Security Monitoring

Monitoring de la sécurité windows sysmon

Qu'est-ce que Security Windows Sysmon ?

Windows Sysmon, un composant de la suite SysInternals, est un service système spécialement conçu pour les systèmes d'exploitation Windows. Il offre une surveillance cohérente et une journalisation complète pour un large éventail de types d'événements. Ses capacités incluent l'enregistrement de détails complexes sur les créations de processus, les connexions réseau, les événements du registre et les créations de fichiers, entre autres.

Windows Sysmon se distingue de Windows Events par sa capacité à suivre et enregistrer des données d'événements détaillées. Cela va de l'enregistrement de la création de processus et de connexions réseau au suivi des événements du registre et de la création de fichiers. Ce niveau de détail permet aux administrateurs de réseau et aux équipes de sécurité de comprendre clairement les actions entreprises dans leur environnement informatique.

La surveillance de Windows Sysmon est une tâche essentielle pour le maintien d'une infrastructure informatique sûre et efficace. Il facilite la collecte de données détaillées sur les événements, qui peuvent être transmises à des plateformes telles que ServicePilot à l'aide du package Windows-Event. Ces événements peuvent ensuite être analysés via l'interface web, tout comme les autres journaux d'événements Windows standard. En intégrant les données détaillées de Windows Sysmon à ServicePilot, les entreprises peuvent améliorer considérablement leurs capacités de surveillance de la sécurité en identifiant et en gérant efficacement les activités malveillantes ou anormales. Cette intégration offre une vue unifiée des événements système, ce qui permet de rationaliser le processus d'identification et d'atténuation des risques de sécurité potentiels.

Comment monitorer Windows Sysmon ?

ServicePilot facilite la surveillance de Windows Sysmon en installant un agent ServicePilot sur le serveur cible. Une ressource du package security-windows-sysmon doit ensuite être ajoutée via l'interface web de ServicePilot.

ServicePilot effectue plusieurs recherches prédéfinies pour analyser automatiquement les données de tous les systèmes Windows envoyant des événements Windows Sysmon collectés par ServicePilot.

Différentes recherches sont effectuées :

  • Process Creation : cet événement fournit des informations étendues sur un processus nouvellement créé.
  • File Creation Time Changed : cet événement est enregistré lorsqu'une heure de création de fichier est explicitement modifiée par un processus.
  • Sysmon State Changed : cet événement rapporte l'état du service Sysmon (démarré ou arrêté).
  • Process Terminated : cet événement signale la fin d'un processus. Il fournit l'UtcTime, le ProcessGuid et le ProcessId du processus.
  • Driver Loaded : cet événement fournit des informations sur le chargement d'un pilote sur le système.
  • et d'autres encore...

Comment installer une ressource windows-sysmon ?

  1. Utilisez votre installation ServicePilot OnPremise ou un compte SaaS.
  2. Ajoutez une nouvelle ressource windows-sysmon via l'interface web (/prmviews ou /prmresources) ou par API (page /prmpackages), l'agent ServicePilot par défaut ou un autre agent sera provisionné automatiquement.

Les détails du package windows-sysmon sont situés dans la page /prmpackages du logiciel.

Avantages de la solution ServicePilot

ServicePilot vous permet de fournir des services informatiques plus rapidement et en toute sécurité grâce à la découverte automatique et aux fonctions avancées de monitoring.

En corrélant la technologie WINDOWS SYSMON avec l'APM et la surveillance de l'infrastructure, ServicePilot est en mesure de fournir une vue plus complète de l'environnement informatique d'une organisation.

Cela permet aux équipes informatiques d'identifier et de diagnostiquer rapidement les problèmes susceptibles d'affecter les performances des applications, et de prendre des mesures correctives avant que les utilisateurs finaux ne soient affectés.

Commencez par un essai gratuit de notre solution SaaS. Explorez nos plans ou contactez-nous pour trouver ce qui vous convient le mieux.

Superviser WINDOWS SYSMON (1/2)

Superviser WINDOWS SYSMON (2/2)

En savoir plus

Installation gratuite en
quelques clics

SaaS Plateforme

Déploiement flexible en fonction de vos besoins (SaaS, hybride, on-premise) pour accélérer la mise en place de la supervision.
  • Pas de configuration logicielle sur site, de maintenance et de configuration complexe
  • Installation instantanée, complète et préconfigurée pour assurer une surveillance robuste

OnPremise Plateforme

Déploiement flexible en fonction de vos besoins (SaaS, hybride, on-premise) pour accélérer la mise en place de la supervision.
  • Contrats et engagements sur la durée ( > 1 an )
  • Gestion des performances, du Stockage des données et de l'infrastructure
  • 2 solutions supplémentaires : Surveillance VoIP et mainframe