Collecter des journaux d'événements Sysmon
Le moniteur système (Sysmon) est un service système Windows et le pilote de périphérique permanent entre les redémarrages du système pour surveiller et journaliser l’activité du système dans le journal des événements Windows une fois installé sur un système. Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées à l’heure de création de fichier. En recueillant les événements qu’il génère à l’aide de la collecte d’événements Windows ou des agents SIEM, puis en les analysant, vous pouvez identifier une activité malveillante ou anormale et comprendre comment les intrus et les logiciels malveillants fonctionnent sur votre réseau.
Notes
L’installation et la configuration de Sysmon sortent du cadre de cette formation. Comme Sysmon est un outil de télémétrie utilisé par de nombreuses organisations, il est essentiel de savoir configurer l’agent et l’espace de travail Log Analytics pour collecter les événements Sysmon.
Après avoir connecté l’agent Sysmon à la machine Windows, effectuez les opérations suivantes pour permettre à Microsoft Sentinel d’interroger les journaux :
Accédez à votre portail Azure.
Sélectionnez Espace de travail Log Analytics dans les services Azure.
Sélectionnez votre espace de travail Log Analytics pour Sentinel.
Dans la zone Paramètres, sélectionnez Gestion des agents hérités.
Sous l’onglet Journaux des événements Windows, sélectionnez + Ajouter le journal des événements Windows.
Dans la zone de recherche Ajouter le journal des événements Windows, entrez Microsoft-Windows-Sysmon/Operational. Sysmon ne se trouve pas dans la liste par défaut.
Ensuite, sélectionnez le bouton Appliquer.
Cette connexion peut également être établie à partir de Sentinel sous Paramètres > Paramètres de l’espace de travail > Gestion des agents hérités. Une fois configurés, les événements Sysmon sont disponibles dans la table d’événements.
