Supervision de seguridad
¿Cómo supervisar WINDOWS-SYSMON?


ServicePilot security-windows-sysmon


¿Qué es Security Windows Sysmon?

Windows Sysmon es un servicio de sistema Windows de la suite SysInternals que proporciona monitorización permanente y un log más detallado de ciertos tipos de eventos. Sysmon le permite registrar información detallada como creaciones de procesos, conexiones de red, eventos de log, creaciones de archivos y mucho más.

Una vez recopilados y enviados a ServicePilot mediante el paquete Windows-Event, estos eventos se pueden analizar en la interfaz web, así como en otros logs de eventos estándar de Windows.

Al analizar los logs de Sysmon, puede identificar actividades maliciosas o anormales y comprender cómo funcionan los intrusos y el malware en su red.

Monitorización de Security Windows Sysmon

Este package realiza varias búsquedas predefinidas para analizar automáticamente los datos de todos los sistemas Windows enviando Windows Sysmon Events a ServicePilot.

Se realizan diferentes investigaciones:

  • Process Creation: este evento proporciona amplia información sobre un proceso recién creado.
  • File Creation Time Changed: este evento se registra cuando un proceso cambia explícitamente la hora de creación de un archivo.
  • Sysmon State Changed: este evento informa del estado del servicio Sysmon (iniciado o detenido).
  • Process Terminated: este evento informa de la terminación de un proceso. Proporciona el UtcTime, ProcessGuid y ProcessId del proceso.
  • Driver Loaded: este evento proporciona información sobre la carga de un controlador en el sistema.
  • y más...
Supervision de seguridad WINDOWS-SYSMON 0