驴Qu茅 es Security Windows Sysmon?
Windows Sysmon, un componente de la suite SysInternals, es un servicio de sistema espec铆ficamente dise帽ado para sistemas operativos Windows. Ofrece una vigilancia coherente y un registro exhaustivo de una gran variedad de tipos de eventos. Sus capacidades incluyen el registro de detalles intrincados sobre creaciones de procesos, conexiones de red, eventos de registro y creaciones de archivos, entre otros. Windows Sysmon se distingue de Windows Events por su capacidad de seguimiento y registro de datos de eventos detallados. Esto abarca desde el registro de la creaci贸n de procesos y conexiones de red hasta el seguimiento de eventos de registro y creaci贸n de archivos. Este nivel de detalle permite a los administradores de red y equipos de seguridad tener una clara comprensi贸n de las acciones realizadas dentro de su entorno de TI.
La supervisi贸n de Windows Sysmon es una tarea fundamental para mantener una infraestructura de TI segura y eficiente. Facilita la recopilaci贸n de datos de eventos detallados, que pueden transmitirse a plataformas como ServicePilot mediante el package Windows-Event. A continuaci贸n, estos eventos pueden analizarse a trav茅s de la interfaz web, al igual que otros registros de eventos est谩ndar de Windows. Al integrar los datos detallados de eventos de Windows Sysmon con ServicePilot, las organizaciones pueden mejorar significativamente sus capacidades de supervisi贸n de la seguridad con una identificaci贸n y gesti贸n eficaces de las actividades maliciosas o an贸malas. Esta integraci贸n proporciona una visi贸n unificada de los eventos del sistema, lo que puede agilizar el proceso de identificaci贸n y mitigaci贸n de posibles riesgos de seguridad.
驴C贸mo supervisar Windows Sysmon?
ServicePilot facilita la supervisi贸n de Windows Sysmon requiriendo 煤nicamente la instalaci贸n de un Agente ServicePilot en el servidor de destino. A continuaci贸n, es necesario a帽adir un recurso del package security-windows-sysmon a trav茅s de la interfaz web de ServicePilot.
ServicePilot realiza varias b煤squedas predefinidas para analizar autom谩ticamente los datos de todos los sistemas Windows que env铆an eventos de Windows Sysmon recopilados por ServicePilot.
Se realizan diferentes investigaciones:
- Process Creation: este evento proporciona amplia informaci贸n sobre un proceso reci茅n creado.
- File Creation Time Changed: este evento se registra cuando un proceso cambia expl铆citamente la hora de creaci贸n de un archivo.
- Sysmon State Changed: este evento informa del estado del servicio Sysmon (iniciado o detenido).
- Process Terminated: este evento informa de la terminaci贸n de un proceso. Proporciona el UtcTime, ProcessGuid y ProcessId del proceso.
- Driver Loaded: este evento proporciona informaci贸n sobre la carga de un controlador en el sistema.
- y m谩s...
驴C贸mo instalar un recurso windows-sysmon?
- Utilice su instalaci贸n de ServicePilot OnPremise o una cuenta SaaS.
- A帽ada un nuevo recurso windows-sysmon a trav茅s de la interfaz web (
/prmviewso/prmresources) o a trav茅s de la API (p谩gina/prmpackages), se aprovisionar谩 autom谩ticamente el agente predeterminado de ServicePilot u otro agente.
Los detalles del paquete windows-sysmon se encuentran en la p谩gina
/prmpackagesdel software.
Beneficios
ServicePilot le permite prestar servicios de TI de forma m谩s r谩pida y segura con la detecci贸n automatizada y funciones avanzadas de monitoring.
Al correlacionar la tecnolog铆a WINDOWS SYSMON con APM y la supervisi贸n de infraestructuras, ServicePilot es capaz de proporcionar una visi贸n m谩s completa del entorno de TI de una organizaci贸n.
Esto permite a los equipos de TI identificar y diagnosticar r谩pidamente los problemas que pueden estar afectando al rendimiento de las aplicaciones, y tomar medidas correctivas antes de que los usuarios finales se vean afectados.
Comience con una prueba gratuita de nuestro solution SaaS. Explore nuestros plans o contacte con nosotros para encontrar lo que mejor se adapte a usted.
