Uno podría pensar que, con lo efectivas que son ciertas empresas registrando todo lo que hacemos para mostrarnos anuncios, usarían eso para que, al menos, sepamos qué ocurre en nuestros sistemas y monitoricemos su rendimiento y seguridad. Pero en el caso de Windows, los logs tradicionales se quedan cortos y de ahí viene la importancia de Sysmon.
Sysmon es un servicio de Windows que registra la actividad del sistema operativo en un log de eventos. Pero no viene instalado por defecto, así que podemos descargarlo desde aquí.
Una vez instalado, los logs de Sysmon son mucho más avanzados y exhaustivos que el registro de eventos de Windows por defecto, lo cual es fundamental para la seguridad de nuestros sistemas.
Por eso, veamos Sysmon en detalle.
Cómo instalar Sysmon
Sysmon no se instala como un programa habitual de Windows y estos son los pasos para hacerlo sin errores extraños:
- Ejecuta Powershell como administrador.
- Navega con la línea de comandos hasta la ubicación en la que hayas descomprimido el archivo enlazado antes.
- Ahora ejecuta: .\Sysmon64.exe -i -accepteula
- Verás unos mensajes de instalación y ya lo tienes funcionando.
Ubicación y gestión de los logs de Sysmon
Ahora, ¿cómo podemos ver los registros de Sysmon? A Microsoft le gusta escondernos las cosas, pero es «fácil»:
- Pulsa la tecla Windows y busca Visor de Eventos. Ejecútalo.
- Verás varias carpetas, ve a: Registros de Aplicaciones y Servicios.
- Entra en la carpeta Microsoft y luego en la carpeta Windows.
- En la pantalla central, baja hasta que encuentres Sysmon y pulsa en él. Verás un log llamado Operational, que puedes gestionar con las opciones que verás a la derecha. Haz clic y ábrelo.
- Ahí está todo lo que ocurre y puedes seleccionar eventos, copiarlos, guardarlos…
Por qué los logs de Sysmon son fundamentales para un SIEM
Con esos logs exhaustivos de Sysmon, nuestro SIEM, como Pandora SIEM, puede analizar y correlacionar esos registros, detectando y alertando al SOC sobre amenazas que, con logs básicos pasarían desapercibidas.
Por ejemplo, un ataque de process hollowing, en el que un actor malicioso crea un proceso «legítimo» como svchost.exe, pero que en realidad lleva dentro código malicioso, pasaría por debajo del radar de los registros de evento por defecto, y eso si no los ha deshabilitado primero.
Pero gracias a Sysmon, nuestro SIEM detectaría y alertaría sobre esta y otras técnicas al analizar su log. Por eso, en el panorama de seguridad actual, Sysmon es imprescindible si manejas equipos Windows y te enfrentas a cosas más avanzadas que un ataque DDoS.
Los eventos que registra Sysmon
Con Sysmon pasamos casi de la nada al todo en cuanto a eventos registrados. El servicio asigna un número ID a cada tipo de evento y estos son los que guarda:
- 1: Creación del proceso.
- 2: Un proceso cambió la hora de creación de un archivo.
- 3: Conexión de red.
- 4: Estado del servicio Sysmon cambiado.
- 5: Proceso finalizado.
- 6: Controlador cargado.
- 7: Imagen cargada.
- 8: CreateRemoteThread.
- 9: RawAccessRead.
- 10: ProcessAccess.
- 11: FileCreate.
- 12: RegistryEvent (Creación y eliminación de objetos).
- 13: RegistryEvent (conjunto de valores).
- 14: RegistryEvent (nombre de clave y valor).
- 15: FileCreateStreamHash.
- 16: ServiceConfigurationChange.
- 17: PipeEvent (canalización creada).
- 18: PipeEvent (canalización conectada).
- 19: WmiEvent (actividad WmiEventFilter detectada).
- 20: WmiEvent (actividad WmiEventConsumer detectada).
- 21: WmiEvent (actividad WmiEventConsumerToFilter detectada).
- 22: DNSEvent (consulta DNS).
- 23: FileDelete (eliminación de archivo archivado).
- 24: ClipboardChange (nuevo contenido en el Portapapeles).
- 25: ProcessTampering (procesar cambio de imagen).
- 26: FileDeleteDetected (eliminación de archivos registrada).
- 27: FileBlockExecutable.
- 28: FileBlockShredding.
- 29: FileExecutableDetected.
- 255: Error. Reservado a cuando no puede realizar alguna tarea y otros fallos.
Como vemos, guarda la creación o modificación de archivos, el Portapapeles, peticiones de red… Con este registro granular, podemos correlacionar hechos aparentemente inocentes por sí mismos, pero que juntos pueden ser piezas de un ataque sofisticado.
Ciclo de vida de los logs de Sysmon
Para una gestión eficiente de registros, debemos definir qué ocurrirá en cada paso de su ciclo de vida.
Sysmon comienza registrando eventos en tiempo real según la configuración que hayamos definido en un archivo XML.
Obviamente, tiene una configuración por defecto con la que empieza a registrar, pero el poder y el interés de cualquier SOC es adaptar ese XML a lo que más necesita su organización, sus políticas de seguridad y gestión de riesgos o su infraestructura, como el SIEM que use.
Así, podemos configurar Sysmon para que no registre «ruido» o demasiadas cosas que no interesan, centrándonos en las que sí.
A partir de ese nacimiento de nuestro log registrando eventos, estos se almacenarán hasta alcanzar el tamaño definido del registro, que podemos ajustar desde el Visor de Eventos.
Para ello, nos vamos de nuevo hasta Operational, pulsamos con botón derecho, elegimos Propiedades y ahí podemos definir:
- Tamaño máximo del log.
- Qué se hace cuando se alcanza: Sobreescribir empezando por los eventos más antiguos, Archivar el log de modo que no se sobreescriba o bien no sobreescribir, porque limpiarás el registro manualmente (lo que siempre prometes y no cumples, probablemente).
Ese registro alcanza su mayor utilidad cuando lo analiza un SIEM, porque estar navegando por cada línea de Sysmon forja héroes, pero también miopes, siendo infinitamente más lento que el SIEM, con elevada probabilidad de pasar cosas por alto, como indicios de malware.
Por ejemplo, el agente de Pandora SIEM recoge el registro y lo envía a un servidor centralizado para analizar y correlacionar con otros logs sin que se nos caigan las pestañas. Así, detendremos en tiempo real posibles amenazas escondidas entre las incontables líneas y que conecten con actividades de otros registros, como los de red u otras máquinas, aunque no sean Windows.
No solo eso, aunque el endpoint Windows quede comprometido hasta ser inservible, tendremos el registro centralizado en nuestro SIEM, permitiendo saber qué ha producido ese fallo catastrófico en el análisis forense.
¿Y qué se hace con los logs una vez analizados?
Dependerá del equilibrio entre un archivado y borrado sensatos, junto las necesidades forenses o las exigencias normativas de almacenaje de logs en el tiempo.
Cómo analiza los logs de Sysmon Eventlog Analyzer
Un log de Sysmon registra mucha información, pero nosotros necesitamos conocimiento accionable para nuestras estrategias de defensa. Para ello, varias aplicaciones pueden usar Sysmon para detectar patrones maliciosos y avisarnos.
Eventlog Analyzer es una herramienta de ManageEngine que, dentro de sus prestaciones, tiene el análisis de logs, no solo de Sysmon, sino también de routers, IDS, etc.
Así, los normaliza, correla y muestra lo importante de manera visual en Dashboards y alertas.
Eso facilita la detección de amenazas, la labor forense en brechas, el cumplimiento de normativas…
Monitorización de Sysmon con Pandora FMS y Pandora SIEM
Pandora SIEM también permite centralizar y analizar de manera más avanzada los registros de Sysmon (y de otras partes de la infraestructura IT) vía Log Collector. Luego, transforma esa información en conocimiento y detecta amenazas, avisando enseguida. No importa si tienes máquinas Windows y Linux, por ejemplo, y la información de Sysmon debe jugar en equipo con Syslog o Auditd. Todo se integra y analiza.
Una de las prestaciones más poderosas de Pandora es que podemos adaptar siempre la herramienta a cómo trabajemos, personalizándola para nuestra organización y necesidades.
Del mismo modo, Pandora muestra exactamente lo que queremos en dashboards que nosotros mismos definimos (como listar eventos Sysmon ordenados por criticidad) y que nos alerte de lo que deseamos y nada más, callando el ruido.
Además, también puede realizar informes y búsquedas poderosas, que van mucho más allá de las prestaciones de otras herramientas.
Pandora es una solución integral, la computadora del Enterprise, capaz de monitorizar y manejar sistemas dispares, para que trabajen como un reloj. Su SIEM es sinónimo de la seguridad más avanzada, pero también se puede incluir monitorización y control remoto o ticketing en un solo lugar.
Eso evita que parezcamos el Doctor Frankenstein cosiendo mil herramientas diferentes hasta que sale un monstruo que se rompe por las costuras. Algo demasiado habitual en IT, que además añade un soporte fragmentado en cada herramienta, que siempre responderá que la culpa es de «las otras aplicaciones».
Cómo configurar Sysmon correctamente
Un gran poder conlleva una gran responsabilidad… y complejidad. Es por eso que, para cualquiera que necesite filtrar «ruido» y recibir solamente información crítica de Sysmon, usar un XML personalizado de configuración es recomendable.
Eso lo hacemos con la instrucción:
.\Sysmon64.exe -i -accepteula c:\micarpeta\mixmlpersonal.xml
Pero componer ese XML desde cero resulta uno de los trabajos de Hércules, por eso, Pandora te ofrece uno base para empezar, que puedes descargar aquí.
Este fichero está basado en las mejores prácticas y adaptado especialmente para que Pandora extraiga la información clave que permita proteger con eficacia, pero el XML debe ser siempre adaptado a cada entorno.
El archivo viene comentado (lo que permite trabajar mucho mejor con él) y con ciertas reglas específicas de Pandora, pero puedes modificarlo según tu necesidad.
Puntos clave del XML que querremos personalizar podrían ser:
- Procesos clave (busca
- Puertos a los que se conectan atacantes (busca
- Cambios en el registro (busca
- Ejecutables desde ubicaciones sospechosas, como /temp o la Papelera de Reciclaje…
- Puertos a los que se conectan atacantes (busca
Familiarizarse con el XML, su estructura y lo que significa cada cosa es una de las mejores habilidades a adquirir para proteger equipos Windows.
Así, podemos estar seguros de que el potencial de Sysmon no se queda olvidado en registros que ocupan gigas, mientras recogen polvo virtual.
Como vemos, si manejamos equipos Windows, Sysmon es imprescindible, porque Microsoft quizá lo sepa todo de nosotros, pero con los eventos registrados por defecto nosotros sabemos poco de Windows. Por eso es necesario comenzar a registrar con Sysmon, pero no solo quedarse ahí.
Su enorme poder de registro es también su reto y, por eso, a fin de aprovechar Sysmon para asegurar nuestra organización, lo ideal es personalizar su XML e integrarlo con un SIEM. Él realizará el trabajo duro de detectar las amenazas escondidas entre las miles de líneas del log.
Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.
Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.
