Sysmon
Was ist Sysmon?
SysmonEin Windows-Systemdienst aus Microsoft Sysinternals, der reichhaltige Telemetrie zu Prozessen, Netzwerk, Dateien, Registry und Image-Loads in das Eventlog schreibt.
Sysmon (System Monitor) ist ein kostenloser Windows-Dienst aus Microsoft Sysinternals, geschrieben von Mark Russinovich und Thomas Garnier, der das eingebaute Eventlog mit hochaufgeloester Sicherheits-Telemetrie ergaenzt. Nach Installation und XML-Konfiguration liefert Sysmon Events fuer Prozessstart mit vollstaendiger Kommandozeile und Hashes (Event-ID 1), Netzwerkverbindungen (ID 3), Image-Loads (ID 7), DNS-Anfragen (ID 22), Dateierstellung (ID 11), Registry-Aenderungen (IDs 12-14) und mehr. Verteidiger leiten Sysmon-Logs in SIEMs ein und nutzen sie zusammen mit Sigma-Regeln, um Living-off-the-Land-Techniken, Credential Dumping und Persistenz zu erkennen. Community-Konfigurationen wie SwiftOnSecurity's sysmon-config oder Olaf Hartongs modulare Konfiguration sind verbreitete Ausgangspunkte.
● Beispiele
- 01
Erkennen verdaechtiger Kindprozesse von svchost.exe ueber Sysmon-Event-ID 1 in Kombination mit einer Sigma-Regel.
- 02
Hunting nach Cobalt-Strike-Beacon-DLL-Injection ueber Sysmon-Event-ID 7 (Image Load) und Modul-Hashes.
● Häufige Fragen
Was ist Sysmon?
Ein Windows-Systemdienst aus Microsoft Sysinternals, der reichhaltige Telemetrie zu Prozessen, Netzwerk, Dateien, Registry und Image-Loads in das Eventlog schreibt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sysmon?
Ein Windows-Systemdienst aus Microsoft Sysinternals, der reichhaltige Telemetrie zu Prozessen, Netzwerk, Dateien, Registry und Image-Loads in das Eventlog schreibt.
Wie funktioniert Sysmon?
Sysmon (System Monitor) ist ein kostenloser Windows-Dienst aus Microsoft Sysinternals, geschrieben von Mark Russinovich und Thomas Garnier, der das eingebaute Eventlog mit hochaufgeloester Sicherheits-Telemetrie ergaenzt. Nach Installation und XML-Konfiguration liefert Sysmon Events fuer Prozessstart mit vollstaendiger Kommandozeile und Hashes (Event-ID 1), Netzwerkverbindungen (ID 3), Image-Loads (ID 7), DNS-Anfragen (ID 22), Dateierstellung (ID 11), Registry-Aenderungen (IDs 12-14) und mehr. Verteidiger leiten Sysmon-Logs in SIEMs ein und nutzen sie zusammen mit Sigma-Regeln, um Living-off-the-Land-Techniken, Credential Dumping und Persistenz zu erkennen. Community-Konfigurationen wie SwiftOnSecurity's sysmon-config oder Olaf Hartongs modulare Konfiguration sind verbreitete Ausgangspunkte.
Wie schützt man sich gegen Sysmon?
Schutzmaßnahmen gegen Sysmon kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sysmon?
Übliche alternative Bezeichnungen: System Monitor.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 1041
Sigma-Regel
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- forensics-ir№ 627
Log-Analyse
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
- attacks№ 862
Process Injection
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.