Sysmon
Что такое Sysmon?
SysmonСлужба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
Sysmon (System Monitor) — это бесплатная служба Windows от Microsoft Sysinternals, написанная Mark Russinovich и Thomas Garnier, дополняющая встроенный журнал событий высокоточной телеметрией безопасности. После установки и конфигурации XML-файлом Sysmon генерирует события о создании процессов с полной командной строкой и хешами (event ID 1), сетевых соединениях (ID 3), загрузке образов (ID 7), DNS-запросах (ID 22), создании файлов (ID 11), изменениях реестра (ID 12-14) и др. Защитники направляют логи Sysmon в SIEM и используют их вместе с правилами Sigma для выявления техник living-off-the-land, кражи учётных данных и закрепления. Популярными отправными точками служат комьюнити-конфиги, такие как sysmon-config от SwiftOnSecurity и модульная конфигурация Olaf Hartong.
● Примеры
- 01
Обнаружение подозрительных дочерних процессов svchost.exe через Event ID 1 Sysmon и правило Sigma.
- 02
Поиск DLL-инъекций Cobalt Strike Beacon по Sysmon Event ID 7 (image load) и хешам модулей.
● Частые вопросы
Что такое Sysmon?
Служба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности. Относится к категории Защита и операции в кибербезопасности.
Что означает Sysmon?
Служба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
Как работает Sysmon?
Sysmon (System Monitor) — это бесплатная служба Windows от Microsoft Sysinternals, написанная Mark Russinovich и Thomas Garnier, дополняющая встроенный журнал событий высокоточной телеметрией безопасности. После установки и конфигурации XML-файлом Sysmon генерирует события о создании процессов с полной командной строкой и хешами (event ID 1), сетевых соединениях (ID 3), загрузке образов (ID 7), DNS-запросах (ID 22), создании файлов (ID 11), изменениях реестра (ID 12-14) и др. Защитники направляют логи Sysmon в SIEM и используют их вместе с правилами Sigma для выявления техник living-off-the-land, кражи учётных данных и закрепления. Популярными отправными точками служат комьюнити-конфиги, такие как sysmon-config от SwiftOnSecurity и модульная конфигурация Olaf Hartong.
Как защититься от Sysmon?
Защита от Sysmon обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Sysmon?
Распространённые альтернативные названия: System Monitor.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1041
Правило Sigma
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- forensics-ir№ 627
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
- attacks№ 862
Инъекция в процесс
Семейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность.