Sysmonアプリケーションの追加

Sysmon（システムモニター）は、レジストリアクティビティ、ファイルアクティビティ、プロセスアクティビティ、ネットワークドライバーアクティビティなどを含むシステムのアクティビティを監査します。

SysmonがインストールされているデバイスをSysmonアプリケーションとして追加することで、Sysmonが監査する内容をレポートで確認できます。

Sysmonアプリケーションとしてデバイスを追加する手順は、以下のとおりです。

1. [設定]タブ → [ログソースの構成] → [アプリケーション]に移動します。画面右上の[+追加] → [アプリケーション]をクリックすることでも同画面へ移動できます。
2. [一般アプリケーション]タブへ移動し、[+一般アプリケーションを追加]をクリックします。
3. [ログソースタイプ]として、[Sysmonアプリケーション]を選択します。
   
4. [+]アイコンをクリックしてリストを展開し、デバイスを選択します。または、デバイスを手動で追加します。
5. [選択]をクリックし、[追加]をクリックします。

検索タブ

[検索]タブに移動します。ドロップダウンメニューをクリックして[Sysmon]を選択すると、Sysmonアプリケーションのログを検索できます。

Sysmonアプリケーションログから特定の情報を抽出したい場合は、ログからカスタム/新規フィールドを抽出または作成します。詳細は、こちらのページをご参照ください。

Sysmonアプリケーションログを生成するために必要な設定

デバイスがSysmonアプリケーションとして追加される際、自動的に必要な設定が追加されます。ただし、自動的に追加されるためには、認証情報として入力したユーザーが、レジストリにアクセスしてキーを追加する権限を有する必要があります。自動的に設定が追加されない場合、以下の設定を実施してください。

手動で設定を追加する場合の手順

1. 当該デバイス上でレジストリエディター（regedit）を開きます。
2. コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLogに移動します。
3. EventLogを右クリック → [新規] → [キー]をクリックします。
4. キー名として、「Microsoft-Windows-Sysmon/Operational」を入力します。