¿Qué es Security Windows Sysmon?
Windows Sysmon, un componente de la suite SysInternals, es un servicio de sistema específicamente diseñado para sistemas operativos Windows. Ofrece una vigilancia coherente y un registro exhaustivo de una gran variedad de tipos de eventos. Sus capacidades incluyen el registro de detalles intrincados sobre creaciones de procesos, conexiones de red, eventos de registro y creaciones de archivos, entre otros. Windows Sysmon se distingue de Windows Events por su capacidad de seguimiento y registro de datos de eventos detallados. Esto abarca desde el registro de la creación de procesos y conexiones de red hasta el seguimiento de eventos de registro y creación de archivos. Este nivel de detalle permite a los administradores de red y equipos de seguridad tener una clara comprensión de las acciones realizadas dentro de su entorno de TI.
La supervisión de Windows Sysmon es una tarea fundamental para mantener una infraestructura de TI segura y eficiente. Facilita la recopilación de datos de eventos detallados, que pueden transmitirse a plataformas como ServicePilot mediante el package Windows-Event. A continuación, estos eventos pueden analizarse a través de la interfaz web, al igual que otros registros de eventos estándar de Windows. Al integrar los datos detallados de eventos de Windows Sysmon con ServicePilot, las organizaciones pueden mejorar significativamente sus capacidades de supervisión de la seguridad con una identificación y gestión eficaces de las actividades maliciosas o anómalas. Esta integración proporciona una visión unificada de los eventos del sistema, lo que puede agilizar el proceso de identificación y mitigación de posibles riesgos de seguridad.
¿Cómo supervisar Windows Sysmon?
ServicePilot facilita la supervisión de Windows Sysmon requiriendo únicamente la instalación de un Agente ServicePilot en el servidor de destino. A continuación, es necesario añadir un recurso del package security-windows-sysmon a través de la interfaz web de ServicePilot.
ServicePilot realiza varias búsquedas predefinidas para analizar automáticamente los datos de todos los sistemas Windows que envían eventos de Windows Sysmon recopilados por ServicePilot.
Se realizan diferentes investigaciones:
- Process Creation: este evento proporciona amplia información sobre un proceso recién creado.
- File Creation Time Changed: este evento se registra cuando un proceso cambia explícitamente la hora de creación de un archivo.
- Sysmon State Changed: este evento informa del estado del servicio Sysmon (iniciado o detenido).
- Process Terminated: este evento informa de la terminación de un proceso. Proporciona el UtcTime, ProcessGuid y ProcessId del proceso.
- Driver Loaded: este evento proporciona información sobre la carga de un controlador en el sistema.
- y más...
¿Cómo instalar un recurso windows-sysmon?
- Utilice su instalación de ServicePilot OnPremise o una cuenta SaaS.
- Añada un nuevo recurso windows-sysmon a través de la interfaz web (
/prmviewso/prmresources) o a través de la API (página/prmpackages), se aprovisionará automáticamente el agente predeterminado de ServicePilot u otro agente.
Los detalles del paquete windows-sysmon se encuentran en la página
/prmpackagesdel software.
Beneficios
ServicePilot le permite prestar servicios de TI de forma más rápida y segura con la detección automatizada y funciones avanzadas de monitoring.
Al correlacionar la tecnología WINDOWS SYSMON con APM y la supervisión de infraestructuras, ServicePilot es capaz de proporcionar una visión más completa del entorno de TI de una organización.
Esto permite a los equipos de TI identificar y diagnosticar rápidamente los problemas que pueden estar afectando al rendimiento de las aplicaciones, y tomar medidas correctivas antes de que los usuarios finales se vean afectados.
Comience con una prueba gratuita de nuestro solution SaaS. Explore nuestros plans o contacte con nosotros para encontrar lo que mejor se adapte a usted.
