Como instalar Wincollect com Sysmon no Windows para enviar logs para o QRadar.
[Sysmon64.exe -i sysmonconfig-export.xml]
Depois baixe o wincollect-7.3.1-43.x64.exe e wincollect-standalone-patch-installer-7.3.1-43.exe para a versão 7.5.0 do QRadar. Primeiro execute o arquivo wincollect-7.3.1-43.x64.exe , durante o processo de instalação aceite a licença e avance até na parte em que pergunta o tipo de setup.
Na tela de setup type selecione "Stand Alone" e avance. Em seguida marque "Create Log Source" > forneça um nome e identificador para o log source > deixe marcado apenas "Security" e "System" e avance novamente. Na tela seguinte, em "Destination Name" escreva um nome qualquer e em "Hostname / IP" forneça o IP do seu QRadar e a porta padrão 514 sob protocolo TCP. Agora é só avançar deixando as configurações padrão até começar a instalação.
Depois de instalado, execute o wincollect-standalone-patch-installer-7.3.1-43.exe e realize a instalação padrão utilizando o mesmo "User Name" que utilizou anteriormente.
Para ser possível detectar ataques sofisticados que utilizam PowerShell é necessário modificar o registro do Windows com os comandos abaixo, abra o CMD como administrador e execute um por um:
[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging /f /v EnableScriptBlockLogging /t REG_DWORD /d 1]
[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging /f /v EnableModuleLogging /t REG_DWORD /d 1]
[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames /f /v "*" /t REG_SZ /d "*"]
Você pode conferir se a modificação do registro deu certo verificando a saída dos comandos abaixo, a saída deve conter "0x1" nos dois primeiros e "* REG_SZ *" no último.
[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]
[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging]
[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames]
Agora para finalizar abra o programa "WinCollect Configuration Console" (é necessário ter instalado o patch para encontrar o programa no menu iniciar). Expanda a opção "Devices" > "Microsoft Windows Event Log" e então na primeira opção você pode desmarcar "Security" e "System" e adicionar o código xml abaixo no campo "XPath Query":
[<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*</Select>
<Select Path="System">*</Select>
<Select Path="Microsoft-Windows-PowerShell/Operational">*</Select>
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
<Select Path="Windows PowerShell">*</Select>
</Query>
</QueryList>]
No canto superior direito clique em "Deploy Changes" e pronto os logs já estarão sendo enviados ao QRadar. Para mais informações sobre o procedimento confira aqui.
COMENTÁRIOS