Sysmon
Что такое Sysmon?
SysmonСлужба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
Sysmon (System Monitor) — это бесплатная служба Windows от Microsoft Sysinternals, написанная Mark Russinovich и Thomas Garnier, дополняющая встроенный журнал событий высокоточной телеметрией безопасности. После установки и конфигурации XML-файлом Sysmon генерирует события о создании процессов с полной командной строкой и хешами (event ID 1), сетевых соединениях (ID 3), загрузке образов (ID 7), DNS-запросах (ID 22), создании файлов (ID 11), изменениях реестра (ID 12-14) и др. Защитники направляют логи Sysmon в SIEM и используют их вместе с правилами Sigma для выявления техник living-off-the-land, кражи учётных данных и закрепления. Популярными отправными точками служат комьюнити-конфиги, такие как sysmon-config от SwiftOnSecurity и модульная конфигурация Olaf Hartong.
● Примеры
- 01
Обнаружение подозрительных дочерних процессов svchost.exe через Event ID 1 Sysmon и правило Sigma.
- 02
Поиск DLL-инъекций Cobalt Strike Beacon по Sysmon Event ID 7 (image load) и хешам модулей.
● Частые вопросы
Что такое Sysmon?
Служба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности. Относится к категории Защита и операции в кибербезопасности.
Что означает Sysmon?
Служба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
Как защититься от Sysmon?
Защита от Sysmon обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Sysmon?
Распространённые альтернативные названия: System Monitor.