Qu'est-ce que Security Windows Sysmon ?
Windows Sysmon est un service système Windows de la suite SysInternals permettant d'effectuer une supervision permanente et une journalisation plus détaillée de certains types d'évènements. Sysmon permet d'enregistrer des informations détaillées comme les créations de processus, les connexions réseaux, les évènements du registre, les créations de fichiers et bien d'autres.
Une fois collectés et envoyés vers ServicePilot grâce au package Windows-Event, ces évènements peuvent être analysés dans l'interface Web comme pour les autres journaux d'évènement Windows standards.
En analysant les journaux Sysmon, vous pouvez identifier les activités malveillantes ou anormales et comprendre comment les intrus et les logiciels malware fonctionnent sur votre réseau.
Supervision de Security Windows Sysmon
Ce package effectue plusieurs recherches prédéfinies afin d'analyser automatiquement les données pour tous les systèmes Windows envoyant des Windows Sysmon Events vers ServicePilot.
Différentes recherches sont effectuées :
- Process Creation : cet événement fournit des informations étendues sur un processus nouvellement créé.
- File Creation Time Changed : cet événement est enregistré lorsqu'une heure de création de fichier est explicitement modifiée par un processus.
- Sysmon State Changed : cet événement rapporte l'état du service Sysmon (démarré ou arrêté).
- Process Terminated : cet événement signale la fin d'un processus. Il fournit l'UtcTime, le ProcessGuid et le ProcessId du processus.
- Driver Loaded : cet événement fournit des informations sur le chargement d'un pilote sur le système.
- et d'autres encore...