1. 설치
https://learn.microsoft.com/ko-kr/sysinternals/downloads/sysmon
Sysmon - Sysinternals
Windows 이벤트 로그를 통해 주요 시스템 활동을 모니터링하고 보고합니다.
learn.microsoft.com
윈도우에 설치 할 것이므로 윈도우로 다운로드
다운로드 받고 압축을 풀고 설치한다
sysmon -i -accepteula
2. 설정
설정은 xml 파일이 필요하다
https://www.ibm.com/docs/en/qradar-common?topic=endpoint-configure-windows-endpoints
Configure Windows endpoints
Configure your Windows endpoints for use with the IBM® QRadar® Endpoint Content Extension. Procedure Install and configure Sysmon on your Windows endpoints. Download Sysmon from https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon. Extract the
www.ibm.com
IBM 에서도 아래 설정 사용을 권장하고 있다
https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
sysmon-config/sysmonconfig-export.xml at master · SwiftOnSecurity/sysmon-config
Sysmon configuration file template with default high-quality event tracing - SwiftOnSecurity/sysmon-config
github.com
# 설정과 같이 설치
sysmon.exe -accepteula -i sysmonconfig-export.xml
# 기존 구성 업데이트
sysmon.exe -c sysmonconfig-export.xml
# 제거
sysmon.exe -u이미 기존에 설치 하였으므로 설정 업데이트 실시
잘 업데이트 되었다
참고 목록
https://medium.com/@olafhartong/endpoint-detection-superpowers-on-the-cheap-part-1-e9c28201ac47
'Tool' 카테고리의 다른 글
| 개발자로서 chatgpt4o 모델 향상 체감하기 (0) | 2024.05.14 |
|---|---|
| [curl] curl 로 응답 헤더 확인 (0) | 2024.04.17 |
| [tree] 명령어로 폴더 구조 명세화하기 (0) | 2024.03.31 |
| [git] gitignore 다시 적용 (0) | 2024.03.14 |
| [python] 개발자라면 알아야 하는 "freeze" (0) | 2024.03.12 |
