使用sysmon���、nxlog和graylog實現(xiàn)windows服務(wù)器安全日志監(jiān)控
Sysmon系統(tǒng)監(jiān)視器是一種Windows系統(tǒng)服務(wù)和設(shè)備驅(qū)動程序,安裝后會在系統(tǒng)重啟后繼續(xù)運(yùn)行����,用于監(jiān)視并記錄系統(tǒng)活動至Windows事件日志中。
它能夠提供詳細(xì)的進(jìn)程創(chuàng)建���、網(wǎng)絡(luò)連接和文件創(chuàng)建時間變更信息�����。通過Windows事件收集或SIEM代理收集這些事件���,并進(jìn)行后續(xù)分析��,可以識別出惡意或異?����;顒樱⒘私夤粽吆蛺阂廛浖诰W(wǎng)絡(luò)中的操作方式��。
請注意����,Sysmon不會對其生成的事件進(jìn)行分析,也不會嘗試保護(hù)或隱藏自身免受攻擊者的攻擊�����。
準(zhǔn)備工作
- Sysmon64.exe
可從以下鏈接下載:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
登錄后復(fù)制
nxlog安裝包 nxlog-ce-2.10.2150.msi
sysmonconfig-export.xml配置文件
建議安裝Notepad++用于編輯配置文件
(點擊圖片可放大查看)
(點擊圖片可放大查看)
- 安裝Sysmon
使用以下命令安裝Sysmon并應(yīng)用配置文件:
Sysmon64.exe -i sysmonconfig-export.xml -accepteula
登錄后復(fù)制
(點擊圖片可放大查看)
關(guān)于sysmonconfig-export.xml配置模板文件的獲取�,了解的人自然知道,這里不做展開討論����。
- 安裝Nxlog并修改nxlog.conf
(點擊圖片可放大查看)
nxlog.conf配置文件中的部分內(nèi)容如下:
Module im_msvistalog
Query <querylist><query id="0"> * </query></querylist>
<Output systemout="">
Module om_udp
Host 192.168.31.127
Port 1517
</Output>
<Output sysmonout="">
Module om_udp
Host 192.168.31.127
Port 1518
</Output>
<Route udp1="">
Path eventlog => systemout
</Route>
<Route udp2="">
Path sysmon => sysmonout
</Route>登錄后復(fù)制
(點擊圖片可放大查看)
- 啟動Nxlog服務(wù)
(點擊圖片可放大查看)
- GrayLog配置Input
為了區(qū)分系統(tǒng)日志與Sysmon日志,需創(chuàng)建不同的輸入�、索引和流。
(點擊圖片可放大查看)
(點擊圖片可放大查看)
(點擊圖片可放大查看)
(點擊圖片可放大查看)
(點擊圖片可放大查看)
防火墻需開放1517和1518 UDP端口:
firewall-cmd --permanent --zone=public --add-port=1517/udp
firewall-cmd --permanent --zone=public --add-port=1518/udp
firewall-cmd --reload
登錄后復(fù)制
(點擊圖片可放大查看)
- 測試Sysmon日志
例如�����,在命令行中執(zhí)行
ping www.baidu.com
登錄后復(fù)制
:
(點擊圖片可放大查看)
可以查看到DNS查詢?nèi)罩竞兔钚羞M(jìn)程日志���。
(點擊圖片可放大查看)
(點擊圖片可放大查看)
以上就是Sysmon+Nxlog+GrayLog實現(xiàn)Windows服務(wù)器安全日志監(jiān)控的詳細(xì)內(nèi)容�,更多請關(guān)注php中文網(wǎng)其它相關(guān)文章�!
503
收藏
