Log
¿Cómo supervisar WINDOWS-SYSMON-SEARCH?


ServicePilot log-windows-sysmon-search




¿Qué es Windows Sysmon Search?

[Sysmon] (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon "Sysmon Sysinternals") es un servicio de sistema Windows de la suite Sysinternals que proporciona monitorización permanente y un log más detallado de ciertos tipos de eventos. Sysmon le permite registrar información detallada como creaciones de procesos, conexiones de red, eventos de log, creaciones de archivos y mucho más.

Una vez recopilados y enviados a ServicePilot mediante el paquete Windows-Event, estos eventos se pueden analizar en la interfaz web, así como en otros logs de eventos estándar de Windows.

Al analizar los logs de Sysmon, puede identificar actividades maliciosas o anormales y comprender cómo funcionan los intrusos y el malware en su red.

Monitoreo de la búsqueda de eventos de Windows Sysmon

Este package realiza varias búsquedas predefinidas para analizar automáticamente los datos de todos los sistemas Windows enviando Windows Sysmon Events a ServicePilot.

Se realizan diferentes investigaciones:

  • Microsoft Binary Communication Endpoint: Monitorea y activa una alarma si un ejecutable de Windows se comunica con una URL desde una red externa como Github, pastebin...
  • Creación de hilos remotos PowerShell Rundll32: Monitorea y crea una alerta cuando se crea un thread remoto PowerShell en Rundll32.exe.
  • Características del archivo sospechoso: Monitorea archivos ejecutables con características sospechosas debido a la falta de completar los campos de descripción (FileVersion,Description,Product,Company...)
  • y otros...

Tenga en cuenta que para algunas búsquedas, también depende de la configuración de su archivo XML o de los filtros de eventos específicos que configure antes de transferir eventos a ServicePilot.

Log WINDOWS-SYSMON-SEARCH 0