Sysmon
¿Qué es Sysmon?
SysmonServicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad.
Sysmon (System Monitor) es un servicio gratuito de Windows de Microsoft Sysinternals, escrito por Mark Russinovich y Thomas Garnier, que complementa el registro de eventos nativo con telemetria de alta fidelidad orientada a seguridad. Una vez instalado y configurado mediante XML, Sysmon genera eventos para creacion de procesos con linea de comandos completa y hashes (event ID 1), conexiones de red (ID 3), carga de imagenes (ID 7), consultas DNS (ID 22), creacion de archivos (ID 11), cambios en el registro (IDs 12-14) y mas. Los defensores envian sus logs a SIEMs junto con reglas Sigma para detectar tecnicas living-off-the-land, robo de credenciales y persistencia. Configuraciones comunitarias como sysmon-config de SwiftOnSecurity y la modular de Olaf Hartong son puntos de partida muy usados.
● Ejemplos
- 01
Detectar procesos hijos sospechosos de svchost.exe combinando el event ID 1 de Sysmon con una regla Sigma.
- 02
Cazar inyeccion de DLL de Cobalt Strike Beacon mediante el event ID 7 de Sysmon y los hashes de modulos.
● Preguntas frecuentes
¿Qué es Sysmon?
Servicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Sysmon?
Servicio de Sysinternals para Windows que genera telemetria detallada en el log de eventos sobre procesos, red, archivos, registro y carga de imagenes para monitoreo de seguridad.
¿Cómo funciona Sysmon?
Sysmon (System Monitor) es un servicio gratuito de Windows de Microsoft Sysinternals, escrito por Mark Russinovich y Thomas Garnier, que complementa el registro de eventos nativo con telemetria de alta fidelidad orientada a seguridad. Una vez instalado y configurado mediante XML, Sysmon genera eventos para creacion de procesos con linea de comandos completa y hashes (event ID 1), conexiones de red (ID 3), carga de imagenes (ID 7), consultas DNS (ID 22), creacion de archivos (ID 11), cambios en el registro (IDs 12-14) y mas. Los defensores envian sus logs a SIEMs junto con reglas Sigma para detectar tecnicas living-off-the-land, robo de credenciales y persistencia. Configuraciones comunitarias como sysmon-config de SwiftOnSecurity y la modular de Olaf Hartong son puntos de partida muy usados.
¿Cómo defenderse de Sysmon?
Las defensas contra Sysmon combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Sysmon?
Nombres alternativos comunes: System Monitor.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1041
Regla Sigma
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- forensics-ir№ 627
Análisis de registros
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
- attacks№ 862
Inyeccion de procesos
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.