Sysmon ist ein beliebtes und leistungsstarkes Sicherheitsprogramm, das Teil der kostenlosen Sysinternals Suite ist. System Monitor (Sysmon) ist ein Windows-Dienst und Gerätetreiber, der nach der Installation über Systemneustarts hinweg aktiv bleibt, um Systemaktivitäten zu verfolgen und im Windows-Ereignisprotokoll aufzuzeichnen. Sysmon kann in Verbindung mit einigen der Sicherheitsfunktionen von EventSentry (z. B. Anomalieerkennung) die Sicherheit erheblich verbessern und zur Erkennung fortgeschrittener Bedrohungen eingesetzt werden.
Ein Nachteil von Sysmon sind die fehlenden Verwaltungsoptionen, die durch die Sysmon-Verwaltungsfunktion von EventSentry behoben werden. Mit EventSentry können Sie:
•Sysmon bereitstellen und auf dem neuesten Stand halten
•die Sysmon-Konfiguration verwalten
Sysmon Management unterstützt die folgenden Optionen:
Modus (Mode)
Legt fest, inwieweit Sysmon von EventSentry verwaltet wird:
Nur Konfiguration verwalten (Manage Configuration Only)
Dies setzt voraus, dass Sysmon bereits auf den überwachten Hosts installiert ist oder dass eine alternative Bereitstellungslösung für Sysmon existiert. EventSentry stellt nur sicher, dass alle Hosts, auf denen Sysmon läuft, die angegebene Konfiguration verwenden.EventSentry aktualisiert die Konfiguration automatisch, wenn eine Konfigurationsänderung vom Agenten empfangen wird.
Installieren und auf dem neuesten Stand halten (Install & Keep Updated)
Zusätzlich zur Verwaltung der Konfiguration, EventSentry installiert und hält Sysmon mit der neuesten Version, die im Feld Sysmon-Quelle angegeben ist, auf dem neuesten Stand. Die Häufigkeit, mit der die Quelle geprüft wird, kann mit der Einstellung "Version aktualisieren alle" unten konfiguriert werden.
Deinstallieren (Uninstall)
Deinstalliert einfach Sysmon, wenn es auf den überwachten Hosts installiert ist.
Sysmon-Quelle
Die Quelle, von der Sysmon heruntergeladen werden soll, wenn es nicht installiert ist, oder von der EventSentry versuchen soll, die neueste Version herunterzuladen, wenn der Modus auf "Installieren und auf dem neuesten Stand halten" eingestellt ist. Die Quelle kann entweder eine URL oder ein UNC-Pfad zu einer lokalen Netzwerkressource sein. Beachten Sie, dass EventSentry-Agenten Sysmon in dem angegebenen Intervall von der angegebenen Quelle herunterladen müssen, um festzustellen, ob sie die neueste Version installiert haben oder nicht.
UNC-Quelle
Entfernte Agenten greifen auf den UNC-Pfad über das LocalSystem-Konto (z. B. $SERVER01) zu. Daher ist es wichtig, dass die Berechtigungen einen LESE-Zugriff auf diese Ressourcen erlauben.
URL-Quelle
Wenn die angegebene URL HTTPS ist, muss das TLS-Zertifikat der Gegenstelle vertrauenswürdig sein.
Version jedes Mal aktualisieren
Wenn der Modus auf "Installieren und auf dem neuesten Stand halten" eingestellt ist, wird die konfigurierte URL oder der UNC-Pfad in dem angegebenen Intervall überprüft. Beachten Sie, dass EventSentry-Agenten Sysmon von der angegebenen Quelle herunterladen müssen, um die neueste Version zu ermitteln, daher wird empfohlen, ein angemessenes Intervall zu wählen. Im Durchschnitt wird Sysmon jeden zweiten Monat aktualisiert.
Sysmon-Konfiguration
Die eigentliche XML-basierte Sysmon-Konfiguration. EventSentry Sysmon wird mit einer Standardkonfiguration ausgeliefert, die auf einer Vorlage von SwiftOnSecurity basiert; durch Klicken auf die Schaltfläche "Standard verwenden" wird diese Vorlage geladen. Konfigurationsdateien können auch mit der entsprechenden Schaltfläche "Laden/Speichern unter" importiert und exportiert oder in das Konfigurationsfeld eingefügt werden.
