Sysmon 日志监控

系统监视器 (Sysmon) 是一个 Windows 日志记录加载项,它提供精细的日志记录功能并捕获默认情况下通常不记录的安全事件。它提供有关进程创建、网络连接、文件系统更改等的信息。分析 Sysmon 日志对于发现恶意活动和安全威胁至关重要。

在不断变化的网络安全环境中,提前防范威胁非常重要。Sysmon 日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。

Windows 是企业环境中的主要操作系统,全面了解 Windows 事件日志、其独特特征和局限性以及通过 Sysmon 进行增强的潜力至关重要。

什么是 Sysmon 日志

Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。

Sysmon 日志存储在哪里

Sysmon 日志存储在 Windows 事件日志中。具体而言,它们位于 Microsoft-Windows-Sysmon/Operational 事件日志通道中。

要获取 Sysmon 日志,请执行以下操作:

  • 打开事件查看器在 Windows 系统上。
  • 打开应用程序和服务日志。
  • 找到 Microsoft-Windows-Sysmon/操作记录并查看 Sysmon 日志。

Sysmon 记录的关键事件

  • 流程创建
  • 进程更改了文件创建时间
  • 网络连接
  • Sysmon 服务状态已更改
  • 驱动程序已加载
  • 文件创建和修改
  • WMI 活动

流程创建

Sysmon 日志中的进程创建(由事件 ID 1 表示)提供了有关在 Windows 系统上创建进程的宝贵见解,这些日志提供关键详细信息,例如进程 ID、父进程 ID、映像名称、命令行参数、创建选项、文件哈希、数字签名、父进程信息和网络连接,Sysmon 的配置选项支持自定义记录的信息,以符合特定要求。

进程更改了文件创建时间

Sysmon 日志中的事件 ID 2 表示进程更改了文件的创建时间,此事件提供对进程更改与文件关联的元数据(特别是创建时间戳)的实例的见解,修改时间创建时间可能是授权用户出于合法目的而执行的故意操作,但是,它也可能表明存在可疑活动或潜在的安全漏洞。

网络连接

Sysmon 日志中的事件 ID 3 表示网络连接事件,它提供基本信息,例如启动连接的程序的进程 ID(PID)、本地端点的源 IP 和端口、远程端点的目标 IP 和端口以及使用的协议,分析网络连接有助于监视网络流量、识别可疑连接、跟踪应用程序行为以及调查安全事件,请记住,Sysmon 日志的结构和字段可能因 Sysmon 版本和配置设置而异。

Sysmon 服务状态已更改

状态更改事件(由事件 ID 4 表示)可以指示 Sysmon 服务的成功启动或停止,服务的启动表示 Sysmon 服务已启动,现在正在监视和记录系统活动,当管理员手动停止服务或服务本身存在问题时,将停止服务。

驱动程序已加载

安装驱动程序后,它将成为操作系统内核的组成部分,允许它与硬件设备通信并执行低级任务,驱动程序加载事件(由事件 ID 6 表示)记录有关负责加载驱动程序的过程的详细信息以及有关驱动程序文件本身的信息。

文件创建和修改

每当在系统中添加、更改或删除文件时,Sysmon 都会记录事件,事件 ID 11 包含有关文件路径、创建或修改文件的操作以及文件哈希的详细信息。这有助于检测未经授权的文件修改或可疑行为。

WMI 活动

Windows 的 WMI 管理体系结构使开发人员和管理员能够远程查看和修改系统数据、配置设置和执行指令,Sysmon 日志包含事件 ID 为 19 (WmiEventFilter) 和 20 (WmiEventConsumer) 的条目,它们分别收集有关 WMI 事件筛选和事件使用的信息。

了解 Sysmon 日志管理的生命周期

收集和分析 Sysmon 日志的过程涉及几个关键步骤。

  • 部署:在 Windows 系统上部署 Sysmon 以开始捕获事件信息,可以使用自动部署技术(如组策略或脚本)进行批量安装,也可以从 Microsoft 网站下载 Sysmon 软件并将其单独安装在每台计算机上。
  • 配置:配置 Sysmon 以指定要监视的所需事件和日志记录目标,配置文件指定要监视和记录的事件,可用于设置 Sysmon,可以根据需要激活或删除特定事件类型来调整配置文件以满足独特需求。
  • 日志收集:Sysmon 日志通常以 XML 格式发布到 Windows 事件日志,若要收集 Sysmon 日志,可以使用各种方法,例如 Windows 事件转发 (WEF)、集中式日志记录解决方案或 SIEM 解决方案,使用这些技术,可以将来自多个系统的日志合并到一个地方以供进一步分析。
  • 日志存储和保留:请务必建立适当的日志存储和保留策略,以确保有足够的容量来存储日志并将其保留足够的时间,根据组织的需求和合规性要求,可以选择将日志本地存储在每个系统上,也可以集中存储在日志管理系统中。
  • 日志分析:使用手动技术和自动化工具分析收集的 Sysmon 日志,Sysmon 日志包含各种类型的事件,包括进程创建、网络连接、文件创建或修改、注册表修改等,用于识别可疑活动、入侵指标并了解系统行为。
  • 威胁搜寻:Sysmon 日志可以成为主动威胁搜寻的非常有用的工具,在 SIEM 或日志管理系统中创建查询或规则,以查找异常活动或已识别攻击模式的指标。使用这种方法,可以发现并不总是显而易见的安全漏洞或可能的风险。
  • 事件响应和取证:在事件响应和取证调查期间利用分析的 Sysmon 日志来重建时间线、跟踪攻击者操作并确定安全事件的影响。

在这里插入图片描述

Sysmon日志的监控和检查

EventLog Analyzer日志管理和SIEM解决方案,通过提供集中收集、分析和报告功能来增强Sysmon日志监控,它充当一个统一的平台,用于收集、分析、存档和报告 Windows 系统生成的 Sysmon 日志。

  • 跟踪各种流程,提供详细的见解。
  • 有效发现日志中的攻击趋势。
  • 保留日志数据以备将来进行取证调查。
  • 通过组合来自多个来源(包括事件日志文件和 Sysmon 收集器)的 Sysmon 日志,全面了解系统操作。
  • 主动监视和捕获对注册表项和值的更改。

Sysmon日志分析

  • 监控进程创建以发现可疑安装
  • 发现、调查和阻止恶意软件
  • 检测权限升级以阻止未经授权的数据访问
  • 监控文件以确保其完整性
  • 审核网络设备和资源
  • 审核注册表和配置更改

监控进程创建以发现可疑安装

跟踪各种进程,包括当前正在运行的进程以及已终止的进程。除了进程名称之外,还可以查看有关进程的其他信息,例如进程 ID、父进程名称和进程命令行,通过将此信息与威胁源相关联,可以发现恶意软件安装或恶意软件攻击。

发现、调查和阻止恶意软件

检测和调查恶意软件采用的各种技术,例如,恶意软件通常会修改文件创建时间戳以掩盖其踪迹。使用EventLog Analyzer的文件审计报表,可以实时分析文件修改。恶意软件使用的另一种常见技术包括使用命名管道进行进程间通信,进程审计报表可以监控创建或连接管道时生成的Sysmon事件日志。

检测权限升级以阻止未经授权的数据访问

通过将EventLog Analyzer与MITRE ATT&CK框架集成,可以分析Sysmon日志以发现权限升级攻击等恶意活动。例如,通过监视进程创建,可以检测试图绕过用户访问控制机制以提升系统中进程权限的攻击者。

监控文件以确保其完整性

可以监控文件和流创建操作,创建或覆盖文件时,将记录文件创建操作。还可以使用“原始访问读取”报告监视在驱动器上执行的读取操作,这可以防止对这些文件的数据外泄攻击。使用 EventLog Analyzer 的文件流创建报表,可以监控文件流的创建时间,并跟踪某些恶意软件,这些恶意软件通过浏览器下载删除其可执行文件或配置设置。

审核网络设备和资源

借助EventLog Analyzer深入的Sysmon日志分析功能,可以监控网络连接并查看每个连接的进程ID、源IP地址、源端口和目标端口等,还可以分析进程执行 DNS 查询时生成的日志,无论其结果如何(成功、失败或缓存)。

审核注册表和配置更改

有时,攻击者通过修改注册表来启动恶意应用程序来发起攻击,使用EventLog Analyzer,可以监控更改,例如对注册表项和注册表值的修改。

还可以使用“服务状态更改”报告监视 Sysmon 服务的状态,该报告将告诉您服务是否已启动或停止运行及其版本号。

EventLog Analyzer 日志管理解决方案,可以集中收集和监控来自所有 Windows 和 Linux 设备的 Sysmon 日志,以确保端点安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/134847.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于单片机的甲醛检测器设计

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 技术交流认准下方 CSDN 官方提供的联系方式 文章目录 概要 一、设计的主要内容二、系统硬件设计三、软件设计4.1 程序结构流程图原理图 四、结论五、 文章目录 概要 本文将要提…

海思SD3403/SS928开发板 开发记录二: 设置网络 telnet连接开发板

1.设置网络 设置桥接网络 并修改虚拟机IP网段 问题1.参照前一篇博客 2.ping 测试 主机 虚拟机 板端 相互通信 3.telnet 登录板端

什么是超级托斯卡纳葡萄酒?

超级托斯卡纳葡萄酒通常被认为是在托斯卡纳用国际葡萄品种制成的葡萄酒,如赤霞珠、品丽珠或梅洛,而不是传统的托斯卡纳葡萄桑娇维塞。来自云仓酒庄品牌雷盛红酒分享这些葡萄酒可能包含一些桑娇维塞,但这通常不是混合中的主要葡萄。这些大胆的…

SQL Server SSIS ETL job执行相关操作

创建SSIS项目 Excel导入SQL Server 构建Excel源 配置Excel源信息 配置SQL Server目标 双击“ADO NET目标” job执行 新建job 右键“SQL Server代理”的“作业”,点击“新建作业”,弹出“新建作业”的选项页 首先是“常规”选项页,…

四川竹哲电子商务有限公司是真的还是假的?

随着数字科技的飞速发展,电子商务的形式也在不断变化。近年来,抖音带货服务成为了电商领域的新风向。许多公司纷纷涌入这一市场,希望通过这种新型的商业模式获取更多的商业机会。在这其中,四川竹哲电子商务有限公司以其卓越的服务…

Redis Desktop Manager安装和使用

Redis Desktop Manager(RDM)是一款用于管理和操作Redis数据库的图形化界面工具。提供了简单易用的界面,使用户能够方便地执行各种Redis数据库操作,并且支持多个Redis服务器的连接RDM功能介绍:1.连接管理:RD…

哪款手机便签软件支持存储录音文件并支持转文字?

手机便签类软件带有存储录音转文字功能是比较实用的,很多人通常会整理很多录音类型的文件,录音文件整合在一起后,后续有需要可以逐条点开播放收听。尤其是在工作中,当领导说一些重点时,大家无法借助灵活的大脑来成功的…

LeetCode148.排序链表

看完题目的想法是,直接把所有节点的值都遍历出来放进优先队列里面,然后从头节点遍历一次,每次把优先队列poll()的值赋给节点的val即可,说实话,想完还觉得估计有问题怎么可能这么简单,但是不管了&#xff0c…

人工智能在汽车业应用的五项挑战

在汽车行业扩展人工智能应用时需要注意的问题 随着更多企业投资于汽车人工智能 (AI) 解决方案,我们也愈加接近大规模部署 5 级全自动驾驶汽车。汽车行业的组织如果希望加入这场 AI 带来的颠覆性变革,就应该已提前考虑如何成功和大规模地将人工智能部署到…

MoveFunsDAO 星航计划|从Move入门Web3与深入实践「公益课堂」

Move 语言作为最安全的编程语言之一,在资产的安全性和保护方面有着显著优势,被寄予引领 Web3 世界的全新叙事的厚望。 随着 Sui 在今年五月主网上线,它为 Move 生态带来一股新的浪潮。上线以来,Sui 公链的开发活跃度持续数月位居…

【Qt之绘制兔纸】

效果 代码 class drawRabbit: public QWidget { public:drawRabbit(QWidget *parent nullptr) : QWidget(parent) {}private:void paintEvent(QPaintEvent *event) {QPainter painter(this);painter.setRenderHint(QPainter::Antialiasing, true);// 绘制兔子的耳朵painter.s…

Read-Easy Excel源码解析(一)

Read&Write-Easy Excel 当我们需要导入大Excel时候,用POI会内存溢出,这时候我们用EasyExcel来解决,它底层采用的是SAX(Simple Api for Xml)事件驱动,解析xml的方式来解析excel文件。 首先我们看他的re…

十四、W5100S/W5500+RP2040树莓派Pico<NetBIOS>

文章目录 1 前言2 简介2 .1 什么是NetBIOS?2.2 NetBIOS的优点2.3 NetBIOS工作原理2.4 NetBIOS应用场景 3 WIZnet以太网芯片4 NetBIOS网络设置示例概述以及使用4.1 流程图4.2 准备工作核心4.3 连接方式4.4 主要代码概述4.5 结果演示 5 注意事项6 相关链接 1 前言 随着…

响应式成人高考自考教育机构网站模板源码下载带后台

模板信息: 模板编号:30558 模板编码:UTF8 模板分类:学校、教育、培训、科研 适合行业:教育机构类企业 模板介绍: 本模板自带eyoucms内核,无需再下载eyou系统,原创设计、手工书写DIVC…

多级缓存之JVM进程缓存

1.什么是多级缓存 传统的缓存策略一般是请求到达Tomcat后,先查询Redis,如果未命中则查询数据库,如图: 存在下面的问题: 请求要经过Tomcat处理,Tomcat的性能成为整个系统的瓶颈 Redis缓存失效时&#xff0…

【Linux】了解文件的inode元信息,以及日志分析

目录 一、inode表结构,以及元信息 1、了解inode信息有哪些 2、关于inode表的说明 Linux中访问文件的过程: 3、硬连接与软连接的区别,(请看前面,写过的) 二、文件系统的备份与恢复 三、几种常见的日志…

idea 模板参数注释 {@link}

1. 新增组 2. 设置方法注释及变量 增加模板文本 ** * $param$ * return {link $return$} */3. 设置变量表达式 勾选跳过param 参数表达式 groovyScript("def result ;def params \"${_1}\".replaceAll([\\\\[|\\\\]|\\\\s], ).split(,).toList();def param…

小白学爬虫:手机app分享商品短连接获取淘宝商品链接接口|淘宝淘口令接口|淘宝真实商品链接接口|淘宝商品详情接口

通过手机APP分享的商品短链接,我们可以调用相应的接口来获取淘口令真实URL,进而获取到PC端的商品链接及商品ID。具体步骤如下: 1、通过手机APP分享至PC端的短链接,调用“item_password”接口。 2、该接口将返回淘口令真实URL。 3…

[Linux] GRUB引导 学习笔记(一)

目录 概念 2.1 BIOS 2.2 UEFI 2.3 MBR与GPT 2.3.1 MBR 2.3.2 GPT 2.3.3 总结 2.4 GRUB GRUB2和GRUB Legacy区别 进入GRUB命令行 命令 GRUB工具命令 GRUB2配置 1.主要配置文件 2. 通过/etc/default/grub文件生成grub.cfg 定制GRUB的步骤 概念 BIOS、UEFI、MBR、G…

visual studio 启用DPI识别功能

在开发widow程序时,有时必须将电脑 设置-->显示-->缩放与布局-->更改文本、应用项目的大小-->100%后,程序的画面才能正确运行,居说这是锁定了dpi的原因,需要启dpi识别功能。设置方法如下: 或者