点击蓝字 关注我们
Sysmon是一种 Windows 系统服务和设备驱动程序,安装到系统上后,在系统重启后仍保持驻留状态,以监视系统活动并将系统活动记录到 Windows 事件日志中。它提供有关进程创建、网络连接和文件创建时间更改的详细信息。相比于系统自带的事件查看器,sysmon 能捕获的信息更加完善。
安装
Windows:通过官网下载安装即可,官网:
https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
Linux:通过pip 源安装,指令:pip install sysmon 或 pip3 install sysmon
使用
查看方式:
windows:通过cmd输入指令eventvwr.msc,找到 应用程序和服务日志-Microsoft-Windows-Sysmon-Operational 打开
linux:通过命令唤出,sysmon
事件ID分析
Event ID 1: Process creation:监控进程创建,包括父进程,PID,执行命令等。
Event ID 2: A process changed a file creation time;
Event ID 3: Network connection:监控网络连接,包含发起连接的进程路径、协议、原目的IP及端口等。
Event ID 4: Sysmon service state changed:记录sysmon 服务状态。
Event ID 5: Process terminated:记录进程终止事件,包含结束时间、进程路径、进程ID等。
Event ID 6: Driver loaded:记录系统上加载的驱动程序信息。
Event ID 7: Image loaded:记录进程加载模块时,映像加载的事件日志。包含时间、进程路径、加载模块的路径、加载模块的相关信息(如:版本、描述、HASH值等)
Event ID 8: CreateRemoteThread:记录一个进程在另一个进程中创建线程的相关信息。包含源进程、目标进程、进程ID等。
Event ID 9: RawAccessRead:记录进程使用 \. 指示从驱动器执行读取操作。主要是防止恶意软件对仅有读取权限的文件进行查看窃取数据。
Event ID 10: ProcessAccess:
Event ID 11: FileCreate:记录文件创建、覆盖的事件日志,包含创建的文件的路径、时间、创建文件的进程等。
Event ID 12: RegistryEvent (Object create and delete):记录注册表项和值的创建和删除。
Event ID 13: RegistryEvent (Value Set):记录QWORD和DWORD类型的注册表值修改。
Event ID 14: RegistryEvent (Key and Value Rename):记录注册表项和值的重命名日志。
Event ID 15: FileCreateStreamHash:记录浏览器附加Identifier恶意软件的文件流创建及下载时的事件日志。包含文件下载的浏览器路径、下载的文件名、时间、HASH值等。
Event ID 16: ServiceConfigurationChange:记录sysmon 配置更改事件日志。
Event ID 17: PipeEvent (Pipe Created):记录命名管道创建时的事件日志。
Event ID 18: PipeEvent (Pipe Connected):记录客户端和服务端之间建立命名管道时的事件日志。
Event ID 19: WmiEvent (WmiEventFilter activity detected):记录WMI被注册时的事件日志。
Event ID 20: WmiEvent (WmiEventConsumer activity detected):记录WMI使用者注册时的事件日志。
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected):记录使用者绑定WMI 时的事件日志。
Event ID 22: DNSEvent (DNS query):DNS查询记录,包含发起DNS查询请求的进程路径、进程ID等。
Event ID 23:FileDelete (File Delete 存档):记录文件删除时的事件日志。且已删除的文件可保存在默认目录C:Sysmon ,可在配置文件值进行设置不保存或更改路径。
Event ID 24:剪贴板更改 (剪贴板中的新内容):记录系统的剪切板内容发生改变时的事件日志。
Event ID 255: Error:记录Sysmon 状态异常信息。如果系统负载过重,无法执行 Sysmon 服务或服务中存在 bug,将记录相关信息。
配置文件
关于sysmon 配置文件的编写,可以根据三个关键字进行学习,onmatch、exclude、include。Onmatch 指策略是被引用还是例外,exclude 定义为过滤,include 定义为引用。
对上图sysmon 配置信息进行解析,此配置信息是对事件ID6(驱动程序加载)进行做过滤(加白),前面的注释就不一一解释了,直接正文开始解析,
此规则组命名为进行定义,规则组内各规则之间的关系为“或”关系;
此事件定义的规则匹配为过滤;
日志特征中包含 microsoft 则不进行记录;
日志特征中包含 windows 则不进行记录;
日志特征中开头为 Intel 则不进行记录;
Sysmon 配置文件内的信息,对各个事件定的规则基本都是这种格式,大家多找几个规则查看便能找到规律。
拓展
Splunk:日志收集、分析工具
Sysmon view:可视化日志分析工具
Sysmon shell:配置文件生成工具
Sysmon box:网络捕获并和sysmon日志组成sysmon view 数据库文件
Nxlog:日志收集工具
公众号|A9 Team
扫码关注!!!
原文始发于微信公众号(A9 Team):sysmon 的探索之路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论