INTEGRACIONES NATIVAS

Monitoreo de logs de Microsoft Sysmon con Log360

Resumen general

ManageEngine Log360 proporciona una recopilación, correlación y análisis avanzados de logs generados por el Monitor de Sistema de Microsoft (Sysmon). Sysmon proporciona una visibilidad detallada de las creaciones de procesos, las conexiones de red y los cambios en los endpoints que no están disponibles en los logs estándar de Windows. Al transformar esta actividad altamente detallada en inteligencia de seguridad procesable, Log360 permite a las organizaciones detectar ataques sofisticados, buscar amenazas y llevar a cabo investigaciones forenses detalladas.

Cómo Log360 recopila y analiza los logs de Sysmon

Sysmon registra sus datos en un canal dedicado dentro del log de eventos de Windows (Applications and Services Logs/Microsoft/Windows/Sysmon/Operational). Log360 recopila estos datos de manera eficiente utilizando sus agentes de recopilación de logs estándar.

Método de recopilación:

  • Recopilación basada en agentes: El método principal consiste en implementar el agente de Log360 ligero en sus endpoints de Windows. El agente está configurado para registrar eventos directamente desde el canal de log de eventos Sysmon en tiempo real y reenviarlos de forma segura al servidor Log360 central para su análisis y almacenamiento.

El motor de análisis sintáctico inteligente de Log360 entiende la estructura de todos los ID de eventos de Sysmon, extrayendo automáticamente campos críticos como nombres de procesos, argumentos de línea de comandos, hashes, información de usuario y detalles de red. Esto enriquece los datos sin procesar, haciéndolos inmediatamente disponibles para alertas, informes y cacería de amenazas.

Funciones de monitoreo

Log360 recopila y analiza todo el espectro de eventos generados por Sysmon, proporcionando una visión completa de la actividad de los endpoints.

  • Fuente de los logs: Logs de eventos de Sysmon (desde el canal de logs de eventos de Windows: Microsoft-Windows-Sysmon/Operational)

Eventos críticos de Sysmon monitoreados

Log360 realiza un seguimiento de los eventos esenciales de seguridad y operativos generados por Sysmon, incluyendo:

  • ID de evento 1: Creación de procesos: Controla cada proceso lanzado, incluidos sus argumentos de línea de comandos, el proceso principal y el hash del archivo.
  • ID de evento 3: Conexión de red: Monitorea todas las conexiones de red salientes realizadas por procesos en el sistema, incluidas las direcciones IP de destino y los puertos.
  • ID de evento 7: Imagen cargada: Registra todas las DLL cargadas por procesos, lo que ayuda a detectar el vaciado de procesos y la inyección de código malicioso.
  • ID de evento 8: CreateRemoteThread: Detecta cuando un proceso crea un hilo en otro proceso, una técnica común utilizada por el malware.
  • ID de evento 11: FileCreate: Registra la creación de nuevos archivos, que es invaluable para rastrear droppers de malware y detectar actividad de ransomware.
  • ID del evento 12, 13, 14: Eventos de registro: Monitorea la creación, modificación y eliminación de claves y valores del registro, a menudo utilizados para la persistencia.
  • ID de evento 22: Consulta de DNS: Registra todas las consultas de DNS realizadas por procesos, revelando dominios de comando y control (C2) y otras búsquedas sospechosas.

Ventajas clave

  • Visibilidad profunda de los endpoints: Obtenga una visión inigualable de la ejecución del proceso, la comunicación entre procesos y la actividad de red que los logs estándar pasan por alto por completo.
  • Detección avanzada de amenazas: Identifique malware sigiloso, ataques sin archivos y técnicas “living-off-the-land” que evaden las soluciones antivirus tradicionales.
  • Cacería proactiva de amenazas: Proporcione a sus analistas de seguridad los datos detallados necesarios para buscar proactivamente IOC y APT.
  • Respuesta ante incidentes y análisis forense avanzados: Reduzca drásticamente el tiempo de investigación proporcionando un log completo y con marca de tiempo de las acciones de un atacante en un endpoint.

Aborde los principales desafíos de seguridad de endpoints con Log360

La siguiente tabla detalla los desafíos comunes y las soluciones ofrecidas por Log360:

RetosSolución ofrecida por Log360
Detección de malware sin archivos y ataques “living-off-the-land”Identifica los ataques que utilizan herramientas legítimas como PowerShell mediante el monitoreo de argumentos de línea de comandos, ancestros de procesos sospechosos y conexiones de red realizadas por procesos de confianza.
Detección temprana de ransomwareDetecta comportamientos comunes de ransomware, como la creación rápida de nuevos archivos, y alerta sobre procesos que eliminan copias ocultas de volumen (seguimiento a la eliminación de vssadmin.exe).
Seguimiento del movimiento lateral del atacanteProporciona una visión clara de las interacciones proceso a proceso, la creación remota de subprocesos y las conexiones de red, lo que ayuda a trazar la ruta de un atacante a través de la red.
Falta de datos forensesEnriquece las investigaciones de incidentes con datos altamente detallados, incluidos GUID de proceso, argumentos de línea de comandos y hashes de archivo, lo que permite una reconstrucción completa de una secuencia de ataque.
Monitoreo de mecanismos de persistenciaAlertas sobre cambios en claves críticas del log (por ejemplo, claves de ejecución) y la creación de nuevos servicios o tareas programadas que los atacantes utilizan para mantener la persistencia en un sistema.

Visualice sus datos de endpoints

¿Quiere ver ejemplos detallados? Explore las funciones de monitoreo de Sysmon y los casos de uso dentro de Log360.

Iniciar

¿Listo para proteger su entorno de Windows con Log360?

Obtenga una visibilidad completa, detecte amenazas avanzadas más rápido y mejore sus funciones de respuesta ante incidentes.

Explorar ManageEngine Log360  
Detalles
  • Categoría Gestión de logs
Soporte

 support@log360.com

 Obtenga asistencia técnica

Recursos pertinentes

  Resumen general de las funciones de Log360

Hable con nuestros expertos en seguridad

¿Tiene alguna pregunta sobre las funciones de integración de Log360 o necesita orientación técnica?

 
 
 
»

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Solución integral para la gestión de registros y la auditoría de Active Directory
Productos relacionados