Sysmon笔记

博客园展现不好，文章详情可见：https://mp.weixin.qq.com/s/D-w-Ikrtpp2Zjvkjfg_zIA

官网介绍:
系统监视器（Sysmon）是Windows系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。通过收集使用Windows Event Collection 或 SIEM 代理生成的事件并随后对其进行分析，您可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。
请注意，Sysmon不提供对其生成的事件的分析，也不会尝试保护自己或使其免受攻击者的侵害。

Sysmon安装：

sysmon下载

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

sysmon安装

Sysmon.exe -i -n #32位
Sysmon64.exe -i -n #64位

sysmon配置文件

sysmon -c #查看配置
sysmon -c xx.xml #xx.xml为sysmon配置文件，详见下面“收集全部事件的配置文件”

sysmon卸载

sysmon -u

过滤器标签:

ProcessCreate 进程创建
FileCreateTime 文件创建时间更改
NetworkConnect 检测到网络连接
ProcessTerminate 进程终止
DriverLoad 驱动程序已加载
ImageLoad 镜像加载
CreateRemoteThread 已检测到创建远程线程
RawAccessRead 检测到原始访问读取
ProcessAccess 已访问的进程
FileCreate 文件创建
RegistryEvent 添加或删除注册表对象
RegistryEvent 注册表值设置
RegistryEvent 注册表对象已重命名
FileCreateStreamHash 已创建文件流
PipeEvent 管道创建
PipeEvent 管道已连接
WmiEvent 检测到WmiEventFilter活动
WmiEvent 检测到WmiEventConsumer活动
WmiEvent 检测到WmiEventConsumerToFilter活动
DnsQuery DNS查询

标签使用说明:
使用onmacth标记配置文件中 过滤器规则 include exclude
include:
仅包含include的规则配置
exclude:
除去该规则配置, 其他全包含
PS:
例如，此规则将丢弃网络连接中目的IP=10.29.1.1和10.29.9.6的通信请求

* 10.29.1.1 10.29.9.6

过滤器标签的字段可以使用其他条件匹配该值：

---

注: 不区分大小写

字段如下:
is 默认值, 等于
is not 不等于
contains 包含
excludes 不包含
begin with 以此字段开始
end with 以此字段结束
less than 小于
more than 大于
image 匹配镜像路径(完整路径或仅镜像名称)
例如：lsass.exe将匹配c:\windows\system32\lsass.exe

收集全部事件的配置文件：

*

Sysmon-ID详解:



首发自公众号：威胁狩猎与分析