Sysmon
O que é Sysmon?
SysmonServico de Windows da Microsoft Sysinternals que escreve no event log telemetria detalhada de processos, rede, arquivos, registro e carga de imagens para monitoramento de seguranca.
O Sysmon (System Monitor) e um servico gratuito do Windows da Microsoft Sysinternals, escrito por Mark Russinovich e Thomas Garnier, que complementa o event logging nativo com telemetria de seguranca de alta fidelidade. Apos instalado e configurado via XML, o Sysmon emite eventos para criacao de processos com linha de comando completa e hashes (event ID 1), conexoes de rede (ID 3), carga de imagens (ID 7), consultas DNS (ID 22), criacao de arquivos (ID 11), alteracoes de registro (IDs 12-14) e mais. Defensores enviam os logs do Sysmon para SIEMs e os combinam com regras Sigma para detectar tecnicas de living-off-the-land, roubo de credenciais e persistencia. Configuracoes comunitarias como o sysmon-config do SwiftOnSecurity e a configuracao modular do Olaf Hartong sao pontos de partida amplamente adotados.
● Exemplos
- 01
Detectar processos filhos suspeitos do svchost.exe combinando o event ID 1 do Sysmon com uma regra Sigma.
- 02
Cacar injecao de DLL do Cobalt Strike Beacon via event ID 7 do Sysmon e hashes de modulos.
● Perguntas frequentes
O que é Sysmon?
Servico de Windows da Microsoft Sysinternals que escreve no event log telemetria detalhada de processos, rede, arquivos, registro e carga de imagens para monitoramento de seguranca. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Sysmon?
Servico de Windows da Microsoft Sysinternals que escreve no event log telemetria detalhada de processos, rede, arquivos, registro e carga de imagens para monitoramento de seguranca.
Como funciona Sysmon?
O Sysmon (System Monitor) e um servico gratuito do Windows da Microsoft Sysinternals, escrito por Mark Russinovich e Thomas Garnier, que complementa o event logging nativo com telemetria de seguranca de alta fidelidade. Apos instalado e configurado via XML, o Sysmon emite eventos para criacao de processos com linha de comando completa e hashes (event ID 1), conexoes de rede (ID 3), carga de imagens (ID 7), consultas DNS (ID 22), criacao de arquivos (ID 11), alteracoes de registro (IDs 12-14) e mais. Defensores enviam os logs do Sysmon para SIEMs e os combinam com regras Sigma para detectar tecnicas de living-off-the-land, roubo de credenciais e persistencia. Configuracoes comunitarias como o sysmon-config do SwiftOnSecurity e a configuracao modular do Olaf Hartong sao pontos de partida amplamente adotados.
Como se defender contra Sysmon?
As defesas contra Sysmon costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sysmon?
Nomes alternativos comuns: System Monitor.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 1041
Regra Sigma
Assinatura de deteccao agnostica de fornecedor, em YAML, voltada a eventos de log que pode ser convertida em queries de SIEM, EDR ou XDR.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- forensics-ir№ 627
Análise de registos
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
- attacks№ 862
Injecao de processos
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.