本文主要是介绍Sysmon笔记,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
官网介绍
系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。通过收集使用Windows Event Collection 或 SIEM 代理生成的事件并随后对其进行分析,您可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。请注意,Sysmon不提供对其生成的事件的分析,也不会尝试保护自己或使其免受攻击者的侵害。
#sysmon下载
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#sysmon安装
Sysmon.exe -i -n #32位
Sysmon64.exe -i -n #64位#sysmon配置文件
sysmon -c #查看配置
sysmon -c xx.xml #xx.xml为sysmon配置文件,详见下面“收集全部事件的配置文件”#sysmon卸载
sysmon -u
过滤器标签:
ProcessCreate 进程创建
FileCreateTime 文件创建时间更改
NetworkConnect 检测到网络连接
ProcessTerminate 进程终止
DriverLoad 驱动程序已加载
ImageLoad 镜像加载
CreateRemoteThread 已检测到创建远程线程
RawAccessRead 检测到原始访问读取
ProcessAccess 已访问的进程
FileCreate 文件创建
RegistryEvent 添加或删除注册表对象
RegistryEvent 注册表值设置
RegistryEvent 注册表对象已重命名
FileCreateStreamHash 已创建文件流
PipeEvent 管道创建
PipeEvent 管道已连接
WmiEvent 检测到WmiEventFilter活动
WmiEvent 检测到WmiEventConsumer活动
WmiEvent 检测到WmiEventConsumerToFilter活动
DnsQuery DNS查询
标签使用说明:
使用onmacth标记配置文件中 过滤器规则 include exclude
include:仅包含include的规则配置
exclude:除去该规则配置, 其他全包含
PS:例如,此规则将丢弃网络连接中目的IP=10.29.1.1和10.29.9.6的通信请求
<Sysmon schemaversion="4.23"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><ProcessCreate onm
这篇关于Sysmon笔记的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!