使用sysmon監控日誌進行分析

前沿

在ATT & CK分析過程中，經常會涉及到進程執行的流程分析，通過常規的工具檢查有點低效，聽說sysmon可以實現該功能，於是嘗試安裝看看

sysmon安裝

工具下載地址：https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

下載後放置本地桌面目錄，管理員啓動cmd切換到本地目錄,註冊sysmon

sysmon64.exe -i

cmd執行 eventvwr 調用事件查看器
應用程序和服務日誌 > Microsoft > Windows > Sysmon > Operational 即爲日誌處

使用演示

我們公司有款防勒索軟件，需要去識別啓動應用的來源主體。比如，手工打開cmd，手工的這個動作到底是通過什麼進程去啓動cmd.exe的？ 這個問題我們就可以通過sysmon去監控解決

首先清空當前的日誌

手工打開cmd.exe

刷新日誌

查看日誌可以看到,手工打開cmd.exe的過程正是explorer.exe進行調用

在ATT&CK的戰術研究中，我們就可以通過這種日誌去判斷，非正常操作調用起cmd.exe的進程是否和explorer.exe是一樣的。若不一樣，我們是不是就可以通過檢測這個不同點，判斷是不是黑客攻擊了呢？具體有興趣的讀者可以實驗看看

參考鏈接

sysmon下載地址：https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon註冊：https://www.sysgeek.cn/sysmon/