설치 매뉴얼
Sysmon 설치
마이크로소프트 웹사이트에서 Sysmon v15.14 이상의 버전을 다운로드하여 설치합니다. 설치 명령어는 관리자 권한의 명령 프롬프트에서 아래와 같이 실행합니다.
Sysmon XML 설정은 아래의 기본 템플릿을 참고하여 설정합니다. onmatch 옵션이 exclude이면 지정된 항목을 제외한 모든 이벤트를 수집한다는 의미입니다.
<Sysmon schemaversion="4.0">
<HashAlgorithms>SHA256</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="exclude" />
<ProcessTerminate onmatch="exclude" />
<FileCreateTime onmatch="exclude" />
<NetworkConnect onmatch="exclude" />
<DriverLoad onmatch="exclude" />
<CreateRemoteThread onmatch="exclude" />
<RawAccessRead onmatch="exclude" />
<DnsQuery onmatch="exclude" />
<ImageLoad onmatch="exclude" />
<ProcessAccess onmatch="exclude" />
<FileCreate onmatch="exclude" />
<RegistryEvent onmatch="exclude" />
<FileCreateStreamHash onmatch="exclude" />
<PipeEvent onmatch="exclude" />
<WmiEvent onmatch="exclude" />
</EventFiltering>
</Sysmon>
그러나 기본 XML 설정 템플릿은 모든 이벤트를 수집하므로 불필요한 정보가 많을 수 있습니다. 플레인비트의 구성 예 등 전문적인 Sysmon XML 설정을 참고하여 세부 설정을 조정하는 것을 권장합니다. 기존 설정을 변경하려면 아래와 같이 명령합니다.
로그프레소 윈도우 센트리 설치
시스템의 센트리 메뉴에서 윈도우 유형의 센트리를 추가하고, 안내에 따라 대상 윈도우 서버에서 센트리 자동 설치를 진행합니다.
Sysmon 수집 설정
- 수집 위치: 새로 설치한 로그프레소 윈도우 센트리 선택
- 수집 모델:
Sysmon- 수집 위치 선택에 따라 가용한 수집 모델이 표시되는 점에 유의하세요.
- 테이블:
SYSMON - 채널 경로:
Microsoft-Windows-Sysmon/Operational - 호스트 IP: 센트리가 설치된 서버의 관리 IP 주소