Sysmon
Qu'est-ce que Sysmon ?
SysmonService Windows de Microsoft Sysinternals qui emet dans le journal d'evenements une telemetrie detaillee sur les processus, le reseau, les fichiers, le registre et les chargements d'images.
Sysmon (System Monitor) est un service Windows gratuit fourni par Microsoft Sysinternals, ecrit par Mark Russinovich et Thomas Garnier, qui complete la journalisation native de Windows par une telemetrie de securite haute fidelite. Une fois installe et configure via XML, Sysmon emet des evenements pour la creation de processus avec ligne de commande et hashes complets (event ID 1), connexions reseau (ID 3), chargements d'images (ID 7), requetes DNS (ID 22), creations de fichiers (ID 11), changements de registre (IDs 12-14) et plus. Les defenseurs ingerent les logs Sysmon dans des SIEM aux cotes de regles Sigma pour detecter le living-off-the-land, le vol d'identifiants et la persistence. Les configurations communautaires comme sysmon-config de SwiftOnSecurity ou celle modulaire d'Olaf Hartong sont des points de depart tres utilises.
● Exemples
- 01
Detecter des processus enfants suspects de svchost.exe en combinant l'event ID 1 de Sysmon avec une regle Sigma.
- 02
Chasse a l'injection DLL de Cobalt Strike Beacon via l'event ID 7 de Sysmon et les hashes de modules.
● Questions fréquentes
Qu'est-ce que Sysmon ?
Service Windows de Microsoft Sysinternals qui emet dans le journal d'evenements une telemetrie detaillee sur les processus, le reseau, les fichiers, le registre et les chargements d'images. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Sysmon ?
Service Windows de Microsoft Sysinternals qui emet dans le journal d'evenements une telemetrie detaillee sur les processus, le reseau, les fichiers, le registre et les chargements d'images.
Comment fonctionne Sysmon ?
Sysmon (System Monitor) est un service Windows gratuit fourni par Microsoft Sysinternals, ecrit par Mark Russinovich et Thomas Garnier, qui complete la journalisation native de Windows par une telemetrie de securite haute fidelite. Une fois installe et configure via XML, Sysmon emet des evenements pour la creation de processus avec ligne de commande et hashes complets (event ID 1), connexions reseau (ID 3), chargements d'images (ID 7), requetes DNS (ID 22), creations de fichiers (ID 11), changements de registre (IDs 12-14) et plus. Les defenseurs ingerent les logs Sysmon dans des SIEM aux cotes de regles Sigma pour detecter le living-off-the-land, le vol d'identifiants et la persistence. Les configurations communautaires comme sysmon-config de SwiftOnSecurity ou celle modulaire d'Olaf Hartong sont des points de depart tres utilises.
Comment se défendre contre Sysmon ?
Les défenses contre Sysmon combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sysmon ?
Noms alternatifs courants : System Monitor.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1041
Regle Sigma
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- forensics-ir№ 627
Analyse des journaux
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
- attacks№ 862
Injection de processus
Famille de techniques d'evasion ou un attaquant execute du code malveillant dans l'espace memoire d'un processus legitime pour heriter de sa confiance et de son identite.