Homelab SOC #08 - Windows 11 + Sysmon


En el capítulo anterior incorporamos el primer equipo Windows 11 al laboratorio mediante el Wazuh Agent. El SIEM ya es capaz de recibir eventos desde el endpoint, pero la información disponible sigue siendo limitada.

Windows registra una gran cantidad de eventos de forma nativa, sin embargo muchos de los indicadores que un analista SOC necesita para investigar una posible intrusión simplemente no existen o carecen del nivel de detalle necesario.

Aquí es donde entra Sysmon.

Sysmon amplía enormemente la visibilidad del sistema operativo, registrando información que normalmente Windows no almacena. Gracias a ello Wazuh podrá detectar con mayor precisión actividades sospechosas y generar alertas mucho más útiles durante el análisis de incidentes.


Objetivo de este capítulo

La pregunta que responderemos es:

¿Cómo mejorar la visibilidad de un endpoint Windows para que el SIEM disponga de información más completa?

Al finalizar tendremos:

  • Sysmon instalado.
  • Configuración inicial aplicada.
  • Registro de eventos de Sysmon habilitado.
  • Wazuh recopilando la nueva telemetría.
  • Un endpoint preparado para futuros escenarios de detección.

¿Qué es Sysmon?

Sysmon (System Monitor) es una herramienta gratuita desarrollada por Microsoft Sysinternals. Se instala como un servicio de Windows y registra información muy detallada sobre la actividad del sistema.

Entre otras cosas puede registrar:

  • Creación de procesos.
  • Finalización de procesos.
  • Conexiones de red.
  • Creación de archivos.
  • Cambios en el registro.
  • Carga de DLL.
  • Creación de servicios.
  • Creación de tareas programadas.
  • Actividad relacionada con PowerShell.
  • Modificaciones persistentes del sistema.

Toda esta información queda almacenada dentro del Visor de Eventos de Windows, posteriormente el agente de Wazuh la envía al servidor para su análisis.


¿Por qué utilizar Sysmon?

Imaginemos que un atacante ejecuta el siguiente comando:

powershell.exe -EncodedCommand ...

Sin Sysmon probablemente únicamente sabremos que PowerShell fue ejecutado.

Con Sysmon podremos conocer además:

  • El proceso padre.
  • La línea completa de comandos.
  • El usuario que lo ejecutó.
  • El hash del ejecutable.
  • El identificador del proceso.
  • El momento exacto de la ejecución.

Esta diferencia resulta enorme durante una investigación.


Descargando Sysmon

Sysmon forma parte de la suite Sysinternals de Microsoft. Descargamos la herramienta y extraemos su contenido. Dentro del directorio encontraremos archivos similares a:

Eula.txt
Sysmon.exe
Sysmon64.exe
Sysmon64a.exe

Para este laboratorio utilizaremos Sysmon v15.21, de 64 bits, versión publicada el 17 de junio del 2026. https://learn.microsoft.com/es-es/sysinternals/downloads/sysmon


¿Por qué necesitamos un archivo de configuración?

Instalar Sysmon sin configuración es posible, sin embargo apenas registrará algunos eventos básicos, la verdadera potencia de Sysmon reside en su archivo XML de configuración.

Este archivo define exactamente qué eventos queremos registrar y cuáles ignorar para evitar generar un volumen innecesario de información.

Existen varias configuraciones mantenidas por la comunidad.

En este laboratorio utilizaremos la siguiente configuración: https://github.com/SwiftOnSecurity/sysmon-config


Instalando Sysmon

Abrimos PowerShell como Administrador.

Nos situamos dentro de la carpeta donde descargamos Sysmon.

Posteriormente ejecutamos:

.\Sysmon64.exe -accepteula -i sysmonconfig-export.xml

Donde:

  • -accepteula acepta automáticamente la licencia.
  • -i instala Sysmon utilizando el archivo XML indicado.

Tras unos segundos aparecerá un mensaje similar a:

Sysmon installed.
Sysmon started.

A partir de ese momento el servicio comienza a registrar actividad.

instalar-sysmon.png


Verificando la instalación

Podemos comprobar que Sysmon se encuentra funcionando mediante PowerShell:

Get-Service Sysmon64

El resultado debería indicar:

Status   Name
------   ----
Running  Sysmon64

También podemos abrir el Visor de Eventos.

Applications and Services Logs

└── Microsoft

    └── Windows

        └── Sysmon

            └── Operational

Si todo ha salido correctamente empezaremos a observar eventos casi inmediatamente.


Integrando Sysmon con Wazuh

Una vez instalado Sysmon, el siguiente paso consiste en indicarle al Wazuh Agent que también debe monitorizar el registro de eventos que genera esta herramienta.

Toda la configuración del agente se encuentra en el archivo:

C:\Program Files (x86)\ossec-agent\ossec.conf

Si revisamos la configuración por defecto observaremos que Wazuh ya monitoriza los registros principales de Windows:

<localfile>
    <location>Application</location>
    <log_format>eventchannel</log_format>
</localfile>

<localfile>
    <location>Security</location>
    <log_format>eventchannel</log_format>
</localfile>

<localfile>
    <location>System</location>
    <log_format>eventchannel</log_format>
</localfile>

Sin embargo, el registro donde Sysmon almacena toda su información no aparece incluido, para que Wazuh también procese estos eventos debemos añadir un nuevo bloque al archivo ossec.conf:

<!-- Sysmon -->
<localfile>
    <location>Microsoft-Windows-Sysmon/Operational</location>
    <log_format>eventchannel</log_format>
</localfile>

Una vez guardados los cambios únicamente será necesario reiniciar el servicio Wazuh para que la nueva configuración entre en funcionamiento.


Verificando que Sysmon funciona

Antes de comprobar Wazuh, primero debemos asegurarnos de que Sysmon está registrando correctamente la actividad del sistema.

Para ello abrimos el Visor de eventos (eventvwr.msc) y navegamos hasta:

Applications and Services Logs
└── Microsoft
    └── Windows
        └── Sysmon
            └── Operational

integrando-sysmon-wazuh.png

Si la instalación fue correcta veremos que el registro Operational comienza a almacenar eventos casi inmediatamente.

Una forma muy sencilla de comprobarlo consiste en abrir cualquier aplicación o ejecutar un comando desde PowerShell o CMD, por ejemplo:

whoami

o simplemente abrir el Bloc de notas:

notepad.exe

Cada acción generará nuevos eventos dentro del registro de Sysmon.


Comprobando que Wazuh recibe los eventos

Una vez confirmado que Sysmon está generando eventos, el agente de Wazuh comenzará a enviarlos automáticamente al servidor. Podemos acceder al Dashboard y abrir Threat Hunting o Security Events para comprobar que aparecen nuevos registros procedentes del equipo Windows.

A partir de este momento, Wazuh no solo recibirá los eventos tradicionales de Windows, sino también la información enriquecida generada por Sysmon, como:

  • Creación de procesos.
  • Conexiones de red.
  • Creación de archivos.
  • Cambios en el registro.
  • Carga de librerías (DLL).
  • Consultas DNS.

Esta integración convierte a Sysmon en una de las principales fuentes de telemetría del laboratorio y será la base para los ejercicios de detección y análisis que desarrollaremos en los siguientes capítulos.


Los eventos más importantes

Sysmon asigna un identificador único a cada tipo de evento.

Algunos de los más utilizados por analistas SOC son:

Event IDDescripción
1Creación de procesos
3Conexiones de red
7Carga de imágenes (DLL)
8Creación remota de hilos
11Creación de archivos
12Modificación del registro
13Cambios de valores del registro
22Consultas DNS

Estos eventos serán utilizados constantemente durante los próximos capítulos.


Visualizando la información en Wazuh

Accedemos nuevamente al Dashboard, ahora podremos observar eventos mucho más detallados.

Entre la información disponible encontraremos:

  • Nombre del proceso.
  • Ruta completa del ejecutable.
  • Usuario.
  • Línea de comandos.
  • Hash SHA1.
  • Hash MD5.
  • PID.
  • Parent PID.
  • Hora exacta.
  • Equipo origen.

Esta información resulta extremadamente valiosa para comprender qué está ocurriendo en un endpoint.

wazuh-eventos-registro.png


¿Por qué Sysmon es tan importante?

Gran parte de las reglas de detección utilizadas por equipos Blue Team están basadas precisamente en los eventos generados por Sysmon. Muchas técnicas descritas dentro del framework MITRE ATT&CK pueden identificarse gracias a la información que proporciona esta herramienta.

Por este motivo prácticamente cualquier laboratorio moderno orientado a detección incorpora Sysmon desde las primeras etapas.


Estado actual del laboratorio

Después de este capítulo tenemos:

✓ Windows 11 monitorizado.

✓ Wazuh Agent operativo.

✓ Sysmon instalado.

✓ Registro de eventos ampliado.

✓ Telemetría enriquecida.

✓ Endpoint preparado para ejercicios de detección.


¿Qué sigue?

Ahora que Windows genera una gran cantidad de información útil es momento de continuar ampliando el laboratorio. En el próximo capítulo incorporaremos un segundo sistema operativo al entorno: Ubuntu Server.

De esta forma comenzaremos a construir un laboratorio capaz de monitorizar distintos tipos de endpoints y comparar el comportamiento de sistemas Windows y Linux dentro del mismo SIEM.

Más adelante integraremos nuevas fuentes de información como Suricata IDS y comenzaremos a crear escenarios reales de detección.


Lo aprendido

Instalar el agente de Wazuh permite conectar un equipo al SIEM, pero instalar Sysmon transforma por completo la calidad de la información disponible.

A partir de este momento el laboratorio no solo sabe que algo ocurrió, sino que dispone de contexto suficiente para comprender cómo ocurrió, quién lo ejecutó y qué impacto pudo tener.

Esta diferencia es precisamente la que convierte una simple recopilación de registros en una plataforma capaz de apoyar investigaciones y detectar actividades maliciosas con mucha mayor precisión.

Con Windows 11, Wazuh y Sysmon trabajando conjuntamente, el laboratorio comienza a parecerse cada vez más a un entorno SOC utilizado en el mundo real.