Комментарии 7
TL;DR.
Почему sysmon? Я не настолько спец, но меня интересуют линукс системы. Догадаться, что речь идет про винду - не читая - попросту невозможно.
Но окей. Почему не https://www.elastic.co/guide/en/beats/auditbeat/7.17/auditbeat-installation-configuration.html ?
Догадаться можно хотя бы по тегу в статье - там есть windows и речь с самого начала шла о расширении аудита ивент лога (журнала винды).
Ну, про autditbeat я в курсе ) спасибо ) Касательно генерации событий - я вообще удивлен, что в винде все так плохо. Мне казалось, что там достаточно источников. Но, не спец, у меня больше опыта с линуксом. Я уж не говорю, что есть такие прекрасные штуки как https://documentation.wazuh.com/current/installation-guide/wazuh-agent/wazuh-agent-package-windows.html которые вроде тоже могут помогать очень сильно. И странно, что это не упомянуто. И меня всегда пугают сторонние компоненты в винде, даже написанные такими мэтрами как Руссинович и Ко (я в свое время очень много пользовал их инструменты, пока они были sysinternals). Еще интересным мне показалось решение https://tech-en.netlify.app/articles/en515576/index.html о котором даже тут на хабре были переводные русскоязычные статьи.. Очень хочется понять, каково местоположение описанного автором решения в координатной сетке вот этих вот средств.
Догадаться можно хотя бы по тегу в статье
ну, это мотать нужно до конца. А так было бы круто написать про это в первом абзаце, чтобы контекст был. Вроде как "сидел тут я и пытался настроить windows сервера...."
Почему sysmon уже ответили. А для linux-систем можно использовать auditd или также sysmon. Если Вам нужно отправлять события в Elastic или SIEM, можете использовать beat и logstash, или syslog
Профилируем события Sysmon при внедрении в инфраструктуру