Systeemmonitor ofwel Sysmon is een Windows-systeemservice en apparaat stuurprogramma die alle systeemactiviteit bewaakt en vastlegt naar het Windows-gebeurtenislogboek. Het biedt gedetailleerde informatie over het maken van processen, netwerkverbindingen en wijzigingen in de tijd voor het maken van bestanden. Door de gebeurtenissen die het genereert te verzamelen met behulp van Windows Event Collection of SIEM- agents en deze vervolgens te analyseren, kunnen kwaadaardige of afwijkende activiteiten geidentificereerd worden.
Wazuh en Sysmon integratie
Wazuh Sysmon integratie
Jeffrey Menick
Windows Sysmon in combinatie met Wazuh een HID (Hostbased Intrusion Detection) systeem, geeft een gedetailleerder beeld bij eventuele wijzigingen van bijv. Windows processen, stuurprogramma's etc.
Wat is Sysmon
- Registreert procescreatie met volledige opdrachtregel voor zowel huidige als bovenliggende processen.Registreert de hash van procesbeeldbestanden met SHA1 (de standaard), MD5, SHA256 of IMPHASH.
- Er kunnen meerdere hashes tegelijkertijd worden gebruikt.
- Bevat een proces-GUID tijdens het maken van gebeurtenissen om correlatie van gebeurtenissen mogelijk te maken, zelfs wanneer Windows proces-ID's opnieuw gebruikt.
- Bevat een sessie-GUID in elke gebeurtenis om correlatie van gebeurtenissen op dezelfde aanmeldingssessie mogelijk te maken.
- Logt het laden van stuurprogramma's of DLL's met hun handtekeningen en hashes.
- Logboeken worden geopend voor onbewerkte leestoegang van schijven en volumes.
- Registreert optioneel netwerkverbindingen, inclusief het bronproces van elke verbinding, IP-adressen, poortnummers, hostnamen en poortnamen.
- Detecteert veranderingen in de aanmaaktijd van bestanden om te begrijpen wanneer een bestand echt is gemaakt. Het wijzigen van tijdstempels voor het maken van bestanden is een techniek die vaak door malware wordt gebruikt om zijn sporen uit te wissen.
- De configuratie automatisch opnieuw laden als deze in het register wordt gewijzigd.
- Regelfiltering om bepaalde gebeurtenissen dynamisch op te nemen of uit te sluiten.
- Genereert gebeurtenissen vanaf het begin van het opstartproces om activiteiten vast te leggen die zijn gemaakt door zelfs geavanceerde malware in de kernelmodus.
Windows Wazuh agent met Sysmon
Op de Windows Agent moet Sysmon worden geinstalleerd. Wij hebben de laatste recente versie (13.22) van Sysmon gedownload via de Sysinternals website: https://download.sysinternals.com/files/Sysmon.zip. Tevens hebben we het configuratiebestand gedownload sysmonconfig.xml van: https://github.com/Hestat/ossec-sysmon. Deze zal mee geinstalleerd worden met Sysmon.
- Het volgende hebben we uitgevoerd: Sysmon64.exe -accepteula -i sysmonconfig.xml. Als het goed is wordt er een extra Sysmon services toegevoegd die automatisch gestart wordt.
- Omdat we er vanuit gaan de Wazuh Agent al geinstalleerd is, moet alleen de ossec.conf file (C:\Program Files (x86)\ossec-agent\ossec.conf) worden aangepast zodat de trigger zal worden doorgestuurd naar de Wazuh Manager. (Herstart hierna de Wazuh Agent)
Ossec.conf file
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-TerminalServicesRemoteConnectionManager/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-Windows Defender/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-TerminalServicesLocalSessionManager/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-SMBServer/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-SMBServer/Connectivity</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-SMBClient/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-SmbClient/Connectivity</location>
<log_format>eventchannel</log_format>
</localfile>
Wazuh manager custom rules
Aan de Wazuh manager (server) zijde moet "custom rules" worden aangemaakt die een bepaalde actie kan genereren bij een trigger vanuit de agent. In ons voorbeeld hebben we o.a. PowerShell opgenomen in onze custom rule. Wanneer Powershell wordt gestart zal er een Level 13 Alert worden uitgestuurd.
custom_rules.xml file
<rule id="255073" level="13">
<if_group>sysmon</if_group>
<field name="win.eventdata.image">\\powershell.exe||\\.ps1||\\.ps2</field>
<description>Sysmon - Event: Powershell or Script Execution: $(win.eventdata.image)</description>
</rule>
Bovenstaande log geeft weer dat een bepaalde source-ip adres is toegevoegd of verwijderd uit de blocklist en is getriggerd op basis van Rule-id 5710.
Rule-id 5710
Active-response whitelist
Om ervoor te zorgen dat de "Active-response" niet in werking treedt bij beheer activiteiten die geoorloofd zijn van bepaalde source-ip adressen, wordt er geen active-response uitgevoerd wanneer het betreffende ip adres of netwerk adres in de "Whitelist" staat op de Wazuh Manager. De Wazuh Manager (Server) stuurt dan GEEN actie uit naar de agent voor het uitvoeren van het script.
In de ossec.conf van de Wazuh Manager hoort een whitelist aanwezig te zijn: (voorbeeld)
<ossec_config>
<global>
<jsonout_output>yes</jsonout_output>
<email_notification>no</email_notification>
<logall>yes</logall>
<white_list>10.0.0.6</white_list>
</global>
De host met ip adres 10.0.0.6 wordt hiervan uitgesloten.
- Interesse in Security Information and Event Management, neem contact met ons op!
- Ethical services
Ethical Hacking
Experts in hacking for an innovating business.