前言

隨著資安威脅日益複雜，企業端點防護從單純防毒逐漸演變為深度行為監控與威脅偵測。端點偵測與回應（EDR，Endpoint Detection and Response）系統能有效收集端點行為日誌，並透過集中式分析與自動化告警及回應降低風險。

本文將帶領讀者從零開始，在Windows端點部署Sysmon收集細緻系統事件，再結合Filebeat與Elasticsearch/Kibana建立日誌收集與威脅分析平台，並分享實務中遇到的問題與解決方案。

系統架構簡介

• Sysmon：Windows Sysinternals工具，監控進程、網路連線、檔案變更等關鍵行為並產生系統事件日誌。
• Filebeat：輕量級日誌收集代理，負責收集系統事件日誌並傳送至Elasticsearch或Logstash。
• Elasticsearch：高效能分散式全文搜尋及分析引擎，用於儲存與檢索日誌數據。
• Kibana：Elasticsearch的視覺化與分析工具，輕鬆建立Dashboard與告警。

一、Sysmon部署與設定

1. 下載與安裝

• 從Sysinternals官方網站下載Sysmon。

• 以系統管理員身分打開PowerShell或CMD，切換至Sysmon解壓資料夾，執行：

  powershell
  .\Sysmon64.exe -i

• 確認安裝無誤，並在事件檢視器確認Sysmon事件已開始紀錄。

2. 配置檔範例

使用熱門社群維護的SwiftOnSecurity配置（GitHub連結），設定過濾噪音並聚焦重要監控事件。

3. 問題排查

• 若PowerShell出現無法辨識指令，確定目前路徑正確並加上執行相對路徑-

.\Sysmon64.exe -i。

• 安裝與執行需以系統管理員身分操作。

• 在事件檢視器「應用程式與服務記錄」>「Microsoft」>「Windows」>「Sysmon」>「Operational」查看事件。

(也可先放在桌面上之後需要用到日誌事件)

二、Filebeat部署與收集Sysmon日誌

1. 下載與安裝Filebeat

• 前往Elastic官方下載頁下載Windows版本 Filebeat。
• 解壓並定位至安裝目錄。

2. 修改配置檔 filebeat.yml

• 啟用Sysmon日誌收集：

  yaml
  filebeat.event_logs:

  • name: Microsoft-Windows-Sysmon/Operational
    ignore_older: 72h

• 設定日誌輸出至Elasticsearch（或Logstash）：

  yaml
  output.elasticsearch:
  hosts: ["http://localhost:9200"]

3. 啟動Filebeat

• 以管理員權限開啟CMD，定位Filebeat目錄，先執行：

  cmd

  filebeat.exe setup
  filebeat.exe -e

• 確保日誌開始傳送。

4. 注意事項

• 若無Elasticsearch環境，可先本地搭建簡易版（見下一章）。
• 確認Filebeat可讀取Windows事件且加載索引模板。

三、本地搭建Elasticsearch與Kibana環境

1. 下載與解壓

• 下載Elasticsearch和Kibana Windows版（與Filebeat相容版本）。
• 解壓至固定目錄（例：C:\Elastic\elasticsearch-9.1.3）

2. 啟動服務

• 開管理員CMD，切換至 elasticsearch\bin 目錄：

  cd C:\Elastic\elasticsearch-9.1.3\bin
  elasticsearch.exe
  

• Kibana同理：

  cd C:\Elastic\kibana-9.1.3-windows-x86_64\bin
  kibana.bat
  

• 若找不到 .bat 或 .exe，確認下載Windows版本，且路徑正確。

3. 瀏覽器訪問 http://localhost:5601 進入Kibana

(今天沒有時間至視覺化部分，今天先介紹至如何將SYSMON日誌導出!)
後續也是

四、日誌視覺化與告警設計

• 使用Kibana Discover查看索引中的Sysmon事件。
• 建立Dashboard觀察進程啟動、網路連線統計。
• 利用Elasticsearch Watcher或Elastic Security設定告警規則。
• 設計回應流程，例如異常進程隔離、終止。

五、實務中遇到的難題與解決方案

這是我遇到的難題，可能也有人跟我相同！

• 找不到 elasticsearch.exe
  因未切換正確路徑或版本下載錯誤，請確認Windows版本並切換至正確 bin 目錄執行。

• PowerShell 無法辨識 Sysmon64.exe 指令
  需加上相對路徑 .\Sysmon64.exe，並以系統管理員權限執行。
  
  (這個就不是以系統管理員進入)

• Filebeat 配置檔不存在或錯誤
  先複製範本檔備份，正確命名為 filebeat.yml，用純文字編輯器編輯。

透過Sysmon、Filebeat、Elasticsearch結合，可在端點建置具備威脅行為偵測、集中收集與實時分析的資安防護平台~~~

後續還可擴展自動化回應(SOAR)、威脅狩獵(TD)及AI輔助偵測，提升防禦能力。(希望自己能做到！)希望此文對端點安全有興趣的朋友有所幫助。