Sysmon
Sysmon とは何ですか?
SysmonMicrosoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。
Sysmon (System Monitor) は、Microsoft Sysinternals が提供する無償の Windows サービスで、Mark Russinovich と Thomas Garnier が開発しました。標準の Windows イベント ログを補完して、高精度なセキュリティ テレメトリーを出力します。インストールして XML で構成すると、Sysmon はコマンドライン完全およびハッシュ付きのプロセス作成 (Event ID 1)、ネットワーク接続 (ID 3)、イメージ ロード (ID 7)、DNS クエリ (ID 22)、ファイル作成 (ID 11)、レジストリ変更 (ID 12-14) などのイベントを生成します。防御側はこのログを SIEM に投入し、Sigma ルールと組み合わせて Living off the land、認証情報の窃取、永続化を検知します。SwiftOnSecurity の sysmon-config や Olaf Hartong のモジュラー構成といったコミュニティ コンフィグが、広く使われる出発点です。
● 例
- 01
Sysmon の Event ID 1 と Sigma ルールを組み合わせ、svchost.exe の不審な子プロセスを検知する。
- 02
Sysmon の Event ID 7 (Image Load) とモジュール ハッシュで Cobalt Strike Beacon の DLL インジェクションを狩猟する。
● よくある質問
Sysmon とは何ですか?
Microsoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Sysmon とはどういう意味ですか?
Microsoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。
Sysmon からどのように防御しますか?
Sysmon に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Sysmon の別名は何ですか?
一般的な別名: System Monitor。