Como configurar Sysmon e Wincollect para QRadar

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Como instalar Wincollect com Sysmon no Windows para enviar logs para o QRadar.


Antes de iniciar, certifique de instalar Microsoft .NET Framework 3.5 na máquina Windows. Depois faça download do Sysmon e do arquivo de configuração sysmonconfig-export.xml . Coloque o arquivo no mesmo diretório do executável e abra o prompt de comando (cmd) no diretório para utilizar o comando a seguir e terminar a configuração do sysmon:

[Sysmon64.exe -i sysmonconfig-export.xml]

Depois baixe o wincollect-7.3.1-43.x64.exewincollect-standalone-patch-installer-7.3.1-43.exe para a versão 7.5.0 do QRadar. Primeiro execute o arquivo wincollect-7.3.1-43.x64.exe , durante o processo de instalação aceite a licença e avance até na parte em que pergunta o tipo de setup.

Na tela de setup type selecione "Stand Alone" e avance. Em seguida marque "Create Log Source" > forneça um nome e identificador para o log source > deixe marcado apenas "Security" e "System" e avance novamente. Na tela seguinte, em "Destination Name" escreva um nome qualquer e em "Hostname / IP" forneça o IP do seu QRadar e a porta padrão 514 sob protocolo TCP. Agora é só avançar deixando as configurações padrão até começar a instalação.

Depois de instalado, execute o wincollect-standalone-patch-installer-7.3.1-43.exe e realize a instalação padrão utilizando o mesmo "User Name" que utilizou anteriormente.

Para ser possível detectar ataques sofisticados que utilizam PowerShell é necessário modificar o registro do Windows com os comandos abaixo, abra o CMD como administrador e execute um por um:

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging /f /v EnableScriptBlockLogging /t REG_DWORD /d 1]

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging /f /v EnableModuleLogging /t REG_DWORD /d 1]

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames /f /v "*" /t REG_SZ /d "*"]

Você pode conferir se a modificação do registro deu certo verificando a saída dos comandos abaixo, a saída deve conter "0x1" nos dois primeiros e "* REG_SZ *" no último.

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging]

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames]

Agora para finalizar abra o programa "WinCollect Configuration Console" (é necessário ter instalado o patch para encontrar o programa no menu iniciar). Expanda a opção "Devices" > "Microsoft Windows Event Log" e então na primeira opção você pode desmarcar "Security" e "System" e adicionar o código xml abaixo no campo "XPath Query":

[<QueryList>

  <Query Id="0" Path="Security">

    <Select Path="Security">*</Select>

    <Select Path="System">*</Select>

    <Select Path="Microsoft-Windows-PowerShell/Operational">*</Select>

    <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>

    <Select Path="Windows PowerShell">*</Select>

  </Query>

</QueryList>]

No canto superior direito clique em "Deploy Changes" e pronto os logs já estarão sendo enviados ao QRadar. Para mais informações sobre o procedimento confira aqui.


COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,130,Artigo - Diversos,156,Artigo - Games,201,Artigo - Tecnologia,615,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,72,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,23,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,25,Programar verilog,12,qradar,4,Raspberry Pi,15,Redes,3,root,117,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,19,WhatsApp,46,
ltr
item
Limon Tec: Como configurar Sysmon e Wincollect para QRadar
Como configurar Sysmon e Wincollect para QRadar
Como instalar Wincollect com Sysmon no Windows para enviar logs para o QRadar.
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgk4fwT4KVipxR514hGAff90R6OahiF3b_9h6WmZr4C_iPcR4Bpmm850HeLAYvW7h5vUZo91blSBKNY5uDw8Et-PsSMy4BtxDHTqEljv9xAp548tv_CJ6Qw2iJNDR_Yp0ANwSYn1cuKNSHuzVAdQJtlAQp0yH7_-TM5LNQ1WgCtYhoI4VuWvlkY3bYEpoee/s320/wincollect_qradar.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgk4fwT4KVipxR514hGAff90R6OahiF3b_9h6WmZr4C_iPcR4Bpmm850HeLAYvW7h5vUZo91blSBKNY5uDw8Et-PsSMy4BtxDHTqEljv9xAp548tv_CJ6Qw2iJNDR_Yp0ANwSYn1cuKNSHuzVAdQJtlAQp0yH7_-TM5LNQ1WgCtYhoI4VuWvlkY3bYEpoee/s72-c/wincollect_qradar.png
Limon Tec
https://www.limontec.com/2024/06/como-configurar-sysmon-e-wincollect.html?m=0
https://www.limontec.com/?m=0
https://www.limontec.com/
https://www.limontec.com/2024/06/como-configurar-sysmon-e-wincollect.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo