Microsoft Sysmon のインストール
一部の Tenable Identity Exposure の攻撃インジケーター (IoA) では、Microsoft System Monitor (Sysmon) サービスをアクティブにする必要があります。
Sysmon は、システムアクティビティを監視し、Windows イベントログに記録することで、Event Tracing for Windows (ETW) インフラでよりセキュリティ指向の情報を提供します。
なぜなら、他の Windows サービスやドライバーをインストールすると、AD インフラをホスティングしているドメインコントローラーのパフォーマンスに影響が出る場合があるからです。Tenable が自動的に Microsoft Sysmon を導入することはありません。手動で、または専用の GPO を使用してインストールする必要があります。
次の IoA は、Microsoft Sysmon が必要です。
|
名前 |
理由 |
|---|---|
|
OS 認証情報のダンプ: LSASS メモリ |
プロセスインジェクションの検出 |
注意: Sysmon をインストールする場合、必要なイベントをすべて収集するには、PDC だけでなく、すべてのドメインコントローラーにインストールする必要があります。
注意: Tenable Identity Exposure を完全にデプロイする前に、Sysmon インストールの互換性をテストしてください。
ヒント: 潜在的な脆弱性に対処するパッチを利用するために、インストール後も Sysmon を定期的に更新するようにしてください。Tenable Identity Exposure と互換性のある最も古いバージョンは Sysmon 12.0 です。
Sysmon をインストールするには
-
Sysmon を Microsoft のウェブサイトからダウンロードします。
-
コマンドラインインターフェースで、次のコマンドを実行して Microsoft Sysmon をローカルマシンにインストールします。
コピー.\Sysmon64.exe -accepteula -i C:\TenableSysmonConfigFile.xml
注意: 設定の説明については、Sysmon 設定ファイルのコメントを参照してください。
-
次のコマンドを実行して、Sysmon がインストールされていることを WMI フィルターに示すレジストリキーを追加します。
コピーreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Microsoft-Windows-Sysmon/Operational"
Sysmon をアンインストールするには
-
PowerShell ターミナルを開きます。
-
Sysmon64.exe が含まれているフォルダーを参照します。
-
次のコマンドを入力します。
コピーPS C:\> .\Sysmon64.exe -u
レジストリキーを削除するには
-
コマンドラインインターフェースで、Sysmon を実行しているすべてのマシンに次のコマンドを入力します。
コピーreg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Microsoft-Windows-Sysmon/Operational"
Sysmon 設定ファイル
注意:
- Sysmon 設定ファイルを使用する前に、XML ファイルとしてコピーして保存してください。エラーが発生した場合は、ここから設定ファイルを直接ダウンロードすることもできます。
- 実行する前に、ファイルのプロパティでファイルのブロックを解除します。
- Sysmon 設定ファイルを使用する前に、XML ファイルとしてコピーして保存してください。エラーが発生した場合は、ここから設定ファイルを直接ダウンロードすることもできます。
- 実行する前に、ファイルのプロパティでファイルのブロックを解除します。
Sysmon 設定ファイル
コピー
<Sysmon schemaversion="4.40">
<EventFiltering>
<!--SYSMON EVENT ID 1 : PROCESS CREATION [ProcessCreate]-->
<RuleGroup name="" groupRelation="or">
<ProcessCreate onmatch="exclude">
<!--NOTE: Using "exclude" with no rules means everything in this section will be logged-->
</ProcessCreate>
</RuleGroup>
<!--SYSMON EVENT ID 2 : FILE CREATION TIME RETROACTIVELY CHANGED IN THE FILESYSTEM [FileCreateTime]-->
<RuleGroup name="" groupRelation="or">
<FileCreateTime onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</FileCreateTime>
</RuleGroup>
<!--SYSMON EVENT ID 3 : NETWORK CONNECTION INITIATED [NetworkConnect]-->
<RuleGroup name="" groupRelation="or">
<NetworkConnect onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</NetworkConnect>
</RuleGroup>
<!--SYSMON EVENT ID 4 : RESERVED FOR SYSMON SERVICE STATUS MESSAGES-->
<!--Cannot be filtered.-->
<!--SYSMON EVENT ID 5 : PROCESS ENDED [ProcessTerminate]-->
<RuleGroup name="" groupRelation="or">
<ProcessTerminate onmatch="exclude">
<!--NOTE: Using "exclude" with no rules means everything in this section will be logged-->
</ProcessTerminate>
</RuleGroup>
<!--SYSMON EVENT ID 6 : DRIVER LOADED INTO KERNEL [DriverLoad]-->
<RuleGroup name="" groupRelation="or">
<DriverLoad onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</DriverLoad>
</RuleGroup>
<!--SYSMON EVENT ID 7 : DLL (IMAGE) LOADED BY PROCESS [ImageLoad]-->
<RuleGroup name="" groupRelation="or">
<ImageLoad onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</ImageLoad>
</RuleGroup>
<!--SYSMON EVENT ID 8 : REMOTE THREAD CREATED [CreateRemoteThread]-->
<RuleGroup name="" groupRelation="or">
<CreateRemoteThread onmatch="include">
<TargetImage name="lsass" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
</CreateRemoteThread>
</RuleGroup>
<!--SYSMON EVENT ID 9 : RAW DISK ACCESS [RawAccessRead]-->
<RuleGroup name="" groupRelation="or">
<RawAccessRead onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</RawAccessRead>
</RuleGroup>
<!--SYSMON EVENT ID 10 : INTER-PROCESS ACCESS [ProcessAccess]-->
<RuleGroup name="" groupRelation="or">
<ProcessAccess onmatch="include">
<!-- Detect Access to LSASS-->
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x1FFFFF</GrantedAccess>
</Rule>
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x1F1FFF</GrantedAccess>
</Rule>
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x1010</GrantedAccess>
</Rule>
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x143A</GrantedAccess>
</Rule>
<!-- Detect process hollowing to LSASS-->
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x0800</GrantedAccess>
</Rule>
<Rule groupRelation="and">
<TargetImage name="technique_id=T1003,technique_name=Credential Dumping" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x800</GrantedAccess>
</Rule>
<!-- Detect process process injection to LSASS-->
<Rule groupRelation="and">
<TargetImage name="technique_id=T1055,technique_name=Process Injection" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x0820</GrantedAccess>
</Rule>
<Rule groupRelation="and">
<TargetImage name="technique_id=T1055,technique_name=Process Injection" condition="is">C:\Windows\system32\lsass.exe</TargetImage>
<GrantedAccess>0x820</GrantedAccess>
</Rule>
</ProcessAccess>
</RuleGroup>
<!--SYSMON EVENT ID 11 : FILE CREATED [FileCreate]-->
<RuleGroup name="" groupRelation="or">
<FileCreate onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</FileCreate>
</RuleGroup>
<!--SYSMON EVENT ID 12 & 13 & 14 : REGISTRY MODIFICATION [RegistryEvent]-->
<RuleGroup name="" groupRelation="or">
<RegistryEvent onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</RegistryEvent>
</RuleGroup>
<!--SYSMON EVENT ID 15 : ALTERNATE DATA STREAM CREATED [FileCreateStreamHash]-->
<RuleGroup name="" groupRelation="or">
<FileCreateStreamHash onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</FileCreateStreamHash>
</RuleGroup>
<!--SYSMON EVENT ID 16 : SYSMON CONFIGURATION CHANGE-->
<!--Cannot be filtered.-->
<!--SYSMON EVENT ID 17 & 18 : PIPE CREATED / PIPE CONNECTED [PipeEvent]-->
<RuleGroup name="" groupRelation="or">
<PipeEvent onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</PipeEvent>
</RuleGroup>
<!--SYSMON EVENT ID 19 & 20 & 21 : WMI EVENT MONITORING [WmiEvent]-->
<RuleGroup name="" groupRelation="or">
<WmiEvent onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</WmiEvent>
</RuleGroup>
<!--SYSMON EVENT ID 22 : DNS QUERY [DnsQuery]-->
<RuleGroup name="" groupRelation="or">
<DnsQuery onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</DnsQuery>
</RuleGroup>
<!--SYSMON EVENT ID 23 : FILE DELETED [FileDelete]-->
<RuleGroup name="" groupRelation="or">
<FileDelete onmatch="include">
<!--NOTE: Using "include" with no rules means nothing in this section will be logged-->
</FileDelete>
</RuleGroup>
</EventFiltering>
</Sysmon>