Supervision des logs
Comment superviser WINDOWS-SYSMON-SEARCH ?


ServicePilot log-windows-sysmon-search




Qu'est-ce que le Windows Sysmon Search ?

Sysmon est un service système Windows de la suite Sysinternals permettant d'effectuer une supervision permanente et une journalisation plus détaillée de certains types d'évènements. Sysmon permettent d'enregistrer des informations détaillées comme les créations de processus, les connexions réseaux, les évènements du registre, les créations de fichiers et bien d'autres.

Une fois collectés et envoyés vers ServicePilot grâce au package Windows-Event, ces évènements peuvent être analysés dans l'interface Web comme pour les autres journaux d'évènement Windows standards.

En analysant les journaux Sysmon, vous pouvez identifier les activités malveillantes ou anormales et comprendre comment les intrus et les logiciels malveillants fonctionnent sur votre réseau.

Monitoring de la recherche d'événements Windows Sysmon

Ce package effectue plusieurs recherches prédéfinies afin d'analyser automatiquement les données pour tous les systèmes windows envoyant des Windows Sysmon Events vers ServicePilot.

Différentes de recherche sont effectuées :

  • Microsoft Binary Communication Endpoint: Surveille et déclenche une alarme si un éxécutable Windows communique avec une URL d'un réseau externe (Github, pastebin...)
  • PowerShell Rundll32 Remote Thread Creation: Surveille et créé une alerte lorsqu'un remote thread PowerShell est créé dans Rundll32.exe.
  • Suspicious File Characteristics: Surveille les fichiers Executables comportant des caractéristiques suspicieuses par manque de complétion des champs de description (FileVersion,Description,Product,Company...)
  • et d'autres...

Notez que pour certaines recherches, cela dépend également de la configuration de votre fichier XML ou des filtres sur des événements spécifiques que vous avez établis avant de transférer les événements vers ServicePilot.

Supervision des logs WINDOWS-SYSMON-SEARCH 0