系统监视器 (Sysmon) 是一个 Windows 日志记录加载项,它提供精细的日志记录功能并捕获默认情况下通常不记录的安全事件。它提供有关进程创建、网络连接、文件系统更改等的信息。分析 Sysmon 日志对于发现恶意活动和安全威胁至关重要。
在不断变化的网络安全环境中,提前防范威胁非常重要。Sysmon 日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。
Windows 是企业环境中的主要操作系统,全面了解 Windows 事件日志、其独特特征和局限性以及通过 Sysmon 进行增强的潜力至关重要。
什么是 Sysmon 日志
Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。
Sysmon 日志存储在哪里
Sysmon 日志存储在 Windows 事件日志中。具体而言,它们位于 Microsoft-Windows-Sysmon/Operational 事件日志通道中。
要获取 Sysmon 日志,请执行以下操作:
- 打开事件查看器在 Windows 系统上。
- 打开应用程序和服务日志。
- 找到 Microsoft-Windows-Sysmon/操作记录并查看 Sysmon 日志。
Sysmon 记录的关键事件
- 流程创建
- 进程更改了文件创建时间
- 网络连接
- Sysmon 服务状态已更改
- 驱动程序已加载
- 文件创建和修改
- WMI 活动
流程创建
Sysmon 日志中的进程创建(由事件 ID 1 表示)提供了有关在 Windows 系统上创建进程的宝贵见解,这些日志提供关键详细信息,例如进程 ID、父进程 ID、映像名称、命令行参数、创建选项、文件哈希、数字签名、父进程信息和网络连接,Sysmon 的配置选项支持自定义记录的信息,以符合特定要求。
进程更改了文件创建时间
Sysmon 日志中的事件 ID 2 表示进程更改了文件的创建时间,此事件提供对进程更改与文件关联的元数据(特别是创建时间戳)的实例的见解,修改时间创建时间可能是授权用户出于合法目的而执行的故意操作,但是,它也可能表明存在可疑活动或潜在的安全漏洞。
网络连接
Sysmon 日志中的事件 ID 3 表示网络连接事件,它提供基本信息,例如启动连接的程序的进程 ID(PID)、本地端点的源 IP 和端口、远程端点的目标 IP 和端口以及使用的协议,分析网络连接有助于监视网络流量、识别可疑连接、跟踪应用程序行为以及调查安全事件,请记住,Sysmon 日志的结构和字段可能因 Sysmon 版本和配置设置而异。
Sysmon 服务状态已更改
状态更改事件(由事件 ID 4 表示)可以指示 Sysmon 服务的成功启动或停止,服务的启动表示 Sysmon 服务已启动,现在正在监视和记录系统活动,当管理员手动停止服务或服务本身存在问题时,将停止服务。
驱动程序已加载
安装驱动程序后,它将成为操作系统内核的组成部分,允许它与硬件设备通信并执行低级任务,驱动程序加载事件(由事件 ID 6 表示)记录有关负责加载驱动程序的过程的详细信息以及有关驱动程序文件本身的信息。
文件创建和修改
每当在系统中添加、更改或删除文件时,Sysmon 都会记录事件,事件 ID 11 包含有关文件路径、创建或修改文件的操作以及文件哈希的详细信息。这有助于检测未经授权的文件修改或可疑行为。
WMI 活动
Windows 的 WMI 管理体系结构使开发人员和管理员能够远程查看和修改系统数据、配置设置和执行指令,Sysmon 日志包含事件 ID 为 19 (WmiEventFilter) 和 20 (WmiEventConsumer) 的条目,它们分别收集有关 WMI 事件筛选和事件使用的信息。
了解 Sysmon 日志管理的生命周期
收集和分析 Sysmon 日志的过程涉及几个关键步骤。
- 部署:在 Windows 系统上部署 Sysmon 以开始捕获事件信息,可以使用自动部署技术(如组策略或脚本)进行批量安装,也可以从 Microsoft 网站下载 Sysmon 软件并将其单独安装在每台计算机上。
- 配置:配置 Sysmon 以指定要监视的所需事件和日志记录目标,配置文件指定要监视和记录的事件,可用于设置 Sysmon,可以根据需要激活或删除特定事件类型来调整配置文件以满足独特需求。
- 日志收集:Sysmon 日志通常以 XML 格式发布到 Windows 事件日志,若要收集 Sysmon 日志,可以使用各种方法,例如 Windows 事件转发 (WEF)、集中式日志记录解决方案或 SIEM 解决方案,使用这些技术,可以将来自多个系统的日志合并到一个地方以供进一步分析。
- 日志存储和保留:请务必建立适当的日志存储和保留策略,以确保有足够的容量来存储日志并将其保留足够的时间,根据组织的需求和合规性要求,可以选择将日志本地存储在每个系统上,也可以集中存储在日志管理系统中。
- 日志分析:使用手动技术和自动化工具分析收集的 Sysmon 日志,Sysmon 日志包含各种类型的事件,包括进程创建、网络连接、文件创建或修改、注册表修改等,用于识别可疑活动、入侵指标并了解系统行为。
- 威胁搜寻:Sysmon 日志可以成为主动威胁搜寻的非常有用的工具,在 SIEM 或日志管理系统中创建查询或规则,以查找异常活动或已识别攻击模式的指标。使用这种方法,可以发现并不总是显而易见的安全漏洞或可能的风险。
- 事件响应和取证:在事件响应和取证调查期间利用分析的 Sysmon 日志来重建时间线、跟踪攻击者操作并确定安全事件的影响。
Sysmon日志的监控和检查
EventLog Analyzer日志管理和SIEM解决方案,通过提供集中收集、分析和报告功能来增强Sysmon日志监控,它充当一个统一的平台,用于收集、分析、存档和报告 Windows 系统生成的 Sysmon 日志。
- 跟踪各种流程,提供详细的见解。
- 有效发现日志中的攻击趋势。
- 保留日志数据以备将来进行取证调查。
- 通过组合来自多个来源(包括事件日志文件和 Sysmon 收集器)的 Sysmon 日志,全面了解系统操作。
- 主动监视和捕获对注册表项和值的更改。
Sysmon日志分析
- 监控进程创建以发现可疑安装
- 发现、调查和阻止恶意软件
- 检测权限升级以阻止未经授权的数据访问
- 监控文件以确保其完整性
- 审核网络设备和资源
- 审核注册表和配置更改
监控进程创建以发现可疑安装
跟踪各种进程,包括当前正在运行的进程以及已终止的进程。除了进程名称之外,还可以查看有关进程的其他信息,例如进程 ID、父进程名称和进程命令行,通过将此信息与威胁源相关联,可以发现恶意软件安装或恶意软件攻击。
发现、调查和阻止恶意软件
检测和调查恶意软件采用的各种技术,例如,恶意软件通常会修改文件创建时间戳以掩盖其踪迹。使用EventLog Analyzer的文件审计报表,可以实时分析文件修改。恶意软件使用的另一种常见技术包括使用命名管道进行进程间通信,进程审计报表可以监控创建或连接管道时生成的Sysmon事件日志。
检测权限升级以阻止未经授权的数据访问
通过将EventLog Analyzer与MITRE ATT&CK框架集成,可以分析Sysmon日志以发现权限升级攻击等恶意活动。例如,通过监视进程创建,可以检测试图绕过用户访问控制机制以提升系统中进程权限的攻击者。
监控文件以确保其完整性
可以监控文件和流创建操作,创建或覆盖文件时,将记录文件创建操作。还可以使用“原始访问读取”报告监视在驱动器上执行的读取操作,这可以防止对这些文件的数据外泄攻击。使用 EventLog Analyzer 的文件流创建报表,可以监控文件流的创建时间,并跟踪某些恶意软件,这些恶意软件通过浏览器下载删除其可执行文件或配置设置。
审核网络设备和资源
借助EventLog Analyzer深入的Sysmon日志分析功能,可以监控网络连接并查看每个连接的进程ID、源IP地址、源端口和目标端口等,还可以分析进程执行 DNS 查询时生成的日志,无论其结果如何(成功、失败或缓存)。
审核注册表和配置更改
有时,攻击者通过修改注册表来启动恶意应用程序来发起攻击,使用EventLog Analyzer,可以监控更改,例如对注册表项和注册表值的修改。
还可以使用“服务状态更改”报告监视 Sysmon 服务的状态,该报告将告诉您服务是否已启动或停止运行及其版本号。
EventLog Analyzer 日志管理解决方案,可以集中收集和监控来自所有 Windows 和 Linux 设备的 Sysmon 日志,以确保端点安全。