使用sysmon监控日志进行分析

最新推荐文章于 2025-08-27 13:44:47 发布
原创 最新推荐文章于 2025-08-27 13:44:47 发布 · 3.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#日志监控 #sysmon

本文介绍如何使用Sysmon工具监控进程执行,通过实例演示识别启动应用的来源主体,如手工打开cmd.exe的过程由explorer.exe调用。适用于ATT&CK分析中的非正常操作检测。

前沿

在ATT & CK分析过程中,经常会涉及到进程执行的流程分析,通过常规的工具检查有点低效,听说sysmon可以实现该功能,于是尝试安装看看

sysmon安装

工具下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

下载后放置本地桌面目录,管理员启动cmd切换到本地目录,注册sysmon

sysmon64.exe -i

cmd执行 eventvwr 调用事件查看器
应用程序和服务日志 > Microsoft > Windows > Sysmon > Operational 即为日志处

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1H4cKdb4-1588866620550)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p328)]

使用演示

我们公司有款防勒索软件,需要去识别启动应用的来源主体。比如,手工打开cmd,手工的这个动作到底是通过什么进程去启动cmd.exe的? 这个问题我们就可以通过sysmon去监控解决

首先清空当前的日志
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JMXeEDpe-1588866620552)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p329)]

手工打开cmd.exe
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3ojqBh0Z-1588866620553)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p330)]

刷新日志
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-agtXbNDr-1588866620555)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p331)]

查看日志可以看到,手工打开cmd.exe的过程正是explorer.exe进行调用
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2pAjsS5C-1588866620556)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p332)]

在ATT&CK的战术研究中,我们就可以通过这种日志去判断,非正常操作调用起cmd.exe的进程是否和explorer.exe是一样的。若不一样,我们是不是就可以通过检测这个不同点,判断是不是黑客攻击了呢?具体有兴趣的读者可以实验看看

参考链接

sysmon下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon注册:https://www.sysgeek.cn/sysmon/

Sysmon勘验、分析现场(主机监控
墨痕诉清风的博客
07-30 961
Sysmon是一个老牌安全工具,自去年发布新功能后越发地强大,在我们勘验现场中,尤其是勘验被入侵现场有着非常明显的优势,实为利器,推荐给大家。 一、Sysmon是什么 系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,就会在系统重新启动时保持驻留状态,以监视和记录系统活动到Windows事件日志中。 它提供有关进程创建,网络连接,文件创建时间更改等详细信息。 通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析,可以识别恶意或异常活动,
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
运维有小邓
10-30 1325
可以使用配置文件来设置Sysmon,该文件指定要监视和日志记录的事件,可以通过激活或删除特定的事件种类来调整配置文件,以满足您的特定需求。5.日志分析使用手动技术和自动工具分析收集的Sysmon日志。3.网络连接(事件ID 3):表示网络连接事件,提供诸如启动连接的程序的进程ID(PID)、本地端点的源IP和端口、远程端点的目标IP和端口以及所使用的协议等重要信息。7.事件响应和取证:在事件响应和法证调查过程中利用分析过的Sysmon日志,重建时间线、跟踪攻击者的行动,并确定安全事件的影响。
4、PowerShell增强日志记录、Sysmon与ETW技术解析
最新发布
2y3u4i5o6p的博客
08-27 79
本文详细解析了PowerShell增强日志记录、Sysmon与ETW技术的原理和应用,探讨了防御策略与常见绕过方法。内容涵盖Sysmon安装与配置、PowerShell日志记录启用与绕过、ETW检测与攻击利用,以及相关工具和技术的使用,为网络安全攻防提供了全面的技术参考。
sysmon-queries:使用 microsoft logparser 解析 sysmon 事件日志文件的查询
06-15
系统查询 使用 Microsoft logparser 解析 sysmon 事件日志文件的查询。 Sysmon 事件格式 Sysmon 在 Windows 事件日志查看器中创建事件日志条目,但从列表视图中看不到详细信息。 可以在单个事件详细信息中看到详细信息,但很难过滤 Sysmon 数据的详细信息。 用法 这些查询允许使用 logparser 工具从 sysmon 数据字段中提取各个值。 这会将结果导出为多种格式以供进一步分析。 它们还可以与日志解析器 lizard 一起使用以在 GUI 中查看数据 我创建了不同的查询,因为生成的不同事件 ID 之间的字段不同。 示例查询 ###process-create-terminate 查询合并进程开始(1)和进程终止(5)的记录。 ###process-start-stop-by-user 查询以显示由指定用户登录启动的所有进
Sysmon 日志监控
ITmoster的博客
11-08 1316
Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
FreeBuf_的博客
05-15 1840
在这篇文章中,我们将演示如何使用Sysmon日志分析和了解恶意软件的各种行为,其中包括如何通过Firefox从Dropbox下载、运行、并使用Windows工具进行安装。本文将介绍Sysmon日志中各种有用的Event ID,以及如何识别和分析Windows操作系统上的恶意活动。
sysmon日志辅助工具
Eric.zhong
07-01 4034
文章目录sysmon介绍sysmon 部署Sysmon ViewSysmon Shell sysmon介绍 如果是做过应急响应的朋友,对sysmon应该都比较熟悉了,它是一款强大的轻量级监控工具,由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。 不过有许多人都无法很好的运用sysmon,因为它必须要有合适的配置文件避免过多的日志量,它必须要有非常良好的日志分析能力来逐层分析
零信任终端监控:EDR系统Sysmon日志与网络流量的关联分析.pdf
06-23
文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛...
基于Sysmon初步实现主机侧入侵检测的监控思路
si1ence的博客
04-22 2905
ysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它可以提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动;
微软Sysmon日志小软件配置安装说明
Wraith的博客
09-30 3272
Sysmon软件什么是Sysmon下载链接安装配置日志查看日志事件ID解析日志可视化 什么是Sysmon Sysmon是由Windows Sysinternals出品的Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性,是一款轻量级且强大的安全监控工具,可以监控各类木马外联,进程操作,对于攻击溯源有很大帮助。 下载链接 Sysmon v12.0 https://download.sysinternals.com/files/Sysmon.zip 安装 下载
ELK日志监控平台搭建记录
qq_41999391的博客
01-19 834
1:前提 :服务器已搭建java环境 1.8 2:elk步骤 :首先搭建ES做数据存储,然后搭建Kibana做数据可视化。最后搭建Logstash做数据流转 ::1:搭建ES 1:在服务器根目录下 创建名为ELK文件夹 1:cd / 2: mkdir elk 3:cd elk 2: 下载ES包:wget https://artifacts.elastic....
Oracle (7)Online Redo Log Files
DBA成长之路
10-28 950
Oracl Online Redo Log Files超级详细
黑客入侵无处遁形!Windows日志分析完全揭秘
白帽阿叁的博客
03-25 951
Sysmon(System Monitor)是微软Sysinternals套件中的一款强大系统监控工具,当前最新版本为。在网络安全领域,系统日志是进行安全分析、事件响应和取证调查的关键依据。Windows系统在运行过程中会不断记录各类事件信息,这些记录为我们了解系统行为、检测异常活动和追踪攻击者的活动提供了宝贵的线索。本文将深入解析Windows日志系统,并介绍两款强大的日志分析工具,帮助安全从业人员更高效地开展工作。
CK04# ClickHouse日志存储调优总结
gaoliang1719的专栏
08-07 1165
引言随着ClickHouse日志存储上线,开启替换ElasticSearch的切换过程,是时候为过去一段时间ClickHouse各种尝试做个总结。本文的主要内容有:集群规模与调优表结构设计要点其他设计点补充一、集群规模与调优一个集群多少节点,节点使用什么样的配置,总共需要多少个集群。在规划时首先需要考虑的,并在实践中也需要相互验证与调整。使用冷热分离架构,一个节点挂2T的...
Clickhouse 踩坑之旅 ---- MergeTree不合并分区的问题
java_ying的博客
07-07 2586
clickhouse 分区不合并 、 too many parts
CK03# ClickHouse日志存储设计点梳理
gaoliang1719的专栏
07-09 1620
引言最近周末比较忙,卷的有点累,上周的文章掉了链子,这周赶一篇。本文主要梳理了使用ClickHouse作为日志存储的设计点,主要内容有:应用日志存储时长定制ClickHouse数据的冷热存储ClickHouse数据迁移与删除ClickHouse查询性能调优点一、应用日志存储时长定制公司所有的应用存储日志时长统一设置固定存储时长,比如:1个月、2个月。这种策略也常被公司采用...
微软sysmon使用
Keepb1ue的博客
03-19 5919
一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,十分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序在操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 Sysmon由Sysinternals开发,同时具有windows版和linux版。 二、Sysmon安装 window
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 4919
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
家庭网络防御系统搭建-将EDR系统的sysmon和Windows event log集成到security onion
村中少年的专栏
12-10 1278
讲述如何将sysmon以及Windows event log的日志集成到security onion等系统之中,为后续的威胁狩猎等安全分析做准备
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值