文章目录

  • sysmon介绍
  • sysmon 部署
  • Sysmon View
  • Sysmon Shell
  • sysmon优秀资源


sysmon介绍

如果是做过应急响应的朋友,对sysmon应该都比较熟悉了,它是一款强大的轻量级监控工具,由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。

不过有许多人都无法很好的运用sysmon,因为它必须要有合适的配置文件避免过多的日志量,它必须要有非常良好的日志分析能力来逐层分析关联日志…………

有两款不错的sysmon辅助工具,可以极大的减轻负担:

  • Sysmon View:Sysmon日志可视化工具
  • Sysmon Shell:Sysmon配置文件生成工具

sysmon 部署

# 下载sysmon程序
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

# sysmon程序安装 
sysmon -accepteula  –i <XML File>

# sysmon程序配置变更
sysmon -c <XML File>

# sysmon程序配置查看
sysmon -c

# sysmon程序日志位置
EventViewer->Applications and Services ->Microsoft->Windows->Sysmon

# Powershell查询日志
Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3;} | Where {$_.message -like "*192.168.0*" -and $_.message -like "*DestinationPort: *"} | Select-Object -Property message -First 1 | Format-List
  • 快速安装脚本
mkdir C:\sysmon
pushd "C:\sysmon\"
echo [+] Downloading Sysmon...
@powershell (new-object System.Net.WebClient).DownloadFile('https://live.sysinternals.com/Sysmon64.exe','C:\sysmon\sysmon64.exe')"
echo [+] Downloading Sysmon config...
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/sysmonconfig-export.xml','C:\sysmon\sysmonconfig-export.xml')"
@powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/Auto_Update.bat','C:\sysmon\Auto_Update.bat')"
sysmon64.exe -accepteula -i sysmonconfig-export.xml

Sysmon View

Sysmon View通过使用现有事件数据(例如可执行文件名称、会话GUID、事件创建时间等)对各种Sysmon事件进行逻辑分组和关联来帮助跟踪和可视化Sysmon日志,然后该工具重新排列此数据以供显示进多个视图。

官方链接:

https://github.com/nshalabi/SysmonTools

EFK日志监控配置 日志监控工具_xml


EFK日志监控配置 日志监控工具_xml_02

# 日志导出
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

# 日志可视
Sysmon View工具包含四个视图菜单选项:Process View、Map View、All Events View,Hierarchy

Sysmon Shell

sysmon最头痛的问题是如何配置适合企业内部使用的规则配置,网上有两个比较通用的规则配置:

我们可以通过sysmon shell实现对这些通用规则配置实施优化调整,将一些企业特性规则追加到配置里面,将一些产生大量日志又没有什么用的剔除。

EFK日志监控配置 日志监控工具_xml_03

sysmon优秀资源

如下github项目是sysmon非常优秀的资源,用于学习有关使用Microsoft Sysmon进行部署,管理和搜寻的信息,包含演示文稿,部署方法,配置文件示例,博客和其他github存储库。

https://github.com/MHaggis/sysmon-dfir

EFK日志监控配置 日志监控工具_EFK日志监控配置_04