Warto zatem posiłkować się eksportem logów do CSV/XML za pomocą skryptów w PowerShell: WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.
SYSMON ONLINEPRO WINDOWS
Można to robić za pomocą natywnego narzędzia Windows Event, ale jest to niewygodne i czasochłonne. Kolejnym problemem jest przeglądanie logów. Trzeba jednak pamiętać, że oprogramowanie nie posiada żadnych cech antywirusa, potrafi wyłącznie zapisywać logi. Sysmon to dobra i darmowa alternatywa rozwiązań typu EDR. Ukrywanie Sysmon przed złośliwym oprogramowaniem jest możliwe, ale wymaga dodatkowej konfiguracji. Z tego powodu bardziej zaawansowana konfiguracja przewiduje utwardzenie ustawień, zmianę nazw instalowanych usług i sterownika Sysmona, które to malware z łatwością mogłoby wykryć lub zatrzymać (jak to zrobić wyjaśnił autor tego artykułu). Sysmon to narzędzie dobrze znane autorom szkodliwego oprogramowania, którzy wiedzą jak wykryć działające w tle usługi Sysmon. Sysinternals - Loading configuration file with schema version 4.22 Wszystkie zmiany w systemie Windows będą zapisywane w Windows Event w drzewie Aplikacje i Usługi -> Microsoft -> Windows -> Sysmon.ĭo obsłużenia nowego Event ID 24 potrzebna jest następująca reguła w pliku konfiguracyjnym: Īby zdarzenia były zapisywane w dzienniku, należy „powiedzieć” narzędziu Sysmon, aby zaczęło używać nowych reguł: Sysmon64.exe -c sysmonconfig-export.xml Po zainstalowaniu Sysmon, aby uzupełnić konfigurację o reguły z pliku XML, należy wydać polecenie: Sysmon64.exe -c sysmonconfig-export.xml Od teraz narzędzie Sysmon będzie zapisywało wszystkie obsługiwane zdarzenia na plikach, rejestrze, komendach w wierszu poleceń, i od wersji 12, skopiowanych/wklejonych znakach do/z schowka systemowego.ĭo analizy złośliwego oprogramowania warto używać prekonfigurowanych reguł ( sysmonconfig-export.xml) przygotowanych przez Marka Russinovicha i Thomasa Garniera, którzy są współtwórcami oprogramowania i zarazem ekspertami jeśli chodzi o znajomość środowiska Windows. System Monitor v12.0 - System activity monitorĬopyright (C) 2014-2020 Mark Russinovich and Thomas Garnier Instalacja Sysmon sprowadza się do wydania w CMD jednego polecenia: Sysmon64.exe -i
pełna lista obsługiwanych zdarzeń systemowych jest dostępna na tej stronie (niestety oficjalny opis nie wzmianki o dodanym „Event ID 24”.najnowsza wersja Sysmon 12 potrafi zapisywać skopiowane znaki do schowka systemowego w obrębie maszyny (obsługuje drag&drop pomiędzy maszynami wirtualnymi a hostem, obsługuje protokół RDP nie obsługuje skopiowanych plików),.a nawet zmiana statusu działania usługi Sysmon (np. spowodowana awarią lub złośliwym oprogramowaniem),.
W sieci dostępnych jest mnóstwo samouczków oraz gotowych konfiguracji zawierających zestawy reguł, dzięki którym można zapisywać takie informacje jak: Z instalacją i wdrożeniem Sysmon-u nie powinno być problemów, jeżeli się wie do czego służy ten program. Sysmon 12 (System Monitor) wchodzi w skład SysInternals od firmy Microsoft i jest powszechnie używanym, darmowym narzędziem podczas pracy z próbkami złośliwego oprogramowania, a także jako bezpłatny EDR na serwerach i stacjach roboczych. Microsoft udostępnił kolejną wersję narzędzia do monitorowania logów systemowych i aplikacji.
0 kommentar(er)
