Esta es la segunda parte de un artículo basado en una charla que quería tener para una conferencia que planeábamos hacer en conjunto con Whilolab para inicios del 2020. Pero claro… pandemia.
Si quieres ver el primer artículo está acá: Un ED (casi EDR) gratis para tu casa y/o PyME (Parte 1)
En esta parte vamos a tocar los equipos Windows que necesitamos configurar para lograr el diagrama anterior:
Segunda parte: Instalación de los agentes
En esta parte vamos a instalar los agentes que necesitamos en los sistemas Windows, y estos son: Sysmon y Winlogbeat
Sysmon es un servicio de sistema y un driver de dispositivos que ayuda a monitorear y guardar en los Eventos de Windows la actividad del sistema. Al instalarlo vamos a poder saber con mayor exactitud qué es lo que se está ejecutando en el sistema y cuando se ejecutó (entre otras cosas).
El primer paso es instalar Sysmon en los equipos que queremos monitorear, para ello vamos a descargar el archivo comprimido desde acá https://download.sysinternals.com/files/Sysmon.zip (cuando escribimos este artículo era un archivo muy liviano que pesa menos de 2 MB)
Con ello tenemos el binario base para generar esta nueva configuración, pero necesitamos la configuración inicial del servicio, y para ello usamos la de SwiftOnSecurity en el siguiente Github: https://github.com/SwiftOnSecurity/sysmon-config.
Luego con ambos archivos descargados tenemos que buscar una consola con permisos de administrador y ejecutar el siguiente comando:
sysmon.exe –accepteula –i .\sysmonconfig-export.xmlCon ello se instala y ejecuta el servicio con las políticas definidas en ese archivo XML (está muy comentado, por si se quiere entender de qué se trata o hacer alguna modificación se recomienda su lectura).
Además deberías tener en el visor de eventos una nueva “carpeta” dentro del registro de aplicaciones llamada Sysmon:
Al tener andando el servicio de Sysmon ahora necesitamos sacarlo para poder monitorearlo desde Elasticsearch y para ello necesitamos instalar Winlogbeat.
Este servicio lo que hace es justamente revisar los Eventos de Windows y extraerlos hacia un servicio Elasticsearch directo o también puede ser llevado hacia un servicio Logstash (como lo tenemos montado nosotros ahora).
Para instalar este “Beat” de Elastic tenemos que descargar la versión que necesitemos desde la página oficial (https://www.elastic.co/es/downloads/beats/winlogbeat). Luego descomprimimos el archivo y revisamos la configuración del archivo winlogbeat.yml para que esté como lo siguiente:
Aquí podemos ver que ya está configurado para que se colecten 4 entradas: Aplicación (hasta 72 hrs atrás), Sistema, Seguridad y también va a colectar los eventos generados por Sysmon.
Ahora tenemos que revisar la configuración de output, para que vaya a nuestro servidor y en formato que entienda Logstash, para ello necesitamos comentar la línea de elasticsearch y descomentar la línea de logstash quedando algo así:
Acá podemos ver que estamos configurando para que nuestros eventos de Windows vayan para el servidor Logstash en la IP “192.168.0.10” y al puerto 9001 (como lo teníamos configurado en la parte 1).
Luego de eso necesitamos instalarlo, preferimos dejar esta carpeta entera (descomprimida con los archivos de configuración) dentro de “C:\Archivos de Programa\Winlogbeat” para mantener un orden, pero no es necesario, lo que sí se necesita es abrir una consola con permisos de administrador y ejecutar los siguientes comandos:
powershell -ep bypass .\install-service-winlogbeat.ps1
powershell -c "Start-Service winlogbeat"Con ello ya deberíamos tener el servicio corriendo:
Como en la primera ejecución se necesita un poco de tiempo para enviar el primer lote de logs a Logstash esperamos unos 5 minutos y luego revisamos dentro de nuestro Kibana para ver si es que se creó el índice winlogbeat (con año y mes) en Elasticsearch.
De ser así, basta con crear el índice en Kibana con el siguiente formato: “winlogbeat*” para poder tener la siguiente visualización:
¡Con esto ya podemos comenzar a revisar lo que pasa en todos los equipos!
Les recomiendamos tener una carpeta con el binario de instalación y la configuración de Sysmon y de Winlogbeat. Como la configuración entre endpoints no debería variar, el proceso de configuración será solamente uno y puedan ejecutar los comandos anteriores sin problemas en todos los equipos que quieran.
En el siguiente artículo vamos a poder comenzar a generar la revisión de estos logs de manera más inteligente a través de las reglas Sigma y ElastAlert.
Muchas gracias por leer hasta acá!
FINSIN 