Supervision de Windows avec Sysmon : guide pratique et configuration

On pourrait penser qu’avec l’efficacité avec laquelle certaines entreprises enregistrent tout ce que nous faisons pour nous montrer des publicités, elles utiliseraient cette même capacité pour, au moins, nous permettre de savoir ce qui se passe réellement sur nos systèmes et surveiller leurs performances et leur sécurité. Mais dans le cas de Windows, les journaux d’événements classiques sont insuffisants — d’où l’importance de Sysmon.
Sysmon est un service Windows qui enregistre l’activité du système d’exploitation dans un journal d’événements. PCependant, il n’est pas installé par défaut, il faut donc le télécharger depuis ce lien.
Une fois installé, les journaux de Sysmon sont bien plus détaillés et complets que les journaux d’événements standards de Windows, ce qui est fondamental pour la sécurité de nos systèmes.
C’est pourquoi nous allons examiner Sysmon en détail.

Comment installer Sysmon

Sysmon ne s’installe pas comme un programme Windows classique, et voici les étapes à suivre pour l’installer sans erreurs étranges :

• Ouvre Powershell en tant qu’administrateur.
• Navigue dans la ligne de commande jusqu’à l’emplacement où tu as décompressé le fichier téléchargé précédemment.
• Exécute ensuite : .\Sysmon64.exe -i -accepteula
• Tu verras apparaître quelques messages d’installation, et voilà, Sysmon est en fonctionnement.

Emplacement et gestion des journaux de Sysmon

Alors, comment peut-on consulter les journaux de Sysmon ? Microsoft aime bien cacher les choses, mais c’est relativement « simple » :

• Appuie sur la touche Windows et cherche Observateur d’événements. Lancez-le.
• Tu verras plusieurs dossiers. Allez dans : Journaux des applications et des services.
• Ouvre le dossier Microsoft puis Windows.
• Dans le panneau central, fais défiler jusqu’à trouver Sysmon puis clique dessus. Un journal nommé Operational, apparaîtra : tu peux le gérer via les options affichées à droite. Cliquez pour l’ouvrir.
• C’est là que toute l’activité enregistrée par Sysmon s’affiche : vous pouvez sélectionner des événements, les copier, les enregistrer, etc.

Pourquoi les journaux Sysmon sont essentiels pour un SIEM

Grâce aux journaux détaillés générés par Sysmon, notre SIEM, comme Pandora SIEM, peut analyser et corréler ces enregistrements, détectant et alertant le SOC sur des menaces qui passeraient inaperçues avec les journaux classiques.

Par exemple, une attaque de process hollowing, où un acteur malveillant crée un processus soi-disant « légitime » comme svchost.exe, mais qui contient en réalité du code malveillant, passerait sous le radar des journaux d’événements standards, à supposer qu’ils n’aient pas été désactivés avant.
Mais grâce à Sysmon, notre SIEM peut détecter et signaler cette technique (et d’autres) en analysant les journaux. C’est pourquoi, dans le contexte de sécurité actuel, Sysmon est indispensable si vous administrez des machines Windows et faites face à des menaces plus avancées qu’un simple DDoS.

Les événements enregistrés par Sysmon

Avec Sysmon, on passe presque de rien à tout en matière d’événements enregistrés. Le service attribue un identifiant (ID) à chaque type d’événement, et voici ceux qu’il consigne :

• 1 : Création d’un processus.
• 2 : Un processus a modifié la date de création d’un fichier.
• 3 : Connexion réseau.
• 4 : État du service Sysmon modifié.
• 5 : Processus terminé.
• 6 : Pilote chargé.
• 7 : Image chargée.
• 8 : CreateRemoteThread.
• 9 : RawAccessRead.
• 10 : ProcessAccess.
• 11 : FileCreate.
• 12 : RegistryEvent (création et suppression d’objets).
• 13 : RegistryEvent (ensemble de valeurs).
• 14 : RegistryEvent (nom de clé et valeur).
• 15 : FileCreateStreamHash.
• 16 : ServiceConfigurationChange.
• 17 : PipeEvent (canal créé).
• 18 : PipeEvent (canal connecté).
• 19 : WmiEvent (activité WmiEventFilter détectée).
• 20 : WmiEvent (activité WmiEventConsumer détectée).
• 21 : WmiEvent (activité WmiEventConsumerToFilter détectée).
• 22 : DNSEvent (requête DNS).
• 23 : FileDelete (fichier supprimé archivé).
• 24 : ClipboardChange (nouveau contenu dans le presse-papiers).
• 25 : ProcessTampering (modification d’image de processus).
• 26 : FileDeleteDetected (suppression de fichier détectée).
• 27 : FileBlockExecutable.
• 28 : FileBlockShredding.
• 29 : FileExecutableDetected.
• 255 : Error. Réservé aux tâches échouées ou autres erreurs.

Comme on peut le voir, Sysmon enregistre la création ou la modification de fichiers, le contenu du presse-papiers, les requêtes réseau, etc. Grâce à ce niveau de granularité, il est possible de corréler des événements apparemment anodins mais qui, une fois regroupés, peuvent révéler un scénario d’attaque sophistiqué.

Cycle de vie des journaux Sysmon

Pour une gestion efficace des https://www.ncsc.gov.uk/guidance/introduction-logging-security-purposes, il est essentiel de définir ce qui se passera à chaque étape de leur cycle de vie.
Sysmon commence à enregistrer des événements en temps réel selon la configuration définie dans un fichier XML.
Il dispose évidemment d’une configuration par défaut pour commencer à fonctionner, mais l’intérêt d’un SOC est de personnaliser ce fichier XML selon les besoins de l’organisation, ses politiques de sécurité, sa gestion des risques ou encore les spécificités de son infrastructure (comme le SIEM utilisé).
Ainsi, il est possible de configurer Sysmon pour éviter d’enregistrer du « bruit » ou des données inutiles, et se concentrer uniquement sur les informations pertinentes.
Une fois la collecte commencée, les journaux sont stockés jusqu’à atteindre la taille maximale définie, que l’on peut modifier via l’ Observateur d’événements.
Pour cela rendez-vous dans le journal Operational, faites un clic droit et sélectionnez Propriétés. Vous pourrez alors définir :

• La taille maximale du journal.
• L’action à effectuer une fois cette taille atteinte : écraser les événements les plus anciens, archiver le journal sans écrasement, ou ne rien faire (et compter sur vous pour le nettoyer manuellement… ce que vous promettez toujours sans jamais le faire).

Ce journal prend toute sa valeur lorsqu’il est analysé par un SIEM, car parcourir ligne par ligne les événements Sysmon forge peut-être des héros, mais aussi beaucoup de myopes. C’est bien plus lent et risqué qu’un traitement automatisé, avec de fortes chances de rater des signes de logiciels malveillants.
Par exemple, l’agent de Pandora SIEM collecte le journal et l’envoie à un serveur centralisé, où il est analysé et corrélé avec d’autres journaux, sans épuiser vos nerfs ni vos paupières. Ainsi, il est possible de détecter en temps réel des menaces cachées parmi des milliers de lignes et qui seraient liées à d’autres activités réseau ou sur d’autres machines, même si elles ne tournent pas sous Windows.
Et ce n’est pas tout : même si l’endpoint Windows est compromis au point de devenir inutilisable, le journal sera déjà stocké en toute sécurité dans le SIEM, permettant une analyse forensique et l’identification de la cause de la défaillance.
Et que faire des journaux après analyse ?
Cela dépendra d’un équilibre judicieux entre archivage et suppression, ainsi que des besoins forensiques ou des exigences légales de conservation des logs.

Comment Eventlog Analyzer analyse les journaux de Sysmon

Un journal généré par Sysmon contient une grande quantité d’informations, mais ce dont nous avons réellement besoin, c’est de connaissances exploitables pour nourrir nos stratégies de défense. Pour cela, plusieurs applications peuvent tirer parti des logs Sysmon afin de détecter des schémas malveillants et émettre des alertes.
Eventlog Analyzer, un outil développé par ManageEngine, propose entre autres l’analyse de journaux, non seulement ceux de Sysmon, mais aussi ceux provenant de routeurs, IDS, et bien d’autres sources.
Il est capable de normaliser, corréler et visualiser les données clés à travers des tableaux de bord (dashboards) et des alertes graphiques.
Cela permet de faciliter la détection des menaces, les enquêtes forensiques en cas de brèche, ainsi que le respect des réglementations en matière de cybersécurité.

Supervision de Sysmon avec Pandora FMS et Pandora SIEM

Pandora SIEM permet également de centraliser et analyser de manière avancée les journaux générés par Sysmon (ainsi que ceux d’autres parties de l’infrastructure IT) via son Log Collector. Ensuite, ces données sont transformées en informations exploitables et les menaces sont détectées en temps réel. Peu importe si vous utilisez à la fois des machines Windows et Linux : les logs de Sysmon peuvent être corrélés avec ceux de Syslog ou Auditd. Tout est intégré et analysé de manière unifiée.
L’un des plus grands atouts de Pandora est sa flexibilité : l’outil peut être adapté à votre organisation, à votre manière de travailler et à vos besoins spécifiques.
De plus, Pandora permet d’afficher exactement ce que vous souhaitez dans des tableaux de bord personnalisés (par exemple, une liste des événements Sysmon triés par niveau de criticité), avec uniquement les alertes utiles, en réduisant le bruit.
Il est aussi capable de générer des rapports avancés et d’effectuer des recherches puissantes, bien au-delà des fonctionnalités standard d’autres outils.
Pandora est une solution tout-en-un, l’ordinateur de l’Enterprise, capable de surveiller et gérer des systèmes hétérogènes pour les faire fonctionner de façon fluide et synchronisée. Son SIEM est synonyme de cybersécurité de haut niveau, mais il peut aussi inclure des fonctions de supervision, de contrôle à distance ou de gestion de tickets dans une seule plateforme.
Cela évite que nous ressemblions au Docteur Frankenstein, recousant à la hâte mille outils jusqu’à créer un monstre qui s’écroule à la première tension. Une situation trop fréquente en informatique, qui fragmente le support technique entre plusieurs outils, chacun rejetant la faute sur les autres.

Comment configurer correctement Sysmon

Un grand pouvoir implique de grandes responsabilités… et une certaine complexité. C’est pourquoi, pour toute personne souhaitant filtrer le « bruit » et ne recevoir que les informations critiques de Sysmon, il est fortement recommandé d’utiliser un fichier XML de configuration personnalisé.
Cela se fait avec la commande suivante :

.\Sysmon64.exe -i -accepteula c:\micarpeta\mixmlpersonal.xml

Mais rédiger ce fichier XML depuis zéro est l’un des travaux d’Hercule, c’est pourquoi Pandora vous propose un fichier de base prêt à l’emploi que vous pouvez télécharger ici.
Ce fichier est basé sur les meilleures pratiques et spécialement conçu pour que Pandora puisse extraire les informations clés permettant de protéger efficacement vos systèmes. Cependant, ce fichier XML doit toujours être adapté à chaque environnement.
Le fichier est commenté (ce qui facilite énormément le travail) et contient certaines règles spécifiques à Pandora, mais vous pouvez le modifier selon vos besoins.
Voici quelques éléments clés du XML à personnaliser :

• Processus critiques (recherchez
• Ports utilisés par les attaquants (busca
• Modifications du registre (recherchez
• Exécutables lancés depuis des emplacements suspects, comme /temp ou la Corbeille…

Se familiariser avec le XML, sa structure et la signification de chaque élément est l’une des compétences les plus utiles à acquérir pour sécuriser les systèmes Windows.
De cette manière, vous vous assurez que le potentiel de Sysmon ne reste pas inutilisé, sous forme de journaux occupant des gigas et prenant la poussière numérique.
En résumé, si vous gérez des machines Windows, Sysmon est incontournable. Car même si Microsoft semble tout savoir sur nous, les journaux natifs par défaut nous en disent très peu sur ce qui se passe réellement dans Windows.
C’est pourquoi il est essentiel de commencer à collecter les événements avec Sysmon, mais sans s’arrêter là. Son immense capacité de journalisation est aussi son principal défi. Pour l’exploiter pleinement et sécuriser efficacement votre organisation, la meilleure solution est de personnaliser son fichier XML et de l’intégrer à un SIEM, qui fera tout le travail d’analyse et de détection des menaces cachées au milieu des milliers de lignes de logs.