クリア

Sysmonアプリケーションの追加

Sysmon(System Monitor)をシステムにインストールした場合、Sysmonはシステムのアクティビティを監査します。これはレジストリ、ファイル、プロセス、ネットワークドライバーのアクティビティなどの監査を含みます。

Sysmonがインストールされたデバイスを「Sysmonアプリケーション」として追加し、イベントを各レポートにカテゴライズします。

adding-sysmon-application_1

「Sysmonアプリケーション」としてデバイスを追加する方法は以下のとおりです。

  1. Log360 Cloudにログインします。
  2. [設定]→[構成]→[ログソースの構成]→[アプリケーション]に移動します。
  3. 右パネルで、[一般アプリケーション]タブをクリックし、監視されているアプリケーションの一覧を表示します。
  4. 新規アプリケーションを追加するため、[一般アプリケーションを追加]をクリックします。
  5. 「アプリケーションの種類」として[Sysmonアプリケーション]を選択します。
    adding-sysmon-application_2
  6. 新規デバイスを追加するため、「ログソース」フィールドの[+]アイコンをクリックし一覧を展開します。
  7. メニューから構成済みのログソースやワークグループ、ドメインデバイスなどを選択します。
    adding-sysmon-application_3
    メモ

    構成済みでないデバイスを手動で追加するには、[手動設定]をクリックし、ログソース詳細を入力します。

    adding-sysmon-application_A.png

    デバイスの種類がSyslogの場合、「Syslogデバイスを追加」ボックスにチェックします。
    デバイスの種類がWindowsの場合は、「ユーザー名」「パスワード」を入力し、[資格情報を確認する]をクリックします。

  8. [選択]をクリックし、ログソースを追加します。
  9. 「エージェントを選択してください」ドロップダウンを使用し、ログの転送先のエージェントとなるデバイスを選択します。
  10. [追加]をクリックします。

検索

[検索]タブに移動します。[ログソースを選定]ドロップダウンボックスから[Sysmon]を選択することで、Sysmonログを検索できます。「Sysmonアプリケーション」の特定のログタイプカテゴリーが表示されます。

adding-sysmon-application_4

カスタムフィールド/新しいフィールドをログから作成し、Sysmonアプリケーションのログから情報をさらに引き出すことができます。

ログの設定

Sysmonを追加した際に設定した認証情報が、レジストリにアクセスしキーを追加する権限を持っていた場合、デバイスをSysmonアプリケーションとして追加したときに、設定が自動的に追加されます。自動的に追加されない場合は、ログを行うために、キーを追加、有効化する必要があります。

レジストリへのキーの追加手順

  1. コマンドラインウィンドウで、Sysmonマシンのレジストリエディターを開きます(「regedit」を使用)。
  2. 以下の場所に移動します。
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\
  3. 新しいキーを作成するため、[eventlog]上で右クリックし、[new]→[key]とクリックします。キー名として「Microsoft-Windows-Sysmon/Operational」を設定します。
       概要