文章目录
- sysmon介绍
- sysmon 部署
- Sysmon View
- Sysmon Shell
- sysmon优秀资源
sysmon介绍
如果是做过应急响应的朋友,对sysmon应该都比较熟悉了,它是一款强大的轻量级监控工具,由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。
不过有许多人都无法很好的运用sysmon,因为它必须要有合适的配置文件避免过多的日志量,它必须要有非常良好的日志分析能力来逐层分析关联日志…………
有两款不错的sysmon辅助工具,可以极大的减轻负担:
- Sysmon View:Sysmon日志可视化工具
- Sysmon Shell:Sysmon配置文件生成工具
sysmon 部署
# 下载sysmon程序
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
# sysmon程序安装
sysmon -accepteula –i <XML File>
# sysmon程序配置变更
sysmon -c <XML File>
# sysmon程序配置查看
sysmon -c
# sysmon程序日志位置
EventViewer->Applications and Services ->Microsoft->Windows->Sysmon
# Powershell查询日志
Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3;} | Where {$_.message -like "*192.168.0*" -and $_.message -like "*DestinationPort: *"} | Select-Object -Property message -First 1 | Format-List
- 快速安装脚本
mkdir C:\sysmon
pushd "C:\sysmon\"
echo [+] Downloading Sysmon...
@powershell (new-object System.Net.WebClient).DownloadFile('https://live.sysinternals.com/Sysmon64.exe','C:\sysmon\sysmon64.exe')"
echo [+] Downloading Sysmon config...
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/sysmonconfig-export.xml','C:\sysmon\sysmonconfig-export.xml')"
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/Auto_Update.bat','C:\sysmon\Auto_Update.bat')"
sysmon64.exe -accepteula -i sysmonconfig-export.xml
Sysmon View
Sysmon View通过使用现有事件数据(例如可执行文件名称、会话GUID、事件创建时间等)对各种Sysmon事件进行逻辑分组和关联来帮助跟踪和可视化Sysmon日志,然后该工具重新排列此数据以供显示进多个视图。
官方链接:
https://github.com/nshalabi/SysmonTools
# 日志导出
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
# 日志可视
Sysmon View工具包含四个视图菜单选项:Process View、Map View、All Events View,Hierarchy
Sysmon Shell
sysmon最头痛的问题是如何配置适合企业内部使用的规则配置,网上有两个比较通用的规则配置:
- ion-storm =>
https://github.com/ion-storm/sysmon-config - SwiftOnSecurity => 将帮助您加快与关键过程监控,网络利用率等相关的速度。请注意,此概念不是记录所有内容,而是记录最重要的项目。
https://github.com/SwiftOnSecurity/sysmon-config
我们可以通过sysmon shell实现对这些通用规则配置实施优化调整,将一些企业特性规则追加到配置里面,将一些产生大量日志又没有什么用的剔除。
sysmon优秀资源
如下github项目是sysmon非常优秀的资源,用于学习有关使用Microsoft Sysmon进行部署,管理和搜寻的信息,包含演示文稿,部署方法,配置文件示例,博客和其他github存储库。
https://github.com/MHaggis/sysmon-dfir