使用轻量级工具Sysmon监视你的系统
"0×08 sysmon详细介绍
sysmon是由Windows Sysinternals荣誉出品的这款Sysinternals系列产品中的专用工具。它以系统进程和机器设备驱动安装的方式安裝在系统软件上,并维持常驻性。sysmon用于监控和纪录系统活动,并纪录到windows事件日志,能够出示相关系统进程建立,网络链接和文件创建時间变更的详细资料。
根据搜集应用Windows恶性事件非空子集或SIEM代理商转化成的恶性事件,随后剖析他们,您能够鉴别故意或出现异常主题活动,并知道入侵者和恶意程序在您的互联网上怎样实际操作。
0×81 sysmon特性
用详细的命令行纪录下子系统进程和父系统进程的建立个人行为。
应用sha1(默认设置),MD5,SHA256或IMPHASH纪录系统进程镜像文件的hash值。能够一起应用好几个hash,包含系统进程建立全过程中的系统进程GUID。
每一恶性事件中包括session的GUID。
1.纪录驱动安装或是载入的DLL镜像系统的签字以及hash。
2.纪录硬盘和卷的原始记录的载入post请求。
3.纪录数据连接,包含每一联接的源系统进程,ip地址,服务器端口,主机名和端口号名(能选)
11.要是变更注册表则全自动再次载入配备。
4.具备标准过虑,便于动态性包含或清除一些恶性事件。
6.在载入系统进程的前期转化成恶性事件,能纪录在繁杂的内核方式运作的恶意程序。
0×08 安裝
Install: Sysmon.exe -i [-h <[sha1|md5|sha256|imphash|*],有限责任公司>] [-n [有限责任公司>]]
[-l (有限责任公司>)] Configure: Sysmon.exe -c [--|[-h <[sha1|md5|sha256|imphash|*],有限责任公司>] [-n [有限责任公司>]]
[-l [有限责任公司>]]] Uninstall: Sysmon.exe -u
-c 升级或显示信息配备
-h 特定hash纪录的优化算法
-i 安裝,能用xml文档来升级配置文件
-l 纪录载入控制模块,可特定系统进程
-m 安裝恶性事件明细
-n 纪录网络链接
-r 检验资格证书是不是撤消
-u 卸载掉服务项目和驱动器
一键安装:
sysmon -accepteula –i -n
特定配置文件(安裝时请说出-i)
sysmon -c XXX.xml
注:安裝必须管理员权限并重新启动,windows 7 或是左右,电脑系统windows server 2010 及左右。
0×02 配置文件
在实际上自然环境中,因此环境和应用要求各有不同,而纪录全部的系统日志又看起来繁杂和浩物,此刻自定标准看起来至关重要。
sysmon出示了xml文件格式的配置文件来让客户自定过虑标准,配置文件的物品较为多,把个人总结的某些物品贴上去便捷大伙儿沟通交流。
1个xml配置文件的实例(xml英文大小写比较敏感)
3.20""> 全句智能化原創-- Capture all hashes --> * 全句智能化原創-- Log all drivers except if the signature --> 全句智能化原創-- contains Microsoft or Windows --> microsoft windows 全句智能化原創-- Do not log process termination --> 全句智能化原創-- Log network connection if the destination port equal 443 --> 全句智能化原創-- or 90, little process isn't InternetExplorer --> 443全句智能化原創
相关文章
- 1条评论
- 孤央时窥2022-05-28 12:26:48
- xcept if the signature --> 全句智能化原創-- contains Microsoft or Windows --> microsoft windows 全句智能