Bu yazıda Windows eventlerini sysmon kullanarak wazuh üzerinde izlemek ve görselleştirmek için gerekli olan konfigürasyonları paylaşacağım.
Öncelikle windows sisteme bu yazıda anlatıldığı gibi sysmon’un kurulması gerekiyor. Ardından wazuh agent’ını yine aynı windows sisteme yüklemeniz gerekmekte. Onun içinde bu yazıdan yararlanabilirsiniz.
Wazuh Agent’ını Yapılandırma
Wazuh agent’ının ilgili sistemde yüklü ve çalışır vaziyette olduğunu kabul edersek, bu agent’a sysmon loglarını izlemek istediğimizi söylememiz gerekiyor. Bu işlemi her endpoint için teker teker yapabileceğimiz gibi wazuh üzerinde group oluştururarak da yapabiliriz.
Wazuh Agent Group Oluşturma
Dashboard’da menüden groups sayfasına tıklayın.
“Add New Group” butonunda yeni group’u oluşturun.
Yeni group oluşturduktan sonra, agent dağıtımını direk bu group’lara indexleyecek şekilde de oluşturabilirsiniz.
Şimdi agentların sysmon eventlerini alması için aşağıdaki kodu wazuh dashboard’dan management > group sayfasında ilgili agent group’un edit configration butonuna tıklayarak açılan sayfaya girmemiz gerekiyor.
Yada ayrı ayrı agent için yapmak isterseniz ilgili windows sisteminde “ossec.conf” dosyası içerisine eklememiz gerekiyor. İlgili dosya “C:\Program Files (x86)\ossec-agent” dizini içerisinde yer alıyor.
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
Bu işlemlerden sonra dashboard > modules > security event sayfasında sysmon eventlerinin geldiğini görebilirsiniz.