Integration von Sysmon mit Wazuh – Erweiterte Security-Überwachung für Windows und Linux

von | Mai 18, 2026 | Information Security, Wazuh

Integration von Sysmon mit Wazuh

Moderne IT-Infrastrukturen produzieren enorme Mengen an Logdaten. Diese Logs enthalten wertvolle Informationen über Systemzustände, Benutzeraktivitäten und mögliche Sicherheitsvorfälle. Damit diese Daten effektiv und den rechtlichen Regularien entsprechend genutzt werden können, benötigen Unternehmen ein leistungsfähiges Security Information and Event Management System (SIEM).

Wazuh ist eine Open-Source-SIEM-Plattform, die Logs sammelt, analysiert und Sicherheitsereignisse erkennt. In Kombination mit Sysmon (System Monitor) von Microsoft lässt sich die Sichtbarkeit von Aktivitäten auf Windows-Systemen deutlich verbessern. Durch diese Integration erhält Wazuh tiefere Einblicke in das Verhalten von Systemen und Anwendungen.

Die Inhalte im Überbick:

Was ist Sysmon?

Sysmon ist ein Bestandteil der Microsoft Sysinternals Suite. Das Tool läuft als Windows-Dienst und überwacht dauerhaft Systemaktivitäten. Dabei protokolliert es detailliert Ereignisse im Windows Event Log.

Zu den wichtigsten überwachten Aktivitäten gehören unter anderem:

  • Prozessstarts und Prozesshierarchien
  • Netzwerkverbindungen von Prozessen
  • Dateiänderungen
  • Treiber- und DLL-Ladevorgänge
  • Erstellung oder Veränderung von Registry-Keys
  • Hashwerte von ausführbaren Dateien

Diese Informationen werden im Event Log „Application and Service Logs/Microsoft/Windows/Sysmon/Operational“ gespeichert und können anschließend von SIEM-Systemen wie Wazuh ausgewertet werden.

Warum Sysmon für Security Monitoring wichtig ist

Die Standard-Windows-Logs liefern zwar grundlegende Informationen, sind jedoch für eine tiefgehende Sicherheitsanalyse oft nicht ausreichend.

Sysmon erweitert die Telemetrie des Systems erheblich. Dadurch können Aktivitäten erkannt werden, die sonst kaum sichtbar wären.

Ein Beispiel:
Ein Angreifer startet einen Prozess über eine legitime Windows-Komponente wie powershell.exe oder rundll32.exe. Standard-Logs zeigen häufig nur, dass ein Prozess gestartet wurde. Sysmon hingegen protokolliert zusätzlich:

  • den Parent-Process (welches Programm den Prozess gestartet hat)
  • den Command-Line-Parameter
  • den Hash der ausführbaren Datei

Damit wird sichtbar, ob der Prozess aus einer ungewöhnlichen Quelle gestartet wurde oder ungewöhnliche Parameter enthält.

In der Praxis hilft das besonders beim Erkennen moderner Angriffe wie:

  • Living-off-the-Land Angriffe
  • Malware ohne klassische Dateien
  • laterale Bewegungen im Netzwerk
  • Privilege Escalation

Vorteile der Kombination aus Sysmon und Wazuh

Die Kombination aus Sysmon und Wazuh verbindet detaillierte Endpoint-Telemetrie mit leistungsfähiger Loganalyse.

Erweiterte Sichtbarkeit von Systemaktivitäten

Sysmon liefert extrem detaillierte Informationen über Prozesse, Netzwerkverbindungen und Dateioperationen. Wazuh sammelt diese Logs zentral und macht sie über das Dashboard analysierbar. Dadurch entsteht ein vollständiger Überblick über das Verhalten von Systemen im Netzwerk.

Frühzeitige Erkennung von Angriffen

Viele moderne Angriffe hinterlassen subtile Spuren.

Ein Beispiel:
Ein Angreifer nutzt PowerShell, um einen Payload aus dem Internet nachzuladen.

Sysmon protokolliert:

  • den Start von PowerShell
  • die verwendeten Parameter
  • die Netzwerkverbindung zu einem externen Server

Wazuh kann diese Ereignisse analysieren und einen Security Alert auslösen.

Unterstützung von Threat Hunting

Security-Teams können mithilfe der gesammelten Telemetrie gezielt nach verdächtigen Aktivitäten suchen.

Beispiele für Threat-Hunting-Fragen:

  • Welche Prozesse haben in den letzten 24 Stunden Netzwerkverbindungen aufgebaut?
  • Welche Programme wurden aus temporären Verzeichnissen gestartet?
  • Welche Prozesse haben ungewöhnliche Parent-Child-Beziehungen?

Mit Sysmon stehen diese Informationen vollständig zur Verfügung.

Mapping auf MITRE ATT&CK

Viele Wazuh-Regeln sind bereits mit MITRE ATT&CK Techniken verknüpft.

Beispiele:

  • T1059 – Command and Scripting Interpreter
  • T1105 – Ingress Tool Transfer
  • T1218 – Signed Binary Proxy Execution

Sysmon liefert die notwendigen Eventdaten, damit Wazuh diese Techniken erkennen kann.

Zentrale Analyse im Wazuh Dashboard

Alle gesammelten Events werden im Wazuh-Dashboard visualisiert.

Security-Analyst:innen können:

  • Alerts analysieren
  • Timeline-Analysen durchführen
  • Logdaten durchsuchen
  • Angriffe rekonstruieren

Damit wird aus einzelnen Logeinträgen eine vollständige Security-Incident-Analyse möglich.

Beispiel: Erkennung eines verdächtigen Prozesses

Ein klassisches Beispiel ist das Starten eines ungewöhnlichen Prozesses aus einem temporären Verzeichnis.

Sysmon registriert:

  • Prozessname
  • Parent-Process
  • Command Line
  • File Hash

Wazuh analysiert diese Daten und erkennt, dass der Prozess aus einem ungewöhnlichen Pfad gestartet wurde. Daraufhin wird automatisch ein Alert erzeugt.

SOC-Analyst:innen können anschließend im Dashboard prüfen:

  • welcher Benutzer den Prozess gestartet hat
  • welche Netzwerkverbindungen aufgebaut wurden
  • ob weitere verdächtige Aktivitäten stattgefunden haben

Technische Integration von Sysmon in Wazuh

Damit Sysmon-Daten in Wazuh erscheinen, müssen drei Dinge passieren:
1. Sysmon muss auf den Endpoints installiert werden
2. Der Wazuh-Agent muss die Sysmon-Logs sammeln
3. Wazuh muss diese Logs dekodieren und Regeln darauf anwenden

Schritt 1:

Sysmon gehört zur Sysinternals Suite von Microsoft und kann direkt von Microsoft heruntergeladen werden. Hierbei benötigen wir nur die Sysmon64.exe

Als nächstes benötigen wir die Sysmon-Konfigurationsdatei. In dieser wird festgelegt, was geloggt werden soll. In der Praxis wird häufig SwiftOnSecurity’s Sysmon Config verwendet: https://github.com/SwiftOnSecurity/sysmon-config

Diese berücksichtigt bereits viele Angriffsmuster. Nun installieren wir Sysmon als Windows-Dienst:

sysmon64.exe -accepteula -i sysmonconfig.xml

Nach der Installation läuft Sysmon nun dauerhaft im Hintergrund.

Schritt 2:

Damit Wazuh die Sysmon-Logs sammeln und auswerten kann, muss zunächst die agent.conf Datei angepasst werden. Diese kann entweder direkt auf dem Wazuh-Host oder über das Dashboard angepasst werden.

Auf dem Host wird /var/ossec/etc/shared/<group_name>/agent.conf bearbeitet

<agent_config>
  <localfile>
    <location>Microsoft-Windows-Sysmon/Operational</location>
    <log_format>eventchannel</log_format>
  </localfile>
</agent_config>

Alternativ kann auch über das Dashboard die agent.conf Datei angepasst werden.

Schritt 3:

Wenn die Standardregeln von Wazuh verwendet werden, werden die Sysmon Logs bereits verarbeitet.

Es bietet sich auch an eine unterschiedliche Konfiguration für Clients und Server zu verwenden. Dazu können für unterschiedliche Agent-Gruppen unterschiedliche Konfigurationen verwendet werden.

Ergebnis im Wazuh Dashboard

Sobald alles korrekt eingerichtet ist, erscheinen Sysmon Events im Wazuh Dashboard.

Typische Ereignisse sind:

  • Process Creation (Event ID 1)
  • Network Connection (Event ID 3)
  • Driver Load (Event ID 6)
  • Image Load (Event ID 7)
  • Registry Events
  • File Creation

Diese Events werden anschließend von Wazuh-Regeln analysiert und können Alerts erzeugen.

Fazit: Erweiterte Endpoint Security mit Sysmon und Wazuh

Die Integration von Sysmon mit Wazuh verbessert die Sicherheitsüberwachung von Windows-Systemen erheblich.
Sysmon liefert detaillierte Telemetriedaten über Systemaktivitäten, während Wazuh diese Informationen zentral sammelt, analysiert und Sicherheitswarnungen generiert.

Die wichtigsten Vorteile sind:
• deutlich höhere Transparenz über Systemaktivitäten
• frühzeitige Erkennung von Angriffen
• bessere Möglichkeiten für Threat Hunting
• Integration in bestehende SIEM-Workflows
Gerade in modernen Unternehmensnetzwerken ist diese Kombination ein leistungsfähiges Werkzeug für Security-Teams, um Angriffe schnell zu erkennen und zu analysieren.

Sie möchten Wazuh und Sysmon professionell in Ihre Security-Strategie integrieren oder Ihre bestehende SIEM-Umgebung optimieren? Wir unterstützen Sie gerne bei der Planung, Implementierung und dem Betrieb moderner Security-Monitoring-Lösungen – von der technischen Integration bis hin zur Unterstützung bei Compliance-Anforderungen wie ISO 27001 oder NIS2.

Jetzt unverbindlich beraten lassen

Wazuh Whitepaper

IT-Sicherheit mit Wazuh stärken

Cyberangriffe werden immer raffinierter – Ihre Sicherheitsstrategie sollte es auch sein. Erfahren Sie in unserem Whitepaper, wie Wazuh als zentrale Open-Source-Plattform Ihre gesamte IT-Infrastruktur schützt: von Endpoint Security über Threat Intelligence und Security Operations bis hin zur Cloud Security.

Entdecken Sie, wie automatisierte Erkennung, Echtzeitüberwachung und intelligente Integrationen Ihre Abwehr auf das nächste Level heben – skalierbar, transparent und compliant.

Jetzt kostenlos herunterladen

becon Blog

Weitere Artikel zu diesem Thema

Jetzt informieren

Kontakt

Kontaktieren Sie uns!
Wir freuen uns von Ihnen zu hören.

Sie haben Fragen oder stehen vor einer besonderen Herausforderung? Unser engagiertes Team steht Ihnen für eine unverbindliche Beratung gerne zur Verfügung.

info@becon.de

+49 (0) 89 608668-0

Termin buchen