служб Azure.
Выберите рабочую область Log Analytics для Sentinel.
В области "Параметры" выберите Управление устаревшими агентами.
На вкладке "Журналы событий Windows" выберите + Добавить журнал событий Windows.
В поле поиска Добавить журнал событий Windows введите Microsoft-Windows-Sysmon/Operational. По умолчанию Sysmon отсутствует в списке.
Затем нажмите кнопку Применить.
Это подключение также можно установить из Sentinel, выбрав Параметры > Параметры рабочей области > Управление устаревшими агентами. После настройки события Системного монитора будут доступны в таблице событий.
