Sysmon 日志监控

2023-11-08 20:52
文章标签 日志 监控 sysmon

本文主要是介绍Sysmon 日志监控,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

系统监视器 (Sysmon) 是一个 Windows 日志记录加载项,它提供精细的日志记录功能并捕获默认情况下通常不记录的安全事件。它提供有关进程创建、网络连接、文件系统更改等的信息。分析 Sysmon 日志对于发现恶意活动和安全威胁至关重要。

在不断变化的网络安全环境中,提前防范威胁非常重要。Sysmon 日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。

Windows 是企业环境中的主要操作系统,全面了解 Windows 事件日志、其独特特征和局限性以及通过 Sysmon 进行增强的潜力至关重要。

什么是 Sysmon 日志

Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。

Sysmon 日志存储在哪里

Sysmon 日志存储在 Windows 事件日志中。具体而言,它们位于 Microsoft-Windows-Sysmon/Operational 事件日志通道中。

要获取 Sysmon 日志,请执行以下操作:

  • 打开事件查看器在 Windows 系统上。
  • 打开应用程序和服务日志。
  • 找到 Microsoft-Windows-Sysmon/操作记录并查看 Sysmon 日志。

Sysmon 记录的关键事件

  • 流程创建
  • 进程更改了文件创建时间
  • 网络连接
  • Sysmon 服务状态已更改
  • 驱动程序已加载
  • 文件创建和修改
  • WMI 活动

流程创建

Sysmon 日志中的进程创建(由事件 ID 1 表示)提供了有关在 Windows 系统上创建进程的宝贵见解,这些日志提供关键详细信息,例如进程 ID、父进程 ID、映像名称、命令行参数、创建选项、文件哈希、数字签名、父进程信息和网络连接,Sysmon 的配置选项支持自定义记录的信息,以符合特定要求。

进程更改了文件创建时间

Sysmon 日志中的事件 ID 2 表示进程更改了文件的创建时间,此事件提供对进程更改与文件关联的元数据(特别是创建时间戳)的实例的见解,修改时间创建时间可能是授权用户出于合法目的而执行的故意操作,但是,它也可能表明存在可疑活动或潜在的安全漏洞。

网络连接

Sysmon 日志中的事件 ID 3 表示网络连接事件,它提供基本信息,例如启动连接的程序的进程 ID(PID)、本地端点的源 IP 和端口、远程端点的目标 IP 和端口以及使用的协议,分析网络连接有助于监视网络流量、识别可疑连接、跟踪应用程序行为以及调查安全事件,请记住,Sysmon 日志的结构和字段可能因 Sysmon 版本和配置设置而异。

Sysmon 服务状态已更改

状态更改事件(由事件 ID 4 表示)可以指示 Sysmon 服务的成功启动或停止,服务的启动表示 Sysmon 服务已启动,现在正在监视和记录系统活动,当管理员手动停止服务或服务本身存在问题时,将停止服务。

驱动程序已加载

安装驱动程序后,它将成为操作系统内核的组成部分,允许它与硬件设备通信并执行低级任务,驱动程序加载事件(由事件 ID 6 表示)记录有关负责加载驱动程序的过程的详细信息以及有关驱动程序文件本身的信息。

文件创建和修改

每当在系统中添加、更改或删除文件时,Sysmon 都会记录事件,事件 ID 11 包含有关文件路径、创建或修改文件的操作以及文件哈希的详细信息。这有助于检测未经授权的文件修改或可疑行为。

WMI 活动

Windows 的 WMI 管理体系结构使开发人员和管理员能够远程查看和修改系统数据、配置设置和执行指令,Sysmon 日志包含事件 ID 为 19 (WmiEventFilter) 和 20 (WmiEventConsumer) 的条目,它们分别收集有关 WMI 事件筛选和事件使用的信息。

了解 Sysmon 日志管理的生命周期

收集和分析 Sysmon 日志的过程涉及几个关键步骤。

  • 部署:在 Windows 系统上部署 Sysmon 以开始捕获事件信息,可以使用自动部署技术(如组策略或脚本)进行批量安装,也可以从 Microsoft 网站下载 Sysmon 软件并将其单独安装在每台计算机上。
  • 配置:配置 Sysmon 以指定要监视的所需事件和日志记录目标,配置文件指定要监视和记录的事件,可用于设置 Sysmon,可以根据需要激活或删除特定事件类型来调整配置文件以满足独特需求。
  • 日志收集:Sysmon 日志通常以 XML 格式发布到 Windows 事件日志,若要收集 Sysmon 日志,可以使用各种方法,例如 Windows 事件转发 (WEF)、集中式日志记录解决方案或 SIEM 解决方案,使用这些技术,可以将来自多个系统的日志合并到一个地方以供进一步分析。
  • 日志存储和保留:请务必建立适当的日志存储和保留策略,以确保有足够的容量来存储日志并将其保留足够的时间,根据组织的需求和合规性要求,可以选择将日志本地存储在每个系统上,也可以集中存储在日志管理系统中。
  • 日志分析:使用手动技术和自动化工具分析收集的 Sysmon 日志,Sysmon 日志包含各种类型的事件,包括进程创建、网络连接、文件创建或修改、注册表修改等,用于识别可疑活动、入侵指标并了解系统行为。
  • 威胁搜寻:Sysmon 日志可以成为主动威胁搜寻的非常有用的工具,在 SIEM 或日志管理系统中创建查询或规则,以查找异常活动或已识别攻击模式的指标。使用这种方法,可以发现并不总是显而易见的安全漏洞或可能的风险。
  • 事件响应和取证:在事件响应和取证调查期间利用分析的 Sysmon 日志来重建时间线、跟踪攻击者操作并确定安全事件的影响。

在这里插入图片描述

Sysmon日志的监控和检查

EventLog Analyzer日志管理和SIEM解决方案,通过提供集中收集、分析和报告功能来增强Sysmon日志监控,它充当一个统一的平台,用于收集、分析、存档和报告 Windows 系统生成的 Sysmon 日志。

  • 跟踪各种流程,提供详细的见解。
  • 有效发现日志中的攻击趋势。
  • 保留日志数据以备将来进行取证调查。
  • 通过组合来自多个来源(包括事件日志文件和 Sysmon 收集器)的 Sysmon 日志,全面了解系统操作。
  • 主动监视和捕获对注册表项和值的更改。

Sysmon日志分析

  • 监控进程创建以发现可疑安装
  • 发现、调查和阻止恶意软件
  • 检测权限升级以阻止未经授权的数据访问
  • 监控文件以确保其完整性
  • 审核网络设备和资源
  • 审核注册表和配置更改

监控进程创建以发现可疑安装

跟踪各种进程,包括当前正在运行的进程以及已终止的进程。除了进程名称之外,还可以查看有关进程的其他信息,例如进程 ID、父进程名称和进程命令行,通过将此信息与威胁源相关联,可以发现恶意软件安装或恶意软件攻击。

发现、调查和阻止恶意软件

检测和调查恶意软件采用的各种技术,例如,恶意软件通常会修改文件创建时间戳以掩盖其踪迹。使用EventLog Analyzer的文件审计报表,可以实时分析文件修改。恶意软件使用的另一种常见技术包括使用命名管道进行进程间通信,进程审计报表可以监控创建或连接管道时生成的Sysmon事件日志。

检测权限升级以阻止未经授权的数据访问

通过将EventLog Analyzer与MITRE ATT&CK框架集成,可以分析Sysmon日志以发现权限升级攻击等恶意活动。例如,通过监视进程创建,可以检测试图绕过用户访问控制机制以提升系统中进程权限的攻击者。

监控文件以确保其完整性

可以监控文件和流创建操作,创建或覆盖文件时,将记录文件创建操作。还可以使用“原始访问读取”报告监视在驱动器上执行的读取操作,这可以防止对这些文件的数据外泄攻击。使用 EventLog Analyzer 的文件流创建报表,可以监控文件流的创建时间,并跟踪某些恶意软件,这些恶意软件通过浏览器下载删除其可执行文件或配置设置。

审核网络设备和资源

借助EventLog Analyzer深入的Sysmon日志分析功能,可以监控网络连接并查看每个连接的进程ID、源IP地址、源端口和目标端口等,还可以分析进程执行 DNS 查询时生成的日志,无论其结果如何(成功、失败或缓存)。

审核注册表和配置更改

有时,攻击者通过修改注册表来启动恶意应用程序来发起攻击,使用EventLog Analyzer,可以监控更改,例如对注册表项和注册表值的修改。

还可以使用“服务状态更改”报告监视 Sysmon 服务的状态,该报告将告诉您服务是否已启动或停止运行及其版本号。

EventLog Analyzer 日志管理解决方案,可以集中收集和监控来自所有 Windows 和 Linux 设备的 Sysmon 日志,以确保端点安全。

这篇关于Sysmon 日志监控的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/372453

相关文章

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

我在移动打工的日志

客户:给我搞一下录音 我:不会。不在服务范围。 客户:是不想吧 我:笑嘻嘻(气笑) 客户:小姑娘明明会,却欺负老人 我:笑嘻嘻 客户:那我交话费 我:手机号 客户:给我搞录音 我:不会。不懂。没搞过。 客户:那我交话费 我:手机号。这是电信的啊!!我这是中国移动!! 客户:我不管,我要充话费,充话费是你们的 我:可是这是移动!!中国移动!! 客户:我这是手机号 我:那又如何,这是移动!你是电信!!

kubernetes集群部署Zabbix监控平台

一、zabbix介绍 1.zabbix简介 Zabbix是一个基于Web界面的分布式系统监控的企业级开源软件。可以监视各种系统与设备的参数,保障服务器及设备的安全运营。 2.zabbix特点 (1)安装与配置简单。 (2)可视化web管理界面。 (3)免费开源。 (4)支持中文。 (5)自动发现。 (6)分布式监控。 (7)实时绘图。 3.zabbix的主要功能

基于树梅派的视频监控机器人Verybot

最近这段时间做了一个基于树梅派 ( raspberry pi ) 的视频监控机器人平台 Verybot ,现在打算把这个机器人的一些图片、视频、设计思路进行公开,并且希望跟大家一起研究相关的各种问题,下面是两张机器人的照片:         图片1:                   图片2                    这个平台的基本组成是:

PC与android平板通过浏览器监控Verybot的视频

下面这个视频是PC与android平板通过浏览器监控Verybot的视频:           http://v.youku.com/v_show/id_XNjYzNzYyMTIw.html

Detectorn2预训练模型复现:数据准备、训练命令、日志分析与输出目录

Detectorn2预训练模型复现:数据准备、训练命令、日志分析与输出目录 在深度学习项目中,目标检测是一项重要的任务。本文将详细介绍如何使用Detectron2进行目标检测模型的复现训练,涵盖训练数据准备、训练命令、训练日志分析、训练指标以及训练输出目录的各个文件及其作用。特别地,我们将演示在训练过程中出现中断后,如何使用 resume 功能继续训练,并将我们复现的模型与Model Zoo中的

SSM项目使用AOP技术进行日志记录

本步骤只记录完成切面所需的必要代码 本人开发中遇到的问题: 切面一直切不进去,最后发现需要在springMVC的核心配置文件中中开启注解驱动才可以,只在spring的核心配置文件中开启是不会在web项目中生效的。 之后按照下面的代码进行配置,然后前端在访问controller层中的路径时即可观察到日志已经被正常记录到数据库,代码中有部分注释,看不懂的可以参照注释。接下来进入正题 1、导入m

多数据源的事务处理总是打印很多无用的log日志

之前做了一个项目,需要用到多数据源以及事务处理,在使用事务处理,服务器总是打印很多关于事务处理的log日志(com.atomikos.logging.Slf4jLogger),但是我们根本不会用到这些log日志,反而使得查询一些有用的log日志变得困难。那要如何屏蔽这些log日志呢? 之前的项目是提高项目打印log日志的级别,后来觉得这样治标不治本。 现在有一个更好的方法: 我使用的是log