Sysmon + NXlog + Kiwi Syslog Server 构建简单的主机安全监控

 Sysmon + NXlog + Kiwi Syslog Server 构建简单的主机安全监控

========================================================

程序功能简介：

Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序，一旦安装在系统上，系统重启后，它仍驻留在系统重启中，以监视系统活动，以及将系统活动记录到 Windows 事件日志中。

它提供有关进程创建、网络连接和文件创建时间更改的详细信息。通过使用 Windows 事件收集或 SIEM 代理收集它生成的事件并随后分析这些事件，可以识别恶意或异常活动，并了解攻击者和恶意软件如何在你的网络上运行。

请注意 ，Sysmon 不提供其生成的事件的分析，也不尝试保护或隐藏自身免受攻击者的攻击。

目前有windows和Linux两种系统的版本，所以在linux下也是可以做到监控。

NXLog能够在各种不同的设备上进行各种不同格式的日志消息的采集以及处理，NXLog能够接收从TCP、UDP、文件、数据库以及其他不同来源的日志消息，例如Syslog，Windows的EventLog。

Kiwi Syslog Server是一款很不错的日志服务器软件，用来收集、查看、筛选日志，设置告警规则，pro版本提供web界面。

本监控系统的逻辑：

sysmon生成日志 ==> Nxlog转发日志 ==> Kiwi Syslog Server查看日志

========================================================

sysmon:

下载+教程：

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

sysmon几个简易命令：

Install: sysmon64 -i [<configfile>] Update configuration: sysmon64 -c [<configfile>] Install event manifest: sysmon64 -m Print schema: sysmon64 -s Uninstall: sysmon64 -u [force]

sysmon推荐规则(自己写也行，不使用任何规则也行，不过日志会比较庞大)：

https://github.com/SwiftOnSecurity/sysmon-config

下载好程序和规则后运行sysmon

========================================================

下载Nxlog

简易运行命令：

net start nxlog

net stop nxlog

nxlog规则（C:\Program Files\nxlog\conf\nxlog.conf）,虚线内为代码，实际使用请根据kiwi syslog server的配置改ip端口

-----------------------------------------------------------------------------------------------------------------------------------------------

define ROOT C:\Program Files\nxlog

 

Moduledir %ROOT%\modules

CacheDir %ROOT%\data

Pidfile %ROOT%\data\nxlog.pid

SpoolDir %ROOT%\data

LogFile %ROOT%\data\nxlog.log

 

<Extension _syslog>

    Module      xm_syslog

</Extension>

 

<Input in>

    Module im_msvistalog

    Query <QueryList> <Query Id="0"> <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select> </Query></QueryList>

</Input>

 

<Output out>

    Module      om_tcp

    Host        192.168.172.232

    Port        1468

    Exec        to_syslog_snare();

</Output>

 

<Route 1>

    Path        in => out

</Route>

-----------------------------------------------------------------------------------------------------------------------------------------------

========================================================

kiwi syslog_server

免费版和收费版区别：

https://www.solarwinds.com/zh/kiwi-syslog-server/compare-free-and-full-versions

具体使用什么版本看个人，如果使用收费版，也别找我要破解版和注册机下载地址。

安装：

1、点击"Kiwi_Syslog_Server_9.5.0.setup.exe"安装软件，一路Next直到安装完成

2、安装完成后在任务管理器中先结束掉syslogd_service的进程(否则下面的So******.dll无法替换)

3、将“Keygen注册机”文件夹中SolarWinds.Licensing.Framework.dll和ufmod.dll复制到软件安装目录“C:\Program Files (x86)\Syslogd”覆盖

4、打开软件Help>Enter License Details

5、选择离线激活，复制机器码，粘贴到注册机生成序列号，然后激活即可。

打开软件设置input端口协议（需要和上面的nxlog的配置一致）

然后就可以看到log了。

至于规则过滤，因为涉及的内容实在是太多了，搞下来就是一个EDR的雏形了，所以难以三言两语说清楚，以后有兴致再写吧。

效果如下：

参考文章：

系统监视器(Sysmon)工具的使用
https://www.xujun.org/note-132413.html

Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
https://cloud.tencent.com/developer/article/1970103

使用Sysmon和Winlogbeat打造Windows平台的HIDS
https://www.anquanke.com/post/id/236222

【逗老师带你学IT】Kiwi Syslog Server安装和配置教程
https://blog.csdn.net/ytlzq0228/article/details/104827014

Sysmon + NXlog构建简单的windows安全监控
https://blog.csdn.net/ytlzq0228/article/details/104827014

绕过Sysmon的两种方法
https://anquan.baidu.com/article/350

sysmon自定义规则
https://www.csdn.net/tags/MtTaMgzsNzQyMjcxLWJsb2cO0O0O.html

SysmonForLinux

https://github.com/Sysinternals/SysmonForLinux/blob/main/INSTALL.md