-
Notifications
You must be signed in to change notification settings - Fork 58
クライアントのセットアップ
S03D4-164 edited this page Apr 30, 2020
·
1 revision
SysmonSearch環境にイベントログを送信するには、Windowsクライアント上で以下のアプリケーションを実行する必要があります。
- Sysmon
- Winlogbeat
Sysmonをダウンロードし、インストールします。
なお、Sysmonはデフォルトではネットワーク通信やレジストリ関連イベント等を記録する設定になっていません。 必要なイベントを記録するためにはSysmonのコンフィグファイルにルールを記述し、インポートする必要があります。
自分の環境に合わせたコンフィグファイルを作成するか、有志がチューニングしたコンフィグファイル(SwiftOnSecurityのsysmon-configなど)を利用し、Sysmonに適用してください。
# Sysmon(64bit)のインストール
sysmon64.exe -i sysmon-config-export.xml
# インストール済みのSysmonにコンフィグを適用する場合
sysmon64.exe -c sysmon-config-export.xml
Winlogbeatをダウンロードし、展開してください。
設定ファイル(winlogbeat.yml)の以下の箇所を編集します。
winlogbeat.event_logs:
- name: "Microsoft-Windows-Sysmon/Operational"
# デフォルトでは以下のprocessorsの設定がありますが、削除する必要があります。
# processors:
# - script:
# lang: javascript
# id: sysmon
# file: ${path.home}/module/sysmon/config/winlogbeat-sysmon.js
...
# ElasticSearchサーバのIPアドレス設定
output.elasticsearch:
hosts: ["ElasticserachサーバのIPアドレス:9200"]Winlogbeat を常駐させたい場合、Elastic社のガイドを参考にインストールしてください。
また、次のように常駐させずにコマンドプロンプトで実行することも可能です。
.\winlogbeat.exe -e -c .\winlogbeat.yml
以下の内容の設定ファイルを作成します。
winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop
winlogbeat.shutdown_timeout: 30s
output.elasticsearch.hosts: ['<Elasticsearch IP address>:9200']
コマンドプロンプトで設定ファイルとイベントログファイルをオプションで指定し実行します。
.\winlogbeat.exe -e -c .\winlogbeat-evtx.yml -E EVTX_FILE=c:\your_sysmon_log.evtx