sysmon介紹
如果是做過應急響應的朋友,對sysmon應該都比較熟悉了,它是一款強大的輕量級監控工具,由Windows Sysinternals官方出品的。sysmon用來監視和記錄系統活動,並記錄到windows事件日誌,可以提供相關進程創建、網絡連接和文件創建更改時間等詳細信息。
不過有許多人都無法很好的運用sysmon,因爲它必須要有合適的配置文件避免過多的日誌量,它必須要有非常良好的日誌分析能力來逐層分析關聯日誌…………
有兩款不錯的sysmon輔助工具,可以極大的減輕負擔:
- Sysmon View:Sysmon日誌可視化工具
- Sysmon Shell:Sysmon配置文件生成工具
sysmon 部署
# 下載sysmon程序
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
# sysmon程序安裝
sysmon -accepteula –i <XML File>
# sysmon程序配置變更
sysmon -c <XML File>
# sysmon程序配置查看
sysmon -c
# sysmon程序日誌位置
EventViewer->Applications and Services ->Microsoft->Windows->Sysmon
# Powershell查詢日誌
Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3;} | Where {$_.message -like "*192.168.0*" -and $_.message -like "*DestinationPort: *"} | Select-Object -Property message -First 1 | Format-List
- 快速安裝腳本
mkdir C:\sysmon
pushd "C:\sysmon\"
echo [+] Downloading Sysmon...
@powershell (new-object System.Net.WebClient).DownloadFile('https://live.sysinternals.com/Sysmon64.exe','C:\sysmon\sysmon64.exe')"
echo [+] Downloading Sysmon config...
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/sysmonconfig-export.xml','C:\sysmon\sysmonconfig-export.xml')"
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/Auto_Update.bat','C:\sysmon\Auto_Update.bat')"
sysmon64.exe -accepteula -i sysmonconfig-export.xml
Sysmon View
Sysmon View通過使用現有事件數據(例如可執行文件名稱、會話GUID、事件創建時間等)對各種Sysmon事件進行邏輯分組和關聯來幫助跟蹤和可視化Sysmon日誌,然後該工具重新排列此數據以供顯示進多個視圖。
官方鏈接:
https://github.com/nshalabi/SysmonTools
# 日誌導出
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
# 日誌可視
Sysmon View工具包含四個視圖菜單選項:Process View、Map View、All Events View,Hierarchy
Sysmon Shell
sysmon最頭痛的問題是如何配置適合企業內部使用的規則配置,網上有兩個比較通用的規則配置:
- ion-storm =>
https://github.com/ion-storm/sysmon-config - SwiftOnSecurity => 將幫助您加快與關鍵過程監控,網絡利用率等相關的速度。請注意,此概念不是記錄所有內容,而是記錄最重要的項目。
https://github.com/SwiftOnSecurity/sysmon-config
我們可以通過sysmon shell實現對這些通用規則配置實施優化調整,將一些企業特性規則追加到配置裏面,將一些產生大量日誌又沒有什麼用的剔除。
sysmon優秀資源
如下github項目是sysmon非常優秀的資源,用於學習有關使用Microsoft Sysmon進行部署,管理和搜尋的信息,包含演示文稿,部署方法,配置文件示例,博客和其他github存儲庫。
https://github.com/MHaggis/sysmon-dfir
