Sysmon
¿Qué es Sysmon?
SysmonServicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad.
Sysmon (System Monitor) es un servicio gratuito de Windows de Microsoft Sysinternals, escrito por Mark Russinovich y Thomas Garnier, que complementa el registro de eventos nativo con telemetria de alta fidelidad orientada a seguridad. Una vez instalado y configurado mediante XML, Sysmon genera eventos para creacion de procesos con linea de comandos completa y hashes (event ID 1), conexiones de red (ID 3), carga de imagenes (ID 7), consultas DNS (ID 22), creacion de archivos (ID 11), cambios en el registro (IDs 12-14) y mas. Los defensores envian sus logs a SIEMs junto con reglas Sigma para detectar tecnicas living-off-the-land, robo de credenciales y persistencia. Configuraciones comunitarias como sysmon-config de SwiftOnSecurity y la modular de Olaf Hartong son puntos de partida muy usados.
● Ejemplos
- 01
Detectar procesos hijos sospechosos de svchost.exe combinando el event ID 1 de Sysmon con una regla Sigma.
- 02
Cazar inyeccion de DLL de Cobalt Strike Beacon mediante el event ID 7 de Sysmon y los hashes de modulos.
● Preguntas frecuentes
¿Qué es Sysmon?
Servicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Sysmon?
Servicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad.
¿Cómo defenderse de Sysmon?
Las defensas contra Sysmon combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Sysmon?
Nombres alternativos comunes: System Monitor.