Referenz: https://wazuh.com/blog/detecting-windows-persistence-techniques-with-wazuh/

Sysmon-Konfiguration

Sysmon (System Monitor) ist ein Windows-Systemdienstprogramm aus der Sysinternals-Suite von Microsoft, das eine detaillierte Ereignisprotokollierung zur Überwachung und Analyse der Systemaktivität bietet. Es protokolliert detaillierte Informationen über Prozesserstellung, Netzwerkverbindungen, Datei- und Registrierungsänderungen und andere Ereignisse auf niedriger Ebene im Windows-Ereignisprotokoll. 

Schritte für die Konfiguration:

  1. Lade die neueste Version von Sysmon unter Microsoft Sysinternals herunter.
  2. Extrahiere die komprimierte Sysmon-Datei an deinen bevorzugten Speicherort.

Ersetzen <PATH> mit dem Verzeichnis, in dem die Sysmon.zip Datei wurde heruntergeladen.

  1. Lade die Sysmon-Konfigurationsdatei herunter oder nutze folgenden Powershellcommand für den Download.

wget -Uri https://wazuh.com/resources/blog/emulation-of-attack-techniques-and-detection-with-wazuh/sysmonconfig.xml -OutFile <SYSMON_EXECUTABLE_PATH>\sysmonconfig.xml

  1. Wechsel zu dem Ordner, der die ausführbare Sysmon-Datei enthält. Führen den folgenden Befehl aus, um Sysmon zu installieren und zu starten:

.\Sysmon64.exe -accepteula -i sysmonconfig.xml

  1. Füge die folgende Konfiguration innerhalb des <ossec_config> Blocks der C:\Program Files (x86)\ossec-agent\ossec.conf zum Weiterleiten von Sysmon-Ereignissen an den Wazuh-Server hinzu. Oder ergänze den folgenden Block direkt in den Gruppenprofilen:

<lokale Datei>
<Standort>Microsoft-Windows-Sysmon/Betriebsbereit</Standort>
<Protokoll_format>Ereigniskanal</log_format>
</lokale Datei>

6. Starte den Wazuh-Agenten neu, um die Änderungen anzuwenden:

Neustart-Service -Name wazuh

Fragen, Austausch oder Anregungen? 👉 info@blackbox51.ch