Tutoriel 📝 Configuration de Sysmon pour la surveillance approfondie sur Windows

[Sylvain*]

Implémentation de la journalisation Sysmon pour une surveillance approfondie des événements système sous Windows

Introduction

Dans ce tutoriel, nous allons explorer comment implémenter Sysmon pour capturer des événements système avancés sous Windows. Sysmon (System Monitor) est un outil de Microsoft qui permet d'enregistrer des détails sur les activités système dans les journaux des événements, ce qui est essentiel pour le dépannage et la sécurité.

---

Prérequis

• Télécharger Sysmon depuis le site de Microsoft Sysinternals.

• Avoir des privilèges administratifs pour installer et configurer Sysmon.

• Utiliser une machine avec Windows 10 ou supérieur pour garantir la compatibilité.

• Un accès aux journaux des événements via l’outil Visualisateur d’événements.

---

Méthodologie

Introduction

• Nous utiliserons deux approches :

• Méthode 1 : Installation manuelle et configuration de Sysmon.

• Méthode 2 : Automatisation avec PowerShell.

---

Avantages des 2 méthodes

Avantage de la méthode 1:

Un contrôle manuel détaillé sur les règles Sysmon configurées.

Avantage de la méthode 2:

Gain de temps grâce à l'automatisation et aux scripts réutilisables.

---

Inconvénients des 2 méthodes

Inconvénient de la méthode 1:

Risque d'erreurs humaines lors de la configuration manuelle.

Inconvénient de la méthode 2:

Nécessite une connaissance de base en scripting PowerShell.

---

Étapes à suivre pour la méthode 1

• Téléchargez l’exécutable Sysmon (Sysmon).

• Lancez

cmd

ou

PowerShell

en mode administrateur.

• Installez Sysmon avec la commande :

Sysmon.exe -accepteula -i config.xml

• Modifiez les règles dans le fichier XML de configuration (Exemple de règles Sysmon).

• Vérifiez les journaux des événements dans le Visualisateur d’événements sous "Applications et Services Logs > Microsoft > Windows > Sysmon".

---

Étapes à suivre pour la méthode 2

• Créez un script PowerShell pour télécharger et installer Sysmon automatiquement :

Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "C:\Sysmon.zip"
Expand-Archive -Path "C:\Sysmon.zip" -DestinationPath "C:\Sysmon"
Start-Process -FilePath "C:\Sysmon\Sysmon.exe" -ArgumentList "-accepteula -i C:\Sysmon\config.xml" -Wait

• Ajoutez des tâches planifiées pour garantir l’exécution continue de Sysmon.

• Vérifiez régulièrement les journaux des événements pour détecter des anomalies.

---

Astuce

Utilisez des règles Sysmon prédéfinies pour démarrer rapidement (Repository GitHub de règles Sysmon).

---

Mise en garde

Assurez-vous de sauvegarder les journaux importants avant toute modification ou suppression de Sysmon.

---

Conseil

Planifiez des audits réguliers pour analyser les journaux et détecter les activités suspectes.

---

Solution alternative

Pour une solution plus simple, utilisez l’outil natif "Logman" pour collecter des journaux.

Références

• Github

• Support Microsoft

• Microsoft Learn

• Recherche Google

---

Conclusion

Grâce à Sysmon, vous disposez d’un outil puissant pour capturer et analyser les événements système. En combinant la méthode manuelle et l’automatisation, vous pouvez garantir un suivi optimal des activités.

Source: Tutoriaux-Excalibur, merci de partager.