Journalisation Windows et Sysmon¶
Recommandations pour la journalisation Windows¶
Afin de détecter correctement les activités malveillantes sur les machines Windows, vous devrez améliorer les paramètres de journalisation par défaut. Nous avons créé un projet distinct pour documenter quels paramètres de journalisation doivent être activés, ainsi que des scripts permettant d'activer automatiquement les paramètres appropriés à l'adresse https://github.com/Yamato-Security/EnableWindowsLogSettings.
Nous recommandons également les sites suivants pour vous guider :
- JSCU-NL (Joint Sigint Cyber Unit Netherlands) Logging Essentials
- ACSC (Australian Cyber Security Centre) Logging and Fowarding Guide
- Malware Archaeology Cheat Sheets
Projets liés à Sysmon¶
Pour générer le maximum de preuves forensiques et détecter avec la plus grande précision, vous devez installer sysmon. Nous recommandons les sites et fichiers de configuration suivants :