家庭网络防御系统搭建-EDR之sysmon安装过程详解

原创 于 2024-12-10 09:15:30 发布 · 1.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sysmon #edr #探针 #event log #windows #网络防御

之前的文章介绍了NDR探针的安装,本文将介绍一下免费并且强大的EDR类软件sysmon的安装和过程。作为我的专栏《家庭网络防御系统搭建》中的一篇,详见这里

sysmon 全称是System Monitor, 是sysinternals开发的用来监控系统进程活动,网络活动,文件活动以及注册表活动等一系列活动的终端数据采集探针。由于sysmon是一个免费小巧高效的终端探针,因此sysmon被广泛的作为EDR功能模块中的数据采集之用。

主要功能

sysmon的显著功能特性如下:

  • 记录进程创建过程子进程和父进程对应的创建命令。
  • 记录进程对应文件的MD5,SHA1,SHA256,IMPHASH等安全领域主流使用的hash。
  • 记录进程和会话的GUID用于数据聚合分析之用,避免进程ID的重复使用造成的ID冲突。
  • 记录DLL和驱动的签名和hash.
  • 记录网络连接和对应进程的映射关系。
  • 检测文件修改的时间,防止针对文件创建时间的篡改攻击。
  • 支持通过配置文件动态的过滤记录的事件类型和内容。
  • 早于Boot进程记录事件,用于发现复杂的内核攻击

以上是sysmon的主要特性,当然进程活动,网络活动,文件活动以及注册表活动等活动的字段可以具体查看对应的内容数据。

下载链接

sysmon的下载链接见,这里

配置文件

由于默认sysmon配置采集的终端数据量较大,而其中有的数据,对于网络安全分析相对不重要。因此从安全和性能等平衡的角度,需要针对采集的数据进行配置。关于sysmon的配置的,采用的是SwiftOnSecurity经过优化的版本,详见这里。当然关于该文件的解读,详见文章《家庭网络防御系统搭建-EDR之sysmon配置文件详解》,这里

安装程序

有了安装文件和配置文件,安装命令如下:
在这里插入图片描述
安装完成之后,无需重启后台进程会自动多出一个sysmon的进程,如下:
在这里插入图片描述
同时之后sysmon会随着系统的重启而自动启动,长期驻留在操作系统中。

日志路径

在Windows vista以上的操作系统中,使用Windows的event log viewer的时候,可以看到sysmon的日志在事件查看器中的位置为Applications and Services Logs/Microsoft/Windows/Sysmon/Operational,如下图所示:
在这里插入图片描述
对应的文件路径为C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx 。当然不管哪个版本的操作系统使用,everything搜索sysmon即可找到对应的sysmon日志。

日志分析

使用windows自带的事件查看器打开文件C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx ,如下:在这里插入图片描述
可以看到sysmon中事件ID为1的事件记录了进程创建的相关信息,包括进程名,进程对应的文件路径,进程的用户,进程对应的主机名等等。

对于日志分析,由于Windows自带的事件查看器不具备日志聚合,日志打tag,日志灵活过滤,日志灵活展示,日志灵活分类,处理速度等功能,因此只能够手动分析少量的数据。如果需要进行威胁狩猎等分析,需要将日志导入到专门的分析工具中。关于分析sysmon的日志详见专栏《Windows主机威胁狩猎实战》,见这里

日志转发

主机上的日志需要转发到siem平台进行集中处理,关于如何将sysmon的日志发送到securityonion的配置,详见文章《家庭网络防御系统搭建-将sysmon和Windows event log集成到security onion》,见这里

以上就是sysmon的安装过程,希望对你有帮助。

本文为优快云村中少年原创文章,未经允许不得转载,博主链接这里

Sysmon安装使用总结
weixin_51432117的博客
01-09 1365
文章目录前言一、Sysmon下载安装二、配合nxlog使用1.nxlog官方文档使用示例2.事件查看器sysmon 前言 一、Sysmon下载安装 资源分享: 链接:https://pan.baidu.com/s/1Wwdq2CtOarBcIK_TlYRAgA 提取码:04fu 复制这段内容后打开百度网盘手机App,操作更方便哦 下载安装参考的链接如下: https://blog.youkuaiyun.com/qq237696047/article/details/108886184 在sysmon配置文
sysmon-config:Sysmon配置文件模板,具有默认的高质量事件跟踪
02-04
Sysmon配置文件模板,如“sysmon-config”,是用于定义Sysmon如何收集和记录系统活动的重要文件,它包含了针对各种关键事件的详细监控设置。 Sysmon配置文件通常包含以下关键部分: 1. **Event Filters**:这些...
Sysmon 项目安装与使用教程
gitblog_00087的博客
04-02 294
Sysmon 项目安装与使用教程 1. 项目目录结构及介绍 Sysmon 项目的目录结构如下: sysmon/ ├── github/ │ └── workflows/ ├── media/ ├── src/ ├── LICENSE ├── Makefile └── README.md 目录结构介绍 github/workflows/: 包含 GitHub Actions 的工作流配置文件...
Sysmon安装配置、使用分析(附带推荐配置文件)
博客地址 www.sec0nd.top
05-13 3322
系统监视器 (Sysmon) 是一项 Windows系统服务,也是一个设备驱动程序,一旦安装系统上,就会在系统重新启动后一直驻留,以监视系统活动并将其记录到 Windows 事件日志中。它提供有关进程创建、网络连接和文件创建时间更改的详细信息。通过使用 Windows 事件收集或 SIEM代理收集生成的事件,然后对事件进行分析,你可识别恶意或异常活动,并了解入侵者和恶意软件如何在网络上运行。该服务作为受保护的进程运行,从而禁止广泛的用户模式交互。
sysmon 安装与配置,浅析
yousu272003的博客
11-11 1766
sysmon作为微软的系统监控软件(只监不控),记录比较详细,但是不会分析,有时候也许借助splunk将日志发送到远端保存并分析,效果才更好。运行:eventvwr 打开事件查看器,转到 应用程序和服务日志,Microsoft ,Windowssysmon。如图所示:很明显,sysmon监视到了 系统的远程连接,以及为该链接创建的新的进程。现在我们拷贝并安装一个软件:好压纯净版,看看sysmon的记录情况。参数文件分享:如果上述链接无法下载,请从我的云盘下载。
零信任终端监控:EDR系统Sysmon日志与网络流量的关联分析.pdf
最新发布
06-23
文档支持目录章节跳转同时还支持阅读器左侧大纲显示...掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!
sysmon-modular:sysmon配置模块的存储库
04-27
sysmon-modular | Sysmon配置存储库,每个人都可以自定义 这是一个Microsoft Sysinternals Sysmon配置存储库,设置了模块化模块,以便于维护和生成特定配置。 在PowerShell脚本成功合并并且Sysmon在Azure Pipeline...
信息安全_数据安全_us-18-Graeber-Subverting-Sysmon-Application-Of-A
08-22
信息安全_数据安全_us-18-Graeber-Subverting-Sysmon-Application-Of-A-Formalized-Security-Product-Evasion-Methodology 安全建设 漏洞挖掘 安全架构解决方案 信息安全
系统监控开发套件(sysmon、promon、edr、终端安全、主机安全、零信任、上网行为管理).zip
03-05
管理系统是一种通过计算机技术实现的用于组织、监控和控制各种活动的软件系统。这些系统通常被设计用来提高效率、减少错误、加强安全性,同时提供数据和信息支持。以下是一些常见类型的管理系统: 学校管理系统: ...
系统审计】sysmon安装与使用
没枕头我咋睡觉
10-12 4130
一、sysmon介绍 系统监视器(Sysmon)是Windows系统服务和设备驱动程序,用来监视系统活动并将其记录在window事件日记中。 二、sysmon安装 # 下载地址 https://download.sysinternals.com/files/Sysmon.zip # 安装 Sysmon.exe -i <configfile> # 指定配置文件安装 # 修改配置 Sysmon.exe -c <configfile> ...
微软sysmon使用
Keepb1ue的博客
03-19 5483
一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,十分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序在操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 Sysmon由Sysinternals开发,同时具有windows版和linux版。 二、Sysmon安装 window
Sysmon配置
fys15925190510的博客
02-14 610
使用以下命令来安装Sysmonsysmon -accepteula -i。Sysmon是一款系统监视器,它是Windows系统服务和设备驱动程序,用来监视系统活动并将其记录在Windows事件日志中。使用以下命令将配置文件应用到Sysmonsysmon -c ndpzwj.xml。如果你需要卸载Sysmon,可以使用以下命令:sysmon -u。你可以使用sysmon -c命令来查看当前Sysmon的配置。使用sysmon -c --命令可以查看所有可用的配置选项。
Sysmon工具使用
热门推荐
travelnight的博客
02-19 1万+
Sysmon工具使用 一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 Sysmon同时具有windows版和linux版。 二、事件记录 参考微软官方文档,Sysmo
EDR 工具
djph26741的博客
12-12 200
https://www.gartner.com/reviews/market/Endpoint-Detection-and-Response-Solutions 转载于:https://www.cnblogs.com/bonelee/p/8029003.html
Sysmon 日志监控
ITmoster的博客
11-08 1145
Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。
渗透测试信息收集:Sysmon工具检测详解 隐匿 绕过 等技术探讨
浩策盾悟
11-28 1万+
可以使Get-CimInstance win32_service -Filter "Description='System Monitor service'"命令(服务描述名称:System Monitor service)枚举服务查看目标主机是否已安装 Sysmon。可以执行 Get-Process| Where-Object { $_.ProcessName -eq "Sysmon" }命令枚举进程查看目标主机是否安装 Sysmon。1)安装 Sysmon后,系统会启动名为Sysmon 的进程,
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
运维有小邓
10-30 1192
可以使用配置文件来设置Sysmon,该文件指定要监视和日志记录的事件,可以通过激活或删除特定的事件种类来调整配置文件,以满足您的特定需求。5.日志分析:使用手动技术和自动工具分析收集的Sysmon日志。3.网络连接(事件ID 3):表示网络连接事件,提供诸如启动连接的程序的进程ID(PID)、本地端点的源IP和端口、远程端点的目标IP和端口以及所使用的协议等重要信息。7.事件响应和取证:在事件响应和法证调查过程中利用分析过的Sysmon日志,重建时间线、跟踪攻击者的行动,并确定安全事件的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值